Essentiel PIX

Les opérations de configuration :

1. [Configuration 3 interfaces + pppoe]

Adresse externe : 213.135.244.201 obtenue en pppoe

Adresse interne : 192.168.100.250

Réseaux internes : 192.168.10.0 et 192.168.11.0

Adresse DMZ : 10.0.0.250

Serveur web : 10.0.0.1, adresse publique : 213.135.244.201

Serveur de messagerie : 192.168.10.242, adresse publique : 213.135.244.201

1.1. [Les interfaces ]

On donne un nom à l’interface ainsi qu’un security level

Security-level : 100 = superhigh = interne

0 = superlow = externe

interface ethernet0 auto

interface ethernet1 100full

interface ethernet2 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

Les commandes d’interfaces sont différentes suivant les versions (inf ou égal à 7.0.1)

7.0.1 (ios like) :

(config)#int eth 0

(config-if)# speed auto

(config-if)# nameif outside

1.2. [les adresse ip ]

ip address inside 192.168.100.250 255.255.255.0

ip address dmz 10.0.0.250 255.255.255.0

1.2.1. [La connexion pppoe ]

ip address outside pppoe setroute

puis le compte de connexion :

vpdn group pppoe_group request dialout pppoe

vpdn group pppoe_group localname compte_de_connexion

vpdn group pppoe_group ppp authentication pap

vpdn username compte_de_connexion password *********

Sans oublier de modifier la valeur de mtu pour le ppp :

mtu outside 1492

1.4. [Global et NAT ]

Sert à donner accès depuis une interface high vers une interface low.

Dans ce cas les commandes utiles sont : show nat, show global, nat 0 à qui disable le nat

Accès de high vers low : nat (inside) 1 0 0 ; nat (dmz) 1 0 0 ;

Accès de high vers low, plus restrictif : nat (dmz) 1 192.168.2.42 255.255.255.255

Remarque : dans la commande nat (dmz) 1 0 0 à ‘1’ est l’id du nat, nat 0 = pas de nat

Utilisation de l’adresse publique pour faire du PAT

A remarquer la règle de NAT 0 pour l’accès VPN

global (outside) 10 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 10 192.168.10.0 255.255.255.0 0 0

nat (inside) 10 192.168.11.0 255.255.255.0 0 0

nat (inside) 10 0.0.0.0 0.0.0.0 0 0

nat 0 : nonat

#nat (inside) 0 0 0 –> permet le traffic inside –> outside sans translation de l’adresse source, mais cette version de nat 0 ne permet par le traffic de l’outside vers l’inside.

#nat (inside) 0 access-list : nonat permet le traffic inside –> outside et permet le traffic outside –> inside sur base d’access-list nonatACL, ACL appliquée sur l’outside

#static (inside,outside) 10.0.0.0 10.0.0.0 netmask 255.255.255.0 créé une entrée dans la table xlate, mais il n’y a pas de translations puisque les adresses sont translatées sur elles même; Cette solution autorise le traffic outside –> inside basé sur acl appliqué sur l’outside.

1.5. [route]

Le pix n’est pas un routeur, il convient de lui indiquer toutes les routes.

Route par défaut :

#route outside 0 0 209.165.201.2 1

1.6. [static]

La commande static permet de natter une adresse fixe, j’aime traduire static par forwarding.

Syntaxe : static (high,low) low high

Map de l’adresse externe 213.135.244.201 en 10.0.0.1

#static (inside,outside) 213.135.244.201 10.0.0.1

Remarque : dans le cas de l’acces d’une interface high vers une low sans nat (ex access du lan vers dmz)

#static (inside,inside) high high

redirection sur l’adresse externe en http et https vers le serveur 10.0.0.1, la commande static s’accompagne de l’argument interface précise l’interface outside (dynamique) :

name 10.0.0.1 web

static (dmz,outside) tcp interface www web www netmask 255.255.255.255 0 0

static (dmz,outside) tcp interface https web https netmask 255.255.255.255 0 0

Puis redirection de l’adresse externe du port 25 vers le serveur interne de messagerie (192.168.10.242) :

static (inside,outside) tcp interface smtp 192.168.10.242 smtp netmask 255.255.255.255 0 0

Acces inside vers DMZ :

static (inside,dmz) 192.168.10.0 192.168.10.0 netmask 255.255.255.0 0 0

static (inside,dmz) 192.168.11.0 192.168.11.0 netmask 255.255.255.0 0 0

1.7. [ACL]

Des lors que notre configuration comprend les termes nat, global et static, il convient de metre en place des acl pour ouvrir le passage entre les interfaces.

#access-list acl_in permit ip any any

Puis on appliqué l’access-list sur une interface :

#access-group acl_in in interface inside

Le flux icmp est à definer au travers d’acl :

#access-list acl_out permit icmp any any

#access-list acl_in permit icmp any any

#access-list acl_dmz permit icmp any any

Puis on les applique :

#access-group acl_out in interface outside

#access-group acl_in in interface inside

#access-group acl_dmz in interface dmz

1.8. [fixup ]

afin de faire fonctionner correctement le serveur exchange, il convient de disabler le règle de fixup sur le port smtp :

no fixup protocol smtp 25

1.9. [contrôle de la configuration]

#show ip

#show global

#show nat

#show route à s’assurer qu’il existe une route par défaut

Nat/global

#nat (inside) 1 0 0

#nat (dmz1) 1 0 0

#nat (dmz2) 1 0 0

#global (outside) 1 209.165.201.3 netmask 255.255.255.224

#global (outside) 1 209.165.201.10-209.165.201.20 netmask 255.255.255.224

#global (dmz1) 1 192.168.1.20-192.168.1.254 netmask 255.255.255.0

1.10. [contrôle de la connectivité]

Autoriser les pings par acl

Appliquer les acls sur chaque interface

#show access-list

Puis faire des pings depuis le pix vers les hosts, depuis les hosts vers d’autres hosts situés sur différentes interfaces du pix.

Faire du debug :

#debug icmp trace

Démarrer syslog :

#buffered debugging

#show logging

#logging console n°_level

1.11. [RSA]

hostname toto

domain-name test.lan

ca gen rsa key 1024

ca zero rsa

ca save all

1.12. [Activation des changements]

static (dmz,outside) 64.148.146.82 64.148.146.82
clear xlate
clear local
clear arp

2. [VPN]

Prérequis :

(config)#isakmp enable outside

2.1. [IKE phase 1]

IKE phase 1 policy : (pas de sucommand)

(config)#isakmp policy 10 encryption des

(config)#isakmp policy 10 hash sha

(config)#isakmp policy 10 authentication pre-share

(config)#isakmp policy 10 group 1

(config)#isakmp policy 10 lifetime 86400

Quelle est la meilleure policy : celle qui est parfaitement conforme à la policy qu’on trouve sur le peer distant.

La pre-shared key (128 bytes)

(config)#isakmp key zekey address address_du_peer

Vérification avec les parameters par défaut :

#show isakmp policy

2.1.1. [IKE phase 1]

Quel est le trafic à encrypter et à décrypter : on utlise une ACL

En fait si on précise le trafic provenant d’une source à une destination, la crypto access-list comprend l’inverse, cad que le trafic issu de l’adresse destination vers l’adresse source est à décrypter.

(config)#access-list 101 permit ip host 192.168.1.10 host 192.168.2.1

Les ACL doivent être symétriques au niveau des 2 peers

Pix1(config)#show static

#static (inside,outside) 192.168.1.10 10.0.1.11 netmask 255.255.255.255 0 0

Pix1(config)#show access-list

#access-list 110 permit ip host 192.168.1.10 host 192.168.2.10

Pix2(config)#show static

#static (inside,outside) 192.168.2.10 10.0.2.11 netmask 255.255.255.255 0 0

Pix2(config)#show access-list

#access-list 110 permit ip host 192.168.2.10 host 192.168.1.10

2.1.2. [IKE phase 2]

IPSec = IKE phase 2

IPSec : comment encrypte t’on :

On utilise un transform set que l’on nomme à sa guise et où l’on précise le mode d’encryption :

(config)#crypto ipsec transform-set le_nom_qu’on_donne esp-des

IPSec est défini au travers de commandes crypto map :

(config)#crypto map MYMAP 10 ipsec-isakmp

(config)#crypto map MYMAP 10 match address 10

(config)#crypto map MYMAP 10 set peer 192.168.1.2

(config)#crypto map MYMAP set transform-set le_nom_qu’on_donne

(config)#crypto map MYMAP set pfs group1 à (Secret Perfect Policy DH group 1 ou 2)

(config)#crypto map MYMAP 10 set security-association lifetime seconds 28800

IL convient d’appliquer cette crypto map à une interface :

(config)#crypto map MYMAP interface outside

La verification de IKE phase 2 :

#show crypto map

Le peer doit posséder une image de cette configuration

#show crypto ipsec transform-set à pour visualier le contenu du transform-set

2.2. [contrôle du VPN]

Les commandes de vérification :

Le traffic interressé par le tunnel : show access-list

La configuration de IKE : show isakmp, show isakmp policy

La configuration d’IPSec : show crypto ipsec transform-set

La configuration du crypto map : show crypto map

Reset du tunnel :

Clear IPSec sa : clear crypto ipsec sa

Clear IKE sa : clear crypto isakmp sa

Debug :

#debug crypto isakmp

#debug crypto ipsec

1.13. [VPN et client VPN]

(config)# access-list 80 permit ip 10.0.0.0 255.255.255.0 10.0.20.0 255.255.255.0 0

(config)# ip address outside 192.168.0.2 255.255.255.0

(config)# ip address inside 10.0.0.1 255.255.255.0

(config)# ip local pool MYPOOL 10.0.20.1-10.0.20.254

(config)# nat (inside) 0 acess-list 80

(config)# route outside 0 0 192.168.0.1

(config)# aaa-server MYTACACS protocol tacacs+

(config)# aaa-server MYTACACS (inside) host 10.0.0.10 tacacskey timeout 5

(config)# aaa authentication include any inbound 0 0 0 0 MYTACACS

(config)# sysopt connection permit-ipsec

(config)# crypto ipsec transform-set AAADES esp-des esp-md5-hmac

(config)# crypto dynamic-map DYNOMAP 10 set transform-set AAADES

2.3. [Exemple complet avec VPN]

2.3.1. [SITE 1]

hostname FW515

domain-name icfdai.local

access-list acl_dmz permit ip any any

access-list acl_in permit ip any any

access-list acl_out permit tcp any host 213.135.244.201 eq www

access-list acl_out permit tcp any host 213.135.244.201 eq https

access-list acl_out permit tcp any host 213.135.244.201 eq smtp

access-list acl_out permit tcp any host 213.135.244.201 eq citrix-ica

access-list inside_outbound_nat0_acl permit ip any Net_Lille 255.255.255.0

access-list outside_cryptomap_21 permit ip any Net_Lille 255.255.255.0

access-list outside_cryptomap_20 permit ip any Net_Lille 255.255.255.0

ip address outside pppoe setroute

ip address inside 192.168.100.250 255.255.255.0

ip address dmz 10.0.0.250 255.255.255.0

global (outside) 10 interface

global (dmz) 10 10.0.0.20-10.0.0.200 netmask 255.255.255.0

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 10 192.168.10.0 255.255.255.0 0 0

nat (inside) 10 192.168.11.0 255.255.255.0 0 0

nat (inside) 10 0.0.0.0 0.0.0.0 0 0

nat (dmz) 10 0.0.0.0 0.0.0.0 0 0

static (dmz,outside) tcp interface www web-mail www netmask 255.255.255.255 0 0

static (inside,outside) tcp interface smtp 192.168.10.242 smtp netmask 255.255.255.255 0 0

static (dmz,outside) tcp interface https web-mail https netmask 255.255.255.255 0 0

static (inside,dmz) 192.168.10.0 192.168.10.0 netmask 255.255.255.0 0 0

static (inside,dmz) 192.168.11.0 192.168.11.0 netmask 255.255.255.0 0 0

route inside 192.168.10.0 255.255.255.0 192.168.100.251 1

route inside 192.168.11.0 255.255.255.0 192.168.100.251 1

route outside Net_Lille 255.255.255.0 82.127.87.65 1

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer 82.127.87.65

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address 82.127.87.65 netmask 255.255.255.255 no-xauth no-config-mode

isakmp identity address

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

show access-list

show isakmp

show isakmp policy

show crypto map

show crypto ipsec transform-set

show crypto isakmp sa

show crypto ipsec sa

clear crypto isakmp sa

clear crypto ipsec sa

debug crypto isakmp

debug crypto ipsec

une acl doit préciser le trafic à encrypter et à decrypter :

access-list 101 permit ip host 192.168.1.10 host 192.168.6.10

une crypto access-list détermine le trafic à encrypter et postule (par défaut) que le trafic retour est à décrypter

les acls doivent être symétriques (des 2 côtés) :

2.3.2. [SITE 2]

hostname FW501

domain-name icfdai.local

access-list inside_outbound_nat0_acl permit ip 192.168.200.0 255.255.255.0 192.168.10.0 255.255.255.0

access-list outside_cryptomap_20 permit ip 192.168.200.0 255.255.255.0 192.168.10.0 255.255.255.0

icmp deny any outside

icmp permit any inside

ip address outside pppoe setroute

ip address inside 192.168.200.250 255.255.255.0

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 192.168.10.0 255.255.255.0 213.135.244.201 1

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer 213.135.244.201

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address 213.135.244.201 netmask 255.255.255.255 no-xauth no-config-mode

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

2.3 [VPN Windows XP]

ip address outside 192.168.0.222 255.255.255.0

ip address inside 172.20.2.222 255.255.255.0

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

ip local pool vpn-pool 172.20.2.225-172.20.2.227

dhcpd lease 3600

dhcpd ping_timeout 750

access-list inside_outbound_nat0_acl permit ip any 172.20.2.224 255.255.255.252

vpdn group PPTP-VPDN-GROUP accept dialin pptp

vpdn group PPTP-VPDN-GROUP ppp authentication mschap

vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto

vpdn group PPTP-VPDN-GROUP client configuration address local vpn-pool

vpdn group PPTP-VPDN-GROUP pptp echo 60

vpdn group PPTP-VPDN-GROUP client authentication local

vpdn username pix password *********

vpdn enable outside

[PPTP]

NAT = one to one

La coonexion est initiée en TCP 1723, la réponse se fait en GRE (port 47 layer 3) de fait impossible sur PAT è regle de fixup qui comprend qu’il faut initier une connexion

PPTP session : 1 session tcp channel ainsi que de 2 PPTP GRE channels.

TCP channel = control channel utilisé pour la négotiation et le management du tunnel PPTP GRE.

GRE tunnel transporte les sessions PPP entre les 2 hosts.

utiliser la commande fixup protocol pptp (1723)

Cette commande inspecte la connexion PPTP et créé dynamiquement le tunnel GRE

show xlate

GRE PAT from inside:10.2.1.51/1723 to outside:192.150.49.100/0 flags ri

le status des connexions GRE :

show conn fport 1723

show conn lport 1723

show local-host

fixup protocol pptp 1723

ip local pool vpn_pool 10.10.20.55-10.10.20.65

vpdn group PPTP-VPDN-GROUP accept dialin pptp

vpdn group PPTP-VPDN-GROUP ppp authentication mschap

vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto

vpdn group PPTP-VPDN-GROUP client configuration address local vpn_pool

vpdn group PPTP-VPDN-GROUP pptp echo 60

vpdn group PPTP-VPDN-GROUP client authentication local

vpdn username jack password *********

vpdn enable outside

sysopt connection permit-ipsec

sysopt connection permit-pptp

sysopt connection permit-l2tp

sysopt ipsec pl-compatible

3. [Failover]

Le failover nécessite 2 Pix strictement équivalent (hardware, mem, réseau).

L’unité active posséde son @ IP et son @ MAC.

Quand l’unité active tombe, l’unité standby s’approprie les adresses MAC et IP.

Les 2 unités s’échangent des hellos (3sec) qui doivent être Ack. 3 Ack manquants (15sec) et le standby prend le contrôle.

Depuis 6.2, il n’est plus nécessaire d’utiliser le câble spécialisé, on peut utiliser une interface réseau.

Dans ce cas :

– Au démarrage, l’unité Active pousse la configuration sur l’unité Standby.

– Les commandes entrées sur l’Active sont poussées sur la Standby.

–

Statefull failover : les tables sont échangées (xlate, static, dynamic, connection records) ainsi les connexions doivent être maintenues sauf pour le 80 qui est trop latency sensitive. Pour améliorer cet état :

#failover replicate http

Le lien doit être paramétrer en full-duplex 100MBps

#nameif ethernet3 SFailover sec20

#interface ethernet3 100full

#ip address 172.18.1.1 255.255.255.0

#failover ip address SFailover 172.18.1.4

#failover ip address outside 192.168.10.4

#failover ip address inside 172.16.1.4

#failover ip address dmz 172.17.1.4

#failover lan unit primary

#failover lan interface SFailover

#failover lan key shared-key

#failover lan enable

#failover active

#write mem

Puis sur le second Pix (failover):

#nameif ethernet3 SFailover sec20

#interface ethernet3 100full

#ip address 172.18.1.1 255.255.255.0

#failover ip address SFailover 172.18.1.4

#failover lan unit secondary

#failover lan interface SFailover

#failover lan key shared-key

#failover lan enable

#failover active

#write mem

Les commandes de failover :

[no] failover – Enables or disables failover.

[no] failover active – Causes a unit to become active/standby.

failover ip address #.#.#.# – Sets the failover IP address.

failover reset – Clears the failed state of both units and restarts failover.

[no] failover link interface – Specifies which interface to be used for transmit state update from active to standby PIX in stateful failover.

failover poll seconds – Specifies the failover poll interval (PIX Software version 5.2 and later).

failover lan unit primary | secondary – Used in LAN-based failover to define primary/secondary (PIX version 6.2 and later).

failover lan enable – Specifies LAN-based failover (PIX version 6.2 and later).

failover lan interface lan_if_name – The name of the firewall interface dedicated to LAN-based failover (PIX version 6.2 and later).

failover lan key key_secret – Enables encryption and authentication of LAN-based failover messages between PIX firewalls using the secret key (PIX version 6.2 and later).

failover mac address mif_name act_mac stn_mac – Enables you to configure a virtual MAC address for a PIX firewall failover pair instead of contacting the other peer to get the MAC address (PIX version 6.2 and later).

4. [Management]

Il faut autoriser le telnet et préciser l’interface :

#telnet 172.16.0.0 255.255.0.0 inside

Pour l’interfrace pdm ou asdm :

#http server ena

#http 172.16.0.0 255.255.0.0 inside

5. [IDS]

2 lines optionelle, indiquent IDS auditing au niveau informational et attack.

Cependant IDS n’est pas activé sur l’externe pour être loggé.

ip audit info action alarm

ip audit attck action alarm

1° Activation de l’IDS par création d’un audit map pour monitorer le traffic à capturer.

niveau : informational et messages alarm

indique le type de logging et de détection qui seront faits

# ip audit name idsinfo action alarm

# ip audit name idsattack action alarm drop reset

2° activer IDS map pour info et alarm sur l’interface outside :

ip audit interface outside idsinfo

ip audit interface outside idsattack

3° pour voire les messages : faire un grep IDS sur le syslog qui indiquera un ids number qui sera l’identifiant et contiendra ports et adresses.

Eviter d’envoyer le capture en buffer (dégradation des performances)

# show logging permet de visualiser tous les logs capturés dépendant du trap configuré.

# show ip audit

# ip audit name idsinfo info action alarm

# ip audit name idsattack attack action alarm drop reset

# ip audit interface outside idsinfo

# ip audit interface outside idsattack

# ip audit info action alarm

# ip audit attack action alarm

6. [SYSLOG]

Le serveur de logging est dans “l’inside”.

Nous envoyons les log messages sur facility local3 avec une severity level of 5 (notification) set par “logging trap”:

#logging on

#logging standby

#logging timestamp

#logging trap notifications

#logging facility 19

#logging host inside 192.168.1.100

#logging on

#logging timestamp

#Logging console debugging

#logging trap debugging

#logging history debugging

#logging host inside 192.168.1.5

7.[capture]

Une function essentielle dans le debug est : capture qui permet de capturer le traffic sur base d’une access-list ou d’une interface.

Le format de capture est ensuite visualisable par ethereal

Le fichier vde capture est disponible soit en tftp soit sur le serveur https

capture capture-name [access-list acl_id][buffer bytes] [ethernet-type type][interface

name][packet-length bytes]

ex : #capture extpix.cap interface outside

show capture [capture.name] [access-list][count] [detail] [dump]

show capture

show capture extpix.cap

https://pix/capture/capture-name/pcap –> donne un fichier compatible avec ethereal

6.[SSH]

(config)# domain-name icfdai.local

(config)# host FW501

(config)# ca gen rsa key 1024

For <key_modulus_size> >= 1024, key generation could

take up to several minutes. Please wait.

Keypair generation process begin.

Success.

(config)# ssh timeout 60

(config)# password colnago

(config)# ca save all

(config)# ssh 0.0.0.0 0.0.0.0 inside

(config)# ssh 0.0.0.0 0.0.0.0 outside

V7: PIX1(config)# crypto key gen rsa

Acces en ssh depuis linux : ssh –l –c des pix@addresse_ip

7. [Les commandes basiques]

7.1. [Write]

write terminal: visualize la conf en RAM

write net ->copy run tftp

write net tftp_server_ip:filename: sauvegarde de la conf RAM vers tftp

write erase -> erase startup

write memory ->copy run start

write standby ->copie la config en RAM d’un PIX vers un PIX en failover

write terminal-> show run

write standby: copie de la conf RAM vers le standby

write floppy: sauvegarde la conf sur floppy (PIX 520)

7.2. [Configure]

configure net tftp_server_ip:filename: copie tftp ram

configure floppy: copie floppy ram (uniquement PIX 520)

configure factory-default: restaure la conf. par défaut sur PIX 501, 506, 506E

7.3. [Autres]

enable, enable password, passwd

configure memory: copie de flash en ram

show configure: visualise la conf. en flash

clear config all : idem pour pix 515

configure http(s)://(user:passwd) location (:port_number)/http_path: copie http ram

show interface, show ip address, show memory, show version, show xlate

exit, reload

hostname, ping, telnet

enable password mot_de_passe: contrôle l’accès en mode privilege

passwd mot_de_passe: un mot de passe pour les accès telnet

#telnet @ip

#kill telnet_id

#who

8. [Upgrade/Recovery]

Image upgrade 515:

<ESC> ou <BREAK> lors de la phase de boot.

monitor> interface [num] : spécifie l’interface à utiliser en tftp.

monitor> address @IP : l’adresse IP de l’interface du PIX

monitor> gateway @IP : spécifie une def gateway si nécessaire

monitor> ping @_I__tftp

monitor> server @IP : nomme le serveur

monitor> file nom_du_fichier: indiquer le nom du fichier

monitor> tftp : débute la sequence de download

rawrite.exe pour copier pix.XXX.bin sur un floppy.

Upgrade par tftp :

Ios :

#copy tftp flash

Pdm :

copy tftp://10.0.0.100/pdm-301.bin flash:pdm