Guide dinstallation rapide Commutateurs L3+

Modles : Srie Rapier AT-8624T/2M AT-8624PoE AT-8648T/2SP AT-8724XL AT-8748XL AT-8824 AT-8848

Guide dinstallation rapide Commutateurs L3+ Version 3 Novembre 2005 2005 Allied Telesyn International SAS. Tous droits rservs. La reproduction de tout ou partie de ce document est strictement interdite sans lautorisation crite pralable dAllied Telesyn International SAS. Allied Telesyn International SAS se rserve le droit de modifier tout ou partie des spcifications techniques, ou tout autre type dinformations figurant dans ce document, sans avertissement pralable. Les informations contenues dans ce document sont susceptibles de changer tout instant. Allied Telesyn International SAS ne saura tre tenu pour responsable, en aucune circonstance, des consquences rsultant de lutilisation des informations contenues dans ce document.

Allied Telesyn International SAS | 12, avenue de Scandinavie | Parc Victoria | Immeuble Le Toronto | 91953 Courtaboeuf Cdex | Les Ulis | France | T: +33 01 60 92 15 25 | F: F: +33 01 69 28 37 49
SAS au capital de 40 000 | Siret 383 521 598 0045 | Code APE 518 G | N TVA : FR 823 835 21 598

www.alliedtelesyn.fr

Sommaire
1. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 3. 3.1. 3.2. 3.3. 3.4. 3.5. 3.5.1. 3.5.2. 3.6. 3.7. 3.8. 4. 5. INTRODUCTION ................................................................................................................................................................... 4 PREMIERS CONTACTS.......................................................................................................................................................... 4 INSTALLATION PHYSIQUE ............................................................................................................................................ 4 ALIMENTATION ................................................................................................................................................................ 5 INSTALLATION DES MODULES LAN OPTIONNELS............................................................................................... 5 INSERTION DES MODULES WAN OPTIONNEL ...................................................................................................... 5 CONFIGURATION USINE............................................................................................................................................... 6 CONNEXION PAR LE PORT CONSOLE .................................................................................................................... 7 AIDE EN LIGNE ................................................................................................................................................................ 10 CONFIGURATION IP ..................................................................................................................................................... 13 CONFIGURATION VIA LINTERFACE WEB .................................................................................................................. 15 CONFIGURATION DES PORTS................................................................................................................................... 16 RECOPIE DE PORTS (PORT MIRRORING) ............................................................................................................... 17 CONFIGURATION DES VLANS................................................................................................................................... 18 ROUTAGE INTER VLANS.............................................................................................................................................. 23 CONTRLE DES COMMUNICATIONS (ACL) ........................................................................................................ 26 CRATION DES CLASSIFIERS....................................................................................................................................... 26 CRATION DES ACTIONS ........................................................................................................................................... 33 ROUTAGE STATIQUE .................................................................................................................................................... 39 GESTION DES UTILISATEURS...................................................................................................................................... 42 ENREGISTREMENT DE LA CONFIGURATION........................................................................................................ 45 RELAIS DHCP ......................................................................................................................................................................... 47 AUTRES FONCTIONNALITS........................................................................................................................................... 47

Page 3 sur 47

1. Introduction
Ce guide a pour objectif de faciliter linstallation dun commutateur L3+ des gammes Rapier, AT-8600, AT-8700XL et AT-8800. Les modles concerns sont : AT-RP24, AT-RP24i, AT-RP48, AT-RP48i, AT-RP16F, AT-RP16Fi, AT-RPG6, AT-RPG6f, AT-8624T/2M, AT-8624PoE, AT8648T/2SP, AT-8724XL, AT-8748XL, AT-8824, AT-8848. Pour avoir un aperu plus complet des fonctionnalits offertes par ces quipements, vous pouvez vous rfrer aux Guides dUtilisation (Users Guide) disponibles pour chaque quipement sur notre site Internet : http://www.alliedtelesyn.fr Notre Assistance Technique se tient galement votre disposition pour tout renseignement complmentaire ou difficult de configuration. Elle est joignable de 9H 17H30, du lundi au vendredi, au : 00 39 05 15 88 78 30 email : alliedsupport_europe@alliedtelesyn.com Aprs installation physique du commutateur dans son environnement, ce document vous guidera pas--pas dans la mise en uvre des fonctionnalits les plus courantes de cet quipement, par lintermdiaire de son interface de configuration Web (HTTP). Pour de plus amples dtails sur dautres fonctionnalits, ainsi que sur les autres interfaces de configuration disponibles, notamment CLI (Ligne de Commandes), merci de vous rfrer au Guide dUtilisation mentionn ci-dessus.

2. Premiers contacts
2.1. Installation Physique
Le commutateur doit tre install dans des conditions environnementales adquates. Temprature dutilisation : de 0 C 40C (0C 50C pour la gamme AT-8800) Humidit relative en utilisation : de 5% 90% sans condensation Dans certains locaux techniques il peut tre ncessaire dinstaller une climatisation pour respecter ces plages dutilisation.

Page 4 sur 47

2.2. Alimentation
Une alimentation 220 VAC 50Hz est ncessaire pour chaque commutateur. Prvoir un amprage suffisant pour alimenter tous les quipements branchs sur la mme source. Pour plus dinformations concernant les consommations lectriques respectives de chacune de ces units, se reporter leur guide dinstallation. Nanmoins, une valeur moyenne de 100 Watts correspond ce qui est gnralement constat en utilisation. Afin doptimiser la disponibilit du rseau, Allied Telesyn prconise lutilisation dun onduleur correctement dimensionn et dune protection contre les surtensions. Lutilisation dune alimentation redondante est optionnelle. Celle-ci peut toutefois galement contribuer lamlioration de la disponibilit du rseau. En cas dutilisation dune alimentation redondante, la consommation de celle-ci doit galement tre provisionne lors du dimensionnement de la source dnergie et des quipements qui lui sont associs. Linstallation ou le retrait dune alimentation redondante ne ncessite pas larrt du commutateur.

2.3. Installation des modules LAN optionnels

Avant dinstaller ou de retirer un module optionnel LAN (100FX ou Gigabit), il est ncessaire de dbrancher toutes les sources dnergie. En cas dinsertion ou retrait lorsque lunit est sous tension, il peut en rsulter des dommages irrmdiables sur le module et/ou le commutateur. Les modules base de connecteur GBIC (Gigabit Interface Converter) ou SFP (Small Factor Plugin) peuvent sinsrer chaud dans lun des emplacements prvus, sans que cela ne ncessite la mise hors tension de lquipement ou son redmarrage.

2.4. Insertion des modules WAN optionnel

Les AT-RP24, AT-RP24i, AT-RP16F et AT-RP16Fi acceptent des modules WAN optionnels. En premier lieu, il est ncessaire dquiper le commutateur dune baie AT-AR040 (module NSM). Cette baie sinstalle en face arrire et est mme de recevoir jusqu 4 cartes dinterface WAN.

Page 5 sur 47

Le module NSM peut tre insr ou extrait chaud si la version du systme dexploitation est la 2.4.1 (et versions suprieures). Nanmoins, il est ncessaire de dsactiver la baie WAN au pralable. Ceci peut tre ralis en exerant une pression sur le bouton Hot Swap laide dune pointe de stylo. Aprs quelques secondes, le voyant in use doit steindre et le voyant Swap doit sallumer. Vous pouvez alors insrer ou extraire le module NSM. Une fois lopration effectue, une nouvelle pression sur le bouton Hot Swap permet de ractiver lutilisation de la baie WAN. Aucune carte PIC (carte dinterface WAN) ne peut tre installe ou extraite lorsque la baie WAN est active. Seules les cartes PIC AT-AR021 (accs de base RNIS) et AT-AR023 (interface synchrone) peuvent tre installes ou retires sans dbrancher le commutateur. Il est toutefois ncessaire de dsactiver la baie selon la mthode dcrite ci-dessus. En dautres termes, linsertion ou le retrait chaud des cartes AT-AR021 et AT-AR023 ne peut se faire que lorsque le voyant Hot Swap est allum. Les autres cartes PIC ncessite de dbrancher le commutateur pour pouvoir tre manipules. LE NON RESPECT DE CES PROCEDURES PEUT PROVOQUER DES DOMMAGES IRREMEDIABLES AUX DIFFERENTS CONSTITUANTS. En cas de doute, il est conseill de dbrancher le commutateur avant une manipulation sur la baie WAN. Tenir compte des limitations suivantes concernant lutilisation des cartes PIC dans un module NSM : Nous dconseillons lutilisation de la carte AT-AR026 (commutateur 4 ports de niveau 2) dans le module NSM Seules deux cartes AT-AR020 (carte RNIS PRI/E1/T1) peuvent tre utilises dans un module NSM. De plus, celles-ci ne doivent pas tre alignes cte cte.

2.5. Configuration usine

En sortie dusine, le commutateur est livr avec une configuration dite configuration dusine . Dans les environnements les plus simples et lorsque une administration de lunit au travers du rseau nest pas ncessaire, cette configuration peut tre utilise sans modification. Le commutateur se comporte alors comme un commutateur de niveau 2 non administrable. Tous les ports sont dans le mme VLAN (VLAN 1) et peuvent donc communiquer ensemble Tous les ports sont en auto ngociation pour la vitesse et/ou le mode duplex Tous les ports cuivre sont auto MDI/MDIX Le Spanning Tree nest pas activ Aprs avoir t configur, il est possible de rtablir la configuration usine via linterface dadministration.

Page 6 sur 47

La configuration usine est enregistre dans un fichier nomm boot.cfg. Pour pouvoir revenir en configuration usine de la manire la plus simple, nous vous dconseillons denregistrer vos configurations sous ce nom

2.6. Connexion par le port console

Lorsque le commutateur est en configuration usine, seule une connexion par le port console est possible. Cest donc ce moyen qui doit tre utilis pour attribuer les paramtres IP au module dadministration. Utiliser le cble console fourni en le connectant dune part au port console du commutateur (au format RS232 ou RJ45 selon lquipement) et dautre part au port COM dun PC. A laide dun utilitaire dmulation de terminal tel que HyperTerminal (livr avec Windows), crer une nouvelle connexion ayant les caractristiques suivantes:
Paramtre Valeur

Vitesse Bit de donnes Parit Bit de top Contrle de flux Type dmulation

De 1200 115200 bps (dfaut 9600) 8 Aucune 1 Aucun VT100

Donner un nom la connexion et choisir une icne

Page 7 sur 47

Slectionner le port Com utiliser

Entrer les paramtres de la connexion

Page 8 sur 47

Modifier le mode dmulation si besoin

Une fois cette connexion cre et active, appuyer sur la touche Entre deux fois pour faire apparatre lcran suivant :
login:

Entrer alors le nom dutilisateur (login) puis le mot de passe (password). Lors de la premire connexion sur un commutateur en sortie dusine, utiliser les paramtres suivants : login : password : manager friend

Il vous sera possible par la suite de changer ce mot de passe. Pour des raisons de scurit, ceci est fortement recommand. Une fois connect au commutateur, le prompt se prsente tel que ci-dessous :
login: manager Password: Manager >

Page 9 sur 47

2.7. Aide en ligne

Via une connexion par le port srie, ces commutateurs se configurent par ligne de commandes (CLI). Si lon considre leur richesse fonctionnelle, cest le systme le plus efficace. Toutefois cela ncessite quelques connaissances de la syntaxe AlliedWare, notamment pour lattribution des paramtres IP dans le but dy accder par linterface graphique. Il existe deux moyens dobtenir de laide : En tapant ? au prompt, on obtient alors la liste des actions ou options possibles ce stade de la commande.
Manager > Options: ACTivate ADD Connect CLear CREate COPy DEACTivate DELete DESTroy DISable Disconnect DUMP EDit ENAble FINGer FLUsh Help LOAd MAIL MODify PING PURge REName Reconnect RESET RESTART SET SHow SSH STARt STop TELnet TRAce UPLoad LOGIN LOGON LOgoff LOgout Manager >

Manager > add ip ? Options : ARP ASPATHlist COMmunitylist DNS EGP FILter HElper IGMP MVR Host INTerface RIP ROUte ROUTEMap SA TRusted Manager > add ip

Vous pouvez noter quune partie de la commande est note en majuscule et lautre partie en minuscule. La partie en majuscule reprsente la notation abrge et suffit pour entrer les commandes. En tapant help au prompt. On liste alors tous les modules configurables sur lquipement. En entrant help nom_dun_module, la liste des options configurables dans ce module apparat. Si lon entre help nom_dun_module option, la syntaxe complte ainsi que toutes les options complmentaires et les valeurs admises apparaissent.

Page 10 sur 47

Manager > help Rapier Series Switches HELP v2.6.2 Rev A, 23-Feb-2004

Help is available on the following topics: HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP APPLETALK ASYNCHRONOUS BGP BRIDGE BOOTP CLASSIFIER DHCP DHCP6 DS3 DVMRP ENCO FIREWALL FR GARP GRE HELP HTTP IGMP Appletalk commands Async ports, TTY, & Asynchronous call control BGP version 4 routing protocol commands Bridging commands BootP relay commands Generic packet classifier commands DHCP server commands DHCP6 commands DS3 commands Distance Vector Multicast Routing commands Encryption and Compression commands Firewall commands Frame Relay protocol commands Generic Attribute Registration Protocol Generic Routing Encapsulation (GRE) commands More about this help HTTP Server and client commands Internet Group Management commands

--More-- (<space> = next page, <CR> = one line, C = continuous, Q = quit) Manager > help ip Rapier Series Switches HELP v2.6.2 Rev A, 23-Feb-2004

Help is available on the following IP topics: HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP HELP IP IP IP IP IP IP IP IP IP IP IP IP IP IP IP IP IP IP GENERAL ARP INTERFACE ROUTE ROUTE FILTER ROUTEMAP ASPATH HOST RIP EGP DEBUG SECURITY HELPER FILTER SA POOL ICMP OTHER General IP commands IP ARP commands IP interface commands IP route commands IP route filter commands IP routemap commands IP AS path and community commands IP local host table commands RIP protocol commands EGP protocol commands IP debugging commands IP security commands IP helper commands IP traffic filter commands IP Security Association (VPN) commands IP Pool commands ICMP commands Other IP commands

Manager >

Page 11 sur 47

Manager > help ip interface Rapier Series Switches HELP v2.6.2 Rev A, 23-Feb-2004

IP Interface commands: ADD IP INTERFACE=interface IPADDRESS={ipadd|DHCP} [BROADCAST={0|1}] [DIRECTEDBROADCAST={FALSE|NO|OFF|ON|TRUE|YES}] [FILTER={0..99| NONE}] [FRAGMENT={NO|OFF|ON|YES}] [GRATUITOUSARP={ON|OFF}] [GRE={0..100|NONE}] [IGMPPROXY={OFF|UPSTREAM|DOWNSTREAM}] [MASK=ipadd] [METRIC=1..16] [MULTICAST={BOTH|NO|OFF|ON|RECEIVE| SEND|YES}] [OSPFMETRIC=1..65534] [POLICYFILTER={100..199|NONE}] [PRIORITYFILTER={200..299|NONE}] [PROXYARP={FALSE|NO|OFF|ON|TRUE| YES}] [RIPMETRIC=1..16] [SAMODE={BLOCK|PASSTHROUGH}] [VJC={FALSE| NO|OFF|ON|TRUE|YES}] DELETE IP INTERFACE=interface SET IP INTERFACE=interface [BROADCAST={0|1}] [DIRECTEDBROADCAST={FALSE|NO|OFF|ON|TRUE|YES}] [FILTER={0..99| NONE}] [FRAGMENT={NO|OFF|ON|YES}] [GRATUITOUSARP={ON|OFF}] [GRE={0..100|NONE}] [IGMPPROXY={OFF|UPSTREAM|DOWNSTREAM}] [IPADDRESS=ipadd|DHCP] [MASK=ipadd] [METRIC=1..16] [MULTICAST={BOTH|OFF|ON|RECEIVE|SEND}] [OSPFMETRIC=1..65534] [POLICYFILTER={100..199|NONE}] [PRIORITYFILTER={200..299|NONE}] [PROXYARP={FALSE|NO|OFF|ON|TRUE|YES}] [RIPMETRIC=1..16] [SAMODE={BLOCK|PASSTHROUGH}] [VJC={FALSE|NO|OFF|ON|TRUE|YES}] SHOW IP INTERFACE[=interface] [COUNTER[=MULTICAST]] ENABLE IP INTERFACE=interface DISABLE IP INTERFACE=interface RESET IP INTERFACE=interface Manager >

Si, lorsque vous utilisez la commande help, vous obtenez lcran ci-dessous, cela indique que le fichier daide nest pas dclar.
Manager > help ************************************ * No Help file is currently loaded * ************************************ Please obtain the latest help file from your distributor or reseller, load the file onto the switch using a TFTP server and set the help file on the switch. To load the help, use the command: load file=<xxx.hlp> server=<ip address of TFTP server> dest=flash Once the help file is loaded, it must be installed, using the command: set help=<xxx.hlp> Further information regarding the file system and load commands can be found in the "Operations" section of the Reference Manual.

Pour le dclarer, vrifiez dans un premier temps le nom du fichier daide prsent en mmoire flash laide de la commande sh file=*.hlp:

Page 12 sur 47

Manager > sh file=*.hlp Filename Device Size Created Locks ------------------------------------------------------------------------rp-262a.hlp flash 196108 24-Mar-2004 19:13:53 0 ------------------------------------------------------------------------Manager >

Dans le cas o plusieurs fichiers .hlp sont prsents, noter le nom de celui qui est le plus rcent puis le dclarer laide de la commande set help=nom.hlp
Manager > set help=rp-262a.hlp Info (1034003): Operation successful. Manager >

2.8. Configuration IP
Cette tape a pour but dattribuer une adresse IP au commutateur afin de pouvoir y accder au travers du rseau. Ces commutateurs sont des commutateurs de niveau 3 et plus. Les adresses IP sont donc attribues aux interfaces logiques VLANs. Au dpart, le seul VLAN qui existe sur le commutateur est le VLAN default qui porte lidentifiant 1. Cette interface est donc note VLAN1. Il est possible de lui attribuer une adresse IP en suivant lexemple ci-dessous :
Manager > enable ip Info (1005287): IP module has been enabled. Manager > add ip interface=vlan1 ip=192.168.0.200 mask=255.255.255.0 Info (1005275): interface successfully added. Manager >

La commande enable ip est ncessaire pour lancer la pile protocolaire TCP/IP Si la valeur de masque correspond au masque par dfaut de ladresse utilise, il nest pas obligatoire de le mentionner. Le systme lajoute alors automatiquement.

Page 13 sur 47

La commande sh ip int permet de vrifier la configuration ralise:

Manager > sh ip int Interface Type IP Address Bc Fr PArp Filt RIP Met. SAMode IPSc Pri. Filt Pol.Filt Network Mask MTU VJC GRE OSPF Met. DBcast Mul. -----------------------------------------------------------------------------Local --Not set - - --- -Pass -----Not set 1500 --- -----vlan1 Static 192.168.0.200 1 n Off --- 01 Pass No ----255.255.255.0 1500 --- 0000000001 No Rec ------------------------------------------------------------------------------

A ce stade, le commutateur est accessible via le rseau. Toutefois la configuration nest prsente quen mmoire vive (RAM) et serait efface en cas de redmarrage du systme. Il faut donc, dune part, sauvegarder cette configuration en mmoire flash, et dautre part la dsigner comme tant la configuration de dmarrage.

Manager > create conf=demo.cfg Info (1049003): Operation successful. Manager > set conf=demo.cfg Info (1049003): Operation successful. Manager >

Le nom doit faire 16 caractres au maximum et avoir lextension .cfg. Lensemble de la configuration du commutateur peut tre effectue travers ce systme de commandes en ligne. Toutefois, pour des raisons dergonomie, la mthode de configuration dcrite dans ce document sappuie sur linterface Web qui est utilise par la suite.

Page 14 sur 47

3. Configuration via linterface Web

La suite de la configuration du commutateur peut se faire, comme prsent ci-dessous, par lintermdiaire du serveur HTTP embarqu. Pour ce faire : Lancer votre navigateur Internet, Entrer ladresse http://<IP http://192.168.0.200) du commutateur> dans la barre dadresses (ex :

Une fentre apparat vous demandant le login et mot de passe associ. Renseigner ceux-ci et cliquer sur OK. Lcran suivant apparat :

Lensemble des paramtres est accessible via la barre de menus situe gauche. Le bouton Monitoring permet de visualiser les paramtres, ainsi que certaines informations systmes, sans les modifier, tandis que le bouton Configuration permet de modifier lensemble de ces valeurs. La section Management permet de grer les fichiers et les utilisateurs et la section Diagnostics fournit des statistiques et des informations classes par couche rseau.

Page 15 sur 47

3.1. Configuration des ports

Il est possible depuis lcran ci-dessus de visualiser et configurer ltat des ports. Pour cela, cliquer sur lun des ports pour faire apparatre lcran suivant :

Le bouton Stats permet de visualiser les statistiques relatives ce port Le bouton Config permet den faire la configuration :

Page 16 sur 47

3 1

Permet dactiver ou de dsactiver le port. Activ par dfaut.

Permet de forcer la vitesse et le mode duplex du port. Configur par dfaut en auto 2 ngotiation.
3

Permet dattribuer un nom au port afin den faciliter lidentification.

Les valeurs par dfaut des autres paramtres conviennent le plus souvent. Pour plus dinformation sur ceux-ci, se rfrer au manuel de lutilisateur au chapitre Switch.

3.2. Recopie de ports (port mirroring)

Il est possible, sur ces commutateurs, de crer une instance de recopie de ports. Le trafic entrant et/ou sortant sur un ou plusieurs ports peut tre recopi vers un autre port, afin den faire la capture des fins danalyse. Choisir le menu configuration/port/mirroring, afin dobtenir lcran suivant :

Page 17 sur 47

1 2

Activer la recopie de ports Slectionner le port vers lequel le(s) trafic(s) sera recopi Slectionner les ports dont le trafic sera recopi. Un premier click recopie le trafic entrant par ce port (), un deuxime click le trafic sortant (), un troisime click le trafic entrant et sortant () et un quatrime click annule la recopie pour ce port. Cliquer sur Apply pour activer la fonction.

3.3. Configuration des VLANs

Ces familles de commutateurs permettent de raliser des VLAN par port et de transporter les identifiants de VLAN par le biais du standard 802.1q (VLAN tagging). Pour configurer des VLAN, slectionner dans la barre de menu Configuration/Layer 2/VLANs. Lcran suivant apparat alors :

Page 18 sur 47

Cette fentre visualise la configuration actuelle des VLANs. En loccurrence, seul un VLAN existe (VLAN default) qui ne peut tre dtruit. A ce stade ce VLAN contient tous les ports. Lexemple ci-dessous dcrit la mthode pour crer deux nouveaux VLANs utilisant un port commun pour remonter sur un quipement dagrgation.

Page 19 sur 47

Les ports 1 8 appartiennent au VLAN admin (identifiant 2) Les ports 17 24 appartiennent au VLAN prod (identifiant 3) Le port 25 appartient au VLAN admin et au VLAN prod Pour crer un nouveau VLAN, slectionner Add depuis la fentre prcdente :

1 2

Donner un nom au VLAN, en loccurence admin. Attribuer un identifiant (VID) au VLAN, dans cet exemple 2. Cliquer une fois sur les port 1 8. Un V apparat alors sur le port indiquant son association avec ce VLAN. Cliquer 2 fois sur le port 25. Ce port devant appartenir plusieurs VLAN, il est donc ncessaire de le tagger . Un V barr dun drapeau apparat sur le port. Cliquer sur Apply pour activer ce VLAN

Page 20 sur 47

Vous obtenez alors lcran ci-dessous :

Le VLAN qui vient dtre cr apparat dans la liste. Notez que les ports non taggs de ce VLAN sortent automatiquement du VLAN default. Le port 25 quant lui reste non tagg dans le VLAN default et tagg dans le VLAN admin. Note importante : ladresse IP par laquelle lon se connecte au commutateur est attribue au VLAN default (VID 1). Le port sur lequel est attach la station avec laquelle vous vous connectez sur le commutateur doit donc rester dans ce VLAN sous peine de ne plus pouvoir le joindre au travers du rseau. Raliser la mme opration pour le VLAN prod (VID 2). Ne pas oublier dassocier le port 25 ce VLAN en le taggant. Aprs quoi, vous devez obtenir lcran rcapitulatif suivant :

Page 21 sur 47

Suite cela, vous avez donc trois VLANs (dfault, admin, prod) qui ne peuvent communiquer ensemble.

Page 22 sur 47

3.4. Routage inter VLANs

Lactivation du routage inter VLANs se fait en attribuant une adresse IP aux interfaces logiques VLAN. Pour cela, dans la barre de menu slectionner Configuration/internet protocol/interfaces :

Seul linterface VLAN1 possde une adresse IP ce qui est conforme la configuration ralise jusqu prsent. Pour attribuer une adresse aux autres interfaces, cliquer sur Add :

Page 23 sur 47

Slectionner linterface Entrer les paramtres IP Cliquer sur Apply pour activer ces paramtres

Les autres valeurs nont pas tre modifies dans cet exemple. En cas dutilisation de protocole de routage dynamique, veuillez consulter les chapitres IP et OSPF du manuel de lutilisateur. Pour le multicast, veuillez consulter les chapitres IP et IP multicast. Renouveler lopration pour toutes les interfaces devant tre routes. Une fois les deux nouvelles interfaces configures, vous devez obtenir le tableau rcapitulatif suivant :

Page 24 sur 47

Notez que les adresses attribues aux diffrentes interfaces doivent tre, tout comme sur un routeur, dans des rseaux diffrents. Une fois cette tape de configuration ralise, toutes les communications sont possibles entre les VLANs si les stations sont correctement configures. Une station appartenant au VLAN 2 devra avoir une adresse dans le mme rseau IP que ladresse affecte linterface VLAN 2 et ladresse de sa passerelle par dfaut est gale ladresse attribue linterface VLAN 2. La mme logique sapplique bien sr aux stations de VLAN 1 et VLAN 3.

@IP: Masque: Passerelle:

10.0.0.1 255.255.255.0 10.0.0.100

10.0.0.100

172.16.0.100

@IP: Masque: Passerelle:

172.16.0.1 255.255.255.0 172.16.0.100

Page 25 sur 47

3.5. Contrle des communications (ACL)

Il est frquent de vouloir mettre en place des restrictions de trafic entre stations. Il est alors ncessaire de mettre en place un contrle des communications, ou access lists (ACLs). Dans lexemple prcdant, on peut souhaiter que, concernant les communications inter VLAN, seules soient possibles les communications entre les stations A et B et ce uniquement en http. La mise en place des ACLs se fait en deux tapes : LIdentification des flux Une action sur les flux identifis (acceptation ou rejet) Lidentification des flux est configure dans le module Classifier et les actions dans le module Port traffic Filters. 3.5.1. Cration des Classifiers Les flux qui vont devoir tre identifis sont les suivants : 1. 2. 3. 4. 5. 6. Les flux venant de VLAN 1 et allant vers VLAN 2 Les flux venant de VLAN 1 et allant vers VLAN 3 Les flux venant de VLAN 2 et allant vers VLAN 1 Les flux venant de VLAN 2 et allant vers VLAN 3 Les flux venant de VLAN 3 et allant vers VLAN 1 Les flux venant de VLAN 3 et allant vers VLAN 2

On se servira de ladresse de rseau source et destination pour identifier ces 6 flux. 7. Les requtes HTTP venant de A et allant vers B 8. Les requtes HTTP venant de B et allant vers A 9. Les rponses HTTP venant de B et allant vers A 10. Les rponses HTTP venant de A et allant vers B On se servira des adresses de stations source et destination ainsi que du port applicatif (HTTP = 80) pour identifier ces deux flux. Dans la mesure o lidentification (et les actions que lon verra par la suite) est indpendante du niveau de commutation (2 ou 3), il est ncessaire didentifier tous les flux qui seront rejets. Autrement dit, on ne peut partir sur une stratgie visant autoriser les communications HTTP entre A et B et interdire tout le reste car dans ce cas les communications lintrieur dun mme VLAN seraient galement rejetes. Dautre part, il est important de noter que lordre des Classifiers est dterminant. En effet lordre doit tre du flux le moins prcis (ex. dun rseau vers un autre rseau) au flux le plus prcis (ex. dune station vers une autre station sur un protocole). Lordre de lexemple ci-dessus est donc correct.

Page 26 sur 47

Cration du classifier 1 Slectionner configuration/traffic control/classifiers :

Pour linstant, il nexiste aucun Classifier. Pour en crer un, cliquer sur Add :

Donner un numro au Classifier. Ce numro ne doit pas tre dj utilis. Se souvenir galement de limportance de lordre.

Page 27 sur 47

Slectionner le protocole de niveau 3 identifier (obligatoire). Les diffrents choix possibles sont Any si vous souhaitez que ce Classifier sapplique nimporte quel protocole de niveau 3, Protocol name si vous souhaitez quil sapplique un protocole rpertori dans la liste droulante ou, si le protocole nest pas rpertori il vous faut choisir Protocol Number et spcifier lidentifiant de celui-ci en hexadcimal. Dans notre cas, il sagit du protocole IP. Vous devez donc slectionner Protocol Name puis choisir IP dans la liste droulante. Cliquer sur Next pour passer ltape suivante.

Enter ladresse de rseau source (VLAN1 : 149.35.54.0) et la valeur de masque en notation binaire (24). Faire de mme pour le rseau de destination (VLAN2 : 10.0.0.0/24). Cliquer sur Next pour passer ltape suivante. Dans cet exemple, les autres champs nont pas besoin dtre modifis. Il sagit de champs permettant didentifier un trafic avec le marquage de priorit prsent au niveau 3 selon les standard Diffserv (Code Point Field) ou IP precedence (IP TOS Byte). Comme nous ne souhaitons pas utiliser cette valeur, laisser loption Any (nimporte quelle valeur) coche.

Page 28 sur 47

A ce niveau, il est possible de spcifier la nature de protocole de niveau 4 ou dautres protocoles de la suite IP (ICMP, IGMP). Pour TCP il est possible de spcifier le(s) port(s) source et destination ainsi que ltat des bits signification (URG, ACK, RST) alors que pour UDP seuls les ports source et destination peuvent tre renseigns. Dans le cas prsent, la nature du flux identifi ne dpend pas des valeurs pouvant tre renseignes dans cette fentre. Laissez Any coch pour que le Classifier nen tienne pas compte.
1

Cliquer sur Next pour passer ltape suivante.

Page 29 sur 47

Cette dernire tape permet de dsigner un port (physique) dentre et/ou de sortie, lidentifiant du VLAN de destination, le type dencapsulation Ethernet et les adresses MAC source et/ou destination dont le Classifier devra tenir compte. Dans cet exemple, ces valeurs ne sont pas significatives, donc laisser les valeurs par dfaut.
1

Cliquer sur End pour passer ltape suivante.

Lcran ci-dessus fournit un rcapitulatif des Classifiers qui ont t crs. Vous pouvez alors crer les Classifiers 2 6 selon la mme mthode. Cration des Classifiers 7 et 8 Les seules diffrences avec la ralisation des Classifiers prcdents sont les adresses des stations source et destination qui doivent utiliser un masque 32 (255.255.255.255), pour indiquer quil sagit de stations au lieu dadresses de rseau.

Page 30 sur 47

50 50

Spcifier quil sagit de TCP avec le port de destination 80

Cration des Classifiers 9 et 10 Il sagit des flux que renvoie le serveur HTTP, les adresses source et destination restent donc celles de A et B et cest le port TCP source (80) qui doit tre renseign.

Page 31 sur 47

Au final, on obtient le tableau rcapitulatif suivant :

Page 32 sur 47

3.5.2. Cration des actions Dans la section prcdente, nous avons dfini des flux identifier mais aucune action ne leur est applique. Autrement dit, ce stade tous les flux sont accepts. Nous allons donc dfinir des actions pour chacun des Classifiers crs. Slectionner configuration/traffic control/port traffic filter :

Comme on peut le voir dans lcran ci-dessus, aucune action nest encore dfinie. Pour en crer une, cliquer sur Add :

Page 33 sur 47

Dans la mesure o les six premiers Classifiers doivent se voir appliquer la mme action (rejet), il est possible de les traiter dans un mme lot. Cliquer ensuite sur Next

Page 34 sur 47

Ces flux doivent tre rejets, slectionner Discard the packet. Cliquer sur End

On peut voir que de nombreuses autres options sont proposes par cet cran, notamment la possibilit de marquage de QoS sur le(s) flux (802.1p, DiffServ, translation dune priorit de niveau 2 au niveau 3 et inversement). Ces options de configuration peuvent sutiliser sans spcifier daction sur lune des cases du premier cadre (Forward, Discard, Do not Drop), dans la mesure o, par dfaut, les paquets sont commuts. Par contre, il est ncessaire tenir compte dactions de rejet qui serait appliques sur des flux plus gnriques. Pour plus dinformations concernant les possibilits quoffrent ces diffrents champs, consulter le manuel de lutilisateur au chapitre Switch et la section Hardware Filter. A ce stade, lensemble du trafic inter VLAN sera rejet.

Page 35 sur 47

Pour autoriser les changes HTTP entre les stations A et B, ce qui correspond aux Classifiers 7 10, il faut crer une nouvelle action (filtre). Pour cela cliquez sur Add :

Slectionner les Classifiers de 7 10, puis cliquer sur Next :

Page 36 sur 47

1 2

Cocher la case Do not drop the matching frame previously marked for dropping Cliquer sur End:

Page 37 sur 47

La liste de rgles de communication est ainsi constitue. Pour rsumer, lorsque vous souhaitez mettre en place des rgles de communication il faut tenir compte des points suivants : Les Classifiers doivent tre ordonns du flux le plus gnrique jusquau flux le plus prcis par ordre croissant de numro. Un flux pour lequel il ny a aucune action dfinie, donc aucun filtre utilisant un Classifier qui identifie de manire prcise ou gnrique ce trafic, sera commut. Autrement dit, il ny a pas de rejet implicite comme cest souvent le cas sur un pare-feu. Toutefois, il est facile den crer un en ralisant un Classifier portant le numro 1 et en laissant tous ses paramtres aux valeurs par dfaut. Ce classifier doit ensuite tre associ un filtre daction marquant le flux comme devant tre rejet (Discard). Les autres filtres remarqueront ensuite les flux spcifiques ne devant pas tre rejet (nodrop). Chaque paquet est soumis lensemble des filtres daction de manire linaire. Le statut (rejet ou commut) du paquet est mis jour chaque filtre le concernant, do la logique de mettre les trafics les plus gnriques en premier puis daller vers des trafics de plus en plus prcis. Les Classifiers sont une abstraction de configuration. Tant quils ne sont pas associs un filtre daction, ils sont inoprants. Pour plus dinformation sur le contrle daccs, veuillez vous rfrer au chapitre Switch, section Hardware filtering du manuel de lutilisateur.

Page 38 sur 47

3.6. Routage statique

Laccs dautres rseaux IP que ceux dclars sur le commutateur est lune des fonctions importantes qui peuvent tre configures. Cela implique que le commutateur connaisse le chemin (route) que devront emprunter les paquets destination de ce(s) rseau(x) distant(s). Ces routes peuvent tre apprises de manire dynamique par le biais dun protocole de routage (RIP, OSPF, BGP4) ou entres de manire statique. On parle alors de routage statique. Dans le cadre de ce guide seul le routage statique sera expos. Si lon considre lexemple ci-dessous :

10.0.0.0/24

Commutateur L3

Le routeur A permet daccder dune part Internet et dautre part un site distant qui a pour adresse de rseau 10.0.0.0/24. Ce routeur est connect au commutateur de niveau 3. Le commutateur de niveau 3 doit donc connatre la route pour atteindre Internet (route par dfaut) et la route pour atteindre le site distant. Pour cela il faut entrer 2 routes dans le commutateur de niveau 3. Slectionner configuration/Internet protocole/routes :

Page 39 sur 47

Pour linstant aucune route nest prsente. Cliquer sur Add pour entrer la route statique :

3 4

Entrer ladresse du rseau de destination et son masque. Puisquil sagit dInternet, ladresse et la valeur de masque sont fixes 0.0.0.0. Cest cette route par dfaut qui sera utilis lorsque le flux aura pour destination un rseau qui nest pas connu du commutateur ou pour lequel il ne possde pas de route. Cest en quelque sorte lquivalent dun panneau toutes directions.

Page 40 sur 47

Indiquer linterface du commutateur par laquelle devront tre expdis les flux utilisant cette route. Dans cette configuration le commutateur ne possde quun seul VLAN (VLAN Default, VID 1) cest donc celui-ci qui est automatiquement slectionn. Entrer ladresse IP de linterface cot commutateur de niveau 3 du routeur A (149.35.54.254) Cliquer sur Apply pour ajouter la route

Renouveler lopration pour entrer la route statique vers le rseau distant

Aprs avoir cliqu sur Apply vous devez obtenir lcran suivant :

Page 41 sur 47

3.7. Gestion des utilisateurs

Le compte de connexion par dfaut est comme nous lavons vu manager/friend. Pour des raisons de scurit, il est souhaitable de crer un nouveau compte administrateur puis de supprimer celuici. Pour ce faire, cliquer sur configuration/management/users :

Page 42 sur 47

La base de comptes ne contient que le compte par dfaut. Pour en ajouter un, cliquer sur Add : Note : Ne pas cocher la case Enable system security. Cette fonction nest, en rgle gnrale, ncessaire que si des cls de chiffrement sont utilises. Veuillez vous reporter au chapitre Operation du manuel de lutilisateur pour plus dinformation sur le mode scurit.

Page 43 sur 47

4 3 5

1 2

Donner un nom au nouvel utilisateur. Attribuer un mot de passe cet utilisateur (6 caractres minimum) Attribuer des droits cet utilisateur : slectionner User pour des droits en lecture seule ou manager pour des droits administrateurs. Loption Security Officer est identique loption manager si le commutateur nest pas en mode scurit. Cochez cette case si vous souhaitez que cet utilisateur puisse accder au commutateur via Telnet. Cliquer sur Apply pour activer ce nouvel utilisateur.

Page 44 sur 47

Vous pouvez maintenant suprimer le compte manager/friend. Pour cela, le slectionner puis cliquer sur Remove.

3.8. Enregistrement de la configuration

Lorsque vous apportez une modification la configuration courante, cette modification est directement active mais nest prise en compte quau niveau de la mmoire vive (RAM). Le bouton Save passe alors au rouge pour vous indiquer quil est ncessaire de sauvegarder pour enregistrer vos modifications. Lorsque vous cliquez sur Save, lcran suivant apparat :

Page 45 sur 47

Current : Permet denregistrer en mmoire flash la configuration prsente en mmoire vive sous le mme nom que prcdemment (lancien fichier est rcrit). Other : Permet denregistrer en mmoire flash la configuration prsente en mmoire vive sous un nom de fichier existant dj mais qui nest pas actif (lancien fichier est rcrit). New : Permet denregistrer en mmoire flash la configuration prsente en mmoire vive dans un nouveau fichier (si le nom dun fichier existant est utilis, celui-ci est rcrit). Use this config at bootup : Permet de dclarer le fichier enregistr aprs slection de loption Other ou New comme tant le nouveau fichier de dmarrage. Une fois la slection approprie effectue, cliquez sur Continue pour enregistrer. Apres environ 15 s, lenregistrement est termin. Vous pouvez, si vous le souhaitez, redmarrer le commutateur sans perdre sa configuration. Note : Si vous cherchez quitter lexplorateur (par le bouton de fermeture de fentre Windows ou par le bouton Exit) alors que la configuration en mmoire vive a t modifie sans avoir t enregistre, la fentre ci-dessus apparat automatiquement.

Page 46 sur 47

4. Relais DHCP
Lattribution dynamique des paramtres IP aux quipements terminaux est de plus en plus frquente. Cette fonction est assure par un serveur DHCP. Dans le cas dune configuration avec un seul VLAN o sont runis tous les quipements terminaux et le serveur DHCP, le commutateur est tranparent ce processus. Aucune configuration nest donc ncessaire. Dans le cas ou les quipements terminaux devant se voir attribuer des paramtres IP sont placs dans diffrents VLANs et que lon ne souhaite avoir quun seul serveur DHCP, une configuration est raliser sur le commutateur. En effet, les requtes DHCP mises par les clients sont envoyes en broadcast et ce type de trafic ne peut passer dun VLAN lautre. La fonction de relais DHCP permet de contourner cette impossibilit. Cette fonction ntant actuellement pas accessible depuis linterface Web, vous devez vous connecter via le port console (comme dcrit dans ce document lors de ltape initiale) ou au travers du rseau via Telnet si votre commutateur dispose dune adresse IP. Dans les deux cas, linterface est identique. Pour activer la fonction relais DHCP, entrer les commandes suivantes au prompt :
Manager > enable bootp relay Info (1039003): Operation successful. Manager > add bootp relay=149.35.54.11 Info (1039003): Operation successful. Manager >

Enable bootp relay permet dactiver la fonction Add bootp relay=149.35.54.11 permet dindiquer ladresse IP du serveur DHCP Ds quelles ont t entres, ces commandes sont actives. Toutefois la configuration nest pas enregistre. Pour la sauvegarder en mmoire flash entrer la commande suivante :
Create conf=nom.cfg

o nom reprsente le nom de votre fichier de configuration actif.

5. Autres fonctionnalits
Pour plus dinformations sur les nombreuses autres fonctionnalits des commutateurs AT-RP, AT8800, AT-8700 et AT-8600, se reporter aux Guides dUtilisation relatifs chacune de ces familles, disponibles sur notre site Web. http://www.alliedtelesyn.fr http://www.alliedtelesyn.co.nz/documentation/documentation.html

Page 47 sur 47