400-618-8070

10alt" />
新闻资讯
News
企业新闻
IOS XR基础实施-远程登录管理和平面保护
发布时间:2018-05-25   浏览次数:   分享:

IOS XR基础实施-远程登录管理和平面保护

-本文来自乾颐堂CCIE培训讲师军哥《思科运营商CCIE认证实现指南》

1.4 远程登录管理和平面保护

在本小节中,我们将介绍XR系统实施远程登录,熟悉网络设备的工程师应该知道,最常用的两种远程管理是明文的telnet协议和密文的安全的ssh协议。在XR系统上可以分为管理平面、控制平面以及转发平面,而在XR系统上有其特有的安全机制,尤其是LPTS

在实施如下配置之前,请读者学会配置XRIPv4(含v6)地址,如下所示

RP/0/0/CPU0:ASBR-2#sh run interface

Wed Sep  7 17:40:24.413 UTC

interface Loopback0

 ipv4 address 22.1.1.1 255.255.255.255

 ipv6 address 2022::2/128

!

interface MgmtEth0/0/CPU0/0

 shutdown

!

interface GigabitEthernet0/0/0/0

 ipv4 address 23.1.1.2 255.255.255.0

 ipv6 address 2023::2/64

1.4.1配置简单telnet和清除会话

Telnet协议(端口号23)是最常用的明文的远程管理协议,在XR设备上默认并没有开启Telnet服务

请读者自行配置R1R3的直连地址,使得R1可以和R3通信

XR1

telnet vrf default ipv4 server max-servers 1 //开启telnet功能,最多允许一个telnet会话

line template Ender //自定义会话模版,名字为Ender

 transport input telnet //仅仅允许telnet协议来远程管理本设备

测试:

RR-R3#telnet 13.1.1.1

Trying 13.1.1.1 ... Open

 

 

 

IMPORTANT:  READ CAREFULLY

Welcome to the Demo Version of Cisco IOS XRv (the "Software").

The Software is subject to and governed by the terms and conditions

of the End User License Agreement and the Supplemental End User

License Agreement accompanying the product, made available at the

time of your order, or posted on the Cisco website at

www.cisco.com/go/terms (collectively, the "Agreement").

As set forth more fully in the Agreement, use of the Software is

strictly limited to internal use in a non-production environment

solely for demonstration and evaluation purposes.  Downloading,

installing, or using the Software constitutes acceptance of the

Agreement, and you are binding yourself and the business entity

that you represent to the Agreement.  If you do not agree to all

of the terms of the Agreement, then Cisco is unwilling to license

the Software to you and (a) you may not download, install or use the

Software, and (b) you may return the Software as more fully set forth

in the Agreement.

 

 

Please login with any configured user/password, or cisco/cisco

 

 

User Access Verification

 

Username: cisco

Password:

 

RP/0/0/CPU0:PE-XR1# //在键入用户名和密码之后可以进入XR1设备。测试完毕

在服务器端(R1)可以轻松的管理远程登录设备,方便清除远程连接会话。如下所示:

RP/0/0/CPU0:PE-XR1#RP/0/0/CPU0:Sep  7 16:35:05.112 : exec[65816]: %SECURITY-login-6-AUTHEN_SUCCESS : Successfully authenticated user 'cisco' from '13.1.1.3' on 'vty0' //log显示有远程设备13.1.1.3登录了本设备

 

RP/0/0/CPU0:PE-XR1# show line //查看登录线程

Wed Sep  7 16:35:08.732 UTC

   Tty             Speed     Overruns             Acc I/O

   aux0/0/CPU0     9600          0/0                 -/-        

*  con0/0/CPU0   115200          0/0                 -/-  //本地console管理

*  vty0               0          0/0                 -/-  //远程vty 0登录

   vty1               0          0/0                 -/-        

   vty2               0          0/0                 -/-        

   vty3               0          0/0                 -/-        

   vty4               0          0/0                 -/-        

   vty100             0          0/0                 -/-        

   vty101             0          0/0                 -/-         

   vty102             0          0/0                 -/-        

   vty103             0          0/0                 -/-        

   vty104             0          0/0                 -/-        

   vty105             0          0/0                 -/-        

RP/0/0/CPU0:PE-XR1#clear line vty 0 //清除vty0的远程登录

Wed Sep  7 16:35:19.871 UTC

RP/0/0/CPU0:PE-XR1#show line //再次验证可知远程登录已经被清除

Wed Sep  7 16:35:34.620 UTC

   Tty             Speed     Overruns             Acc I/O

   aux0/0/CPU0     9600          0/0                 -/-        

*  con0/0/CPU0   115200          0/0                 -/-        

   vty0               0          0/0                 -/-        

   vty1               0          0/0                 -/-        

   vty2               0          0/0                 -/-        

   vty3               0          0/0                 -/-        

   vty4               0          0/0                 -/-        

   vty100             0          0/0                 -/-        

   vty101             0          0/0                 -/-        

   vty102             0          0/0                 -/-        

   vty103             0          0/0                 -/-        

   vty104             0          0/0                 -/-        

   vty105             0          0/0                 -/-

明文telnet管理实施完毕

1.4.2管理平面保护(MPP)介绍

管理平面,management plane负责维护管理SDR(安全域路由器,可以理解为虚拟路由器),并且负责管理其他非管理的SDR。只有根系统用户组的用户(admin组)才有权限访问管理平面。管理平面的工作主要包括:

电源控制

风扇控制

矩阵模块控制

路由器工作环境维护

用户初次登陆XR时会要求配置一个root-system的用户,这是必须的,因为XR中不允许用户组配置为空(否则无法管理设备)。当然如果手动删除了用户以及外部AAA的配置,下次登陆还会要求键入一个新的用户名和密码用于管理系统

管理平面保护(MPP)环境中,带内管理(in-band)指同时处理管理流量与业务流量的接口,这是一种共享式管理接口;而带外管理(out-bound)仅仅处理管理协议流量,即处于专门的管理网络中的接口。很明显带外管理具备更好的安全性

带外管理实例:

control-plane

 management-plane---管理平面

  out-of-band---带外管理

   interface MgmtEth0/0/CPU0/0 ---管理接口专门用于管理

    allow all

带内管理实施:

XR1

control-plane

 management-plane

  inband //带内管理界面

   interface GigabitEthernet0/0/0/1

    allow SSH peer

     address ipv4 23.1.1.3 //该接口仅仅允许23.1.1.3ssh管理,此时我们还不能直接测试ssh,还需要1.4.3节的ssh服务开启后才能进行ssh管理。实施本步骤请读者自行实施完毕R2R3的直连地址

         !

    allow Telnet

    allow Telnet peer

     address ipv4 23.1.1.3

    !

 

1.4.3带内管理实施SSHv2

SSHSecure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。SSH协议有两个版本,SSH1.xSSH2.0(本文简称SSH1SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。

设备既可以支持SSH服务器功能,接受多个SSH客户端的连接,也可以支持SSH客户端功能,允许用户通过设备与远程SSH服务器建立SSH连接。

XR设备上实施SSH

XR2

show install active  //首先验证本设备是否具备支持SSH的功能     

Tue Aug 23 21:13:40.153 UTC

Secure Domain Router: Owner

 

  Node 0/0/CPU0 [RP] [SDR: Owner]

    Boot Device: disk0:

    Boot Image: /disk0/xrvr-os-mbi-5.2.0/mbixrvr-rp.vm

    Active Packages:

      disk0:xrvr-fullk9-x-5.2.0 //可以支持SSHPIE已经安装并激活

RP/0/0/CPU0:ASBR-2#crypto key generate rsa //产生用于sshkey

Tue Aug 23 21:14:50.918 UTC

The name for the keys will be: the_default

  Choose the size of the key modulus in the range of 512 to 2048 for your General Purpose Keypair. Choosing a key modulus greater than 512 may take a few minutes.

 

How many bits in the modulus [1024]:  //产生的用于sshkey长度默认为1024,直接回车会产生RSA的密钥

Generating RSA keys ...

Done w/ crypto generate keypair

[OK]

 

RP/0/0/CPU0:ASBR-2#RP/0/0/CPU0:Aug 23 21:15:03.997 : cepki[150]: %SECURITY-CEPKI-6-INFO : key database updated

RP/0/0/CPU0:ASBR-2(config)#ssh server v2//使能版本2ssh协议

测试:

RR-R3#ssh -l cisco 23.1.1.2 //-l代表使用用户名cisco去测试

 

 

IMPORTANT:  READ CAREFULLY

Welcome to the Demo Version of Cisco IOS XRv (the "Software").

The Software is subject to and governed by the terms and conditions

of the End User License Agreement and the Supplemental End User

License Agreement accompanying the product, made available at the

time of your order, or posted on the Cisco website at

www.cisco.com/go/terms (collectively, the "Agreement").

As set forth more fully in the Agreement, use of the Software is

strictly limited to internal use in a non-production environment

solely for demonstration and evaluation purposes.  Downloading,

installing, or using the Software constitutes acceptance of the

Agreement, and you are binding yourself and the business entity

that you represent to the Agreement.  If you do not agree to all

of the terms of the Agreement, then Cisco is unwilling to license

the Software to you and (a) you may not download, install or use the

Software, and (b) you may return the Software as more fully set forth

in the Agreement.

 

 

Please login with any configured user/password, or cisco/cisco

 

 

 

Password:

 

 

RP/0/0/CPU0:ASBR-2# //已经可以成功的登录R2设备

SSH实施完毕

1.4.5 转发平面安全LPTS

转发平面,即forwarding plane指数据包转发的各个阶段中设计的组件的总和。它不仅包括穿越路由器的数据流,还包括以路由器为目的的流量,对转发平面的保护异常重要,否则遭受DDoS攻击后而导致无法正常的转发业务流量。除了常规的ACLuRPF之外,XR提供了一种特有的称之为本地数据传输服务的转发平面安全特性LPTS,专门的保护路由器免受到达路由器自身的流量的影响

LPTS:将去往路由器自身的流量安全分发到系统的正确节点,在软件层面防止某些流量耗尽系统资源,为不同的流量指定对应的门限值,保证平台CPU资源的可用性。这些流量通常包含:

TTL小于2的报文

带有IP选项字段的报文

需要分片或者重组的报文

Arp报文

Icmp消息等

IOS XRv上我们可以查看部分的LPTS内容,如:

RP/0/0/CPU0:XR3#show lpts ifib brief | i OSPF ---关于OSPFLPTS管理

Sat Nov 21 10:50:06.741 UTC

 OSPF4    default  OSPF   Gi0/0/0/0    0/0/CPU0    any any

 OSPF4    default  OSPF   Gi0/0/0/1    0/0/CPU0    any any

 OSPF_MC4 default  OSPF   Gi0/0/0/0    0/0/CPU0    224.0.0.5 any

 OSPF_MC4 default  OSPF   Gi0/0/0/1    0/0/CPU0    224.0.0.5 any

 OSPF_MC4 default  OSPF   Gi0/0/0/0    0/0/CPU0    224.0.0.6 any

 OSPF_MC4 default  OSPF   Gi0/0/0/1    0/0/CPU0    224.0.0.6 any

 

iFIB,又称之为pIFIB,包含了去往本地路由器的关键性流量,所有这些表都是由一组成为LPTS端口仲裁(lpts_pa)和LPTS流量管理器(lpts_fm)的进程生成。

查看LPTS的总体简要情况,读者可以发现这些都是到达本路由器,需要本设备处理的流量:

RP/0/0/CPU0:ASBR-2#show lpts pifib brief

Wed Sep  7 17:48:13.241 UTC

 

* - Any VRF; I - Local Interest;

X - Drop; R - Reassemble;

 

 Type       VRF-ID   L4     Interface    Deliver      Local-Address,Port Remote-Address,Port

 ---------- -------- ------ ------------ ------------ --------------------------------------

 ISIS       default  -      Gi0/0/0/0    0/0/CPU0     - -

 ISIS       default  -      Gi0/0/0/2    0/0/CPU0     - -

 ISIS       default  -      Lo0          0/0/CPU0     - -

 ISIS       *        -      any          0/0/CPU0     - -

 IPv4_frag  *        any    any          R            any any

 IPv4_echo  *        ICMP   any          XI           any,ECHO any

 IPv4       default  TCP    any          0/0/CPU0     23.1.1.2,22 23.1.1.3,65199

 IPv4       default  TCP    Gi0/0/0/0    0/0/CPU0     any,22 23.1.1.3

 IPv4       default  L2TPV3 any          0/0/CPU0     any any

 IPv4       *        ICMP   any          0/0/CPU0     any,ECHOREPLY any

 IPv4       *        ICMP   any          XI           any,TSTAMP any

 IPv4       *        ICMP   any          XI           any,MASKREQ any

 IPv4       *        TCP    any          0/0/CPU0     any any,179

 IPv4       *        TCP    any          0/0/CPU0     any,179 any

 IPv4       *        TCP    any          0/0/CPU0     any any

 IPv4       *        UDP    any          0/0/CPU0     any,1701 any

 IPv4       *        UDP    any          0/0/CPU0     any any

 IPv4       *        OSPF   any          0/0/CPU0     224.0.0.5 any

 IPv4       *        OSPF   any          0/0/CPU0     224.0.0.6 any

 IPv4       *        OSPF   any          0/0/CPU0     any any

 IPv4       *        any    any          0/0/CPU0     any any

 IPv6_frag  *        any    any          R            any any

 IPv6_echo  *        ICMP6  any          XI           any,ECHOREQ any

 IPv6_ND    *        ICMP6  any          XI           any,NDRTRSLCT any

 IPv6_ND    *        ICMP6  any          XI           any,NDRTRADV any

 IPv6_ND    *        ICMP6  any          XI           any,NDNBRSLCT any

 IPv6_ND    *        ICMP6  any          XI           any,NDNBRADV any

 IPv6_ND    *        ICMP6  any          XI           any,NDREDIRECT any

 IPv6       default  TCP    Gi0/0/0/0    0/0/CPU0     any,22 2033::3

 IPv6       default  OSPF   Gi0/0/0/0    0/0/CPU0     ff02::5 any

 IPv6       default  OSPF   Gi0/0/0/2    0/0/CPU0     ff02::5 any

 IPv6       default  OSPF   Gi0/0/0/0    0/0/CPU0     ff02::6 any

 IPv6       default  OSPF   Gi0/0/0/2    0/0/CPU0     ff02::6 any

 IPv6       default  OSPF   Gi0/0/0/0    0/0/CPU0     any any

 IPv6       default  OSPF   Gi0/0/0/2    0/0/CPU0     any any

 IPv6       *        TCP    any          0/0/CPU0     any any,179

 IPv6       *        TCP    any          0/0/CPU0     any,179 any

 IPv6       *        TCP    any          0/0/CPU0     any any

 IPv6       *        UDP    any          0/0/CPU0     any any

 IPv6       *        AH     any          0/0/CPU0     any,0x100 any

 IPv6       *        ICMP6  any          0/0/CPU0     any,ECHOREPLY any

 IPv6       *        OSPF   any          0/0/CPU0     ff02::5 any

 IPv6       *        OSPF   any          0/0/CPU0     ff02::6 any

 IPv6       *        OSPF   any          0/0/CPU0     any any

 IPv6       *        any    any          0/0/CPU0     any any

 注:IOS XRv并不支持LPTS的修改。

IOS XR基础部分到此结束,后续章节我们将开始路由协议的实施


-本文来自乾颐堂CCIE培训讲师军哥《思科运营商CCIE认证实现指南》


《思科运营商CCIE认证实现指南》在JD、TB有售,可自行购买,

技术问题可加群:346968792,安德老师会在线答疑

乾颐堂客服热线:400-618-8070

乾颐堂官网:www.qytang.com

乾颐堂网络实验室 我们为您想的更多

 ©2013-2014  乾颐堂网络工程师培训  版权所有  京ICP备14044984号-2 

 中国权威 Cisco (思科) CCNA CCNP CCIE 认证培训 企业定制培训

 咨询报名电话:400-618-8070   

CCNA论坛