3Com-H3C : gamme 4500 - Wiki info-lab.

fr

1 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

2 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

Aides aux commandes du commutateur

L'interface en ligne de commande 3com accessible par telnet, SSh ou port console est organise en 2 niveaux
d'excution (user et system) ; suivant le niveau d'excution, certaines commandes peuvent ne pas tre
accessibles. Le commutateur dmarre en mode "utilisateur (user)" matrialis par le nom du commutateur
entre chevrons <commutateur>. Pour configurer le commutateur il faut basculer en mode "systme
(system)" matrialis par des crochets [commutateur]. La commande pour basculer en mode "systme" est
system-view. Voici les commandes gnriques et aides aux commandes connatre :
saisir ? une chane de caractres incomplte (sans espace entre le texte et ?) permet de lister ce qui
commence par cette chane.
ajouter ? une commande (avec un espace entre la commande et ?) permet de lister les arguments et
options de cette commande.
? utilis seul permet d'accder une aide.
view et menu ont la mme signification dans les commandes.
"CTRL + Z" ou la commande return permettent de revenir en mode "user".
quit permet de remonter d'un niveau dans l'arborescence des menus.
undo est placer avant la commande annuler; par exemple: undo set authentification password
annule la commande set authentification password.
"CTRL + A" ramne le curseur au dbut de ligne.
La touche "tabulation" provoque une compltion standard : La commande est complte si elle est
sans ambigut.
La touche flche haut permet de rappeler les dernires commandes valides.
La numrotation des ports du commutateur respecte la convention suivante: "x/y/z" ou "x" est le
numro de l'unit dans l'empilement, "y" l'emplacement (0 pour la faade, 1,2... pour le cartes
additionnelles, et "z" le numro du port physique dans l'emplacement ; exemple: 2/0/13 est le 13me
port en faade du 2me commutateur dans l'empilement (stack).
Problmes connus et limitations de la gamme 4500
La srie 4500 et son OS 3com version 3.01 sont connus pour avoir les problmes ou limitations suivants :

Pour crer un empilement de commutateurs (stack) les ports gigabit combins 27 et 28 sur les
commutateurs "4500 -26 port" ou 51 et 52 sur les commutateurs "4500 -50" port doivent tre activs
par la commande undo shutdown mais cela dsactive les ports combins 25 et 26 ou 49 et 50.
Ajouter ou retirer un port un agrgat de liens existant sur lequel spanning tree est activ vide toute la
table d'adresses mac de l'agregat ; toutes les adresses sont rapprendre ce qui peut engendrer du
trafic additionnel.
Le mode automatique dans la dsignation des ports d'un agrgat de liens n'est pas enregistr dans la
configuration et donc est perdu en cas de redmarrage du commmutateur ; par contre la configuration
statique des ports d'un agrgat est enregistre.
Redmarrage en mode boot: La squence de break pour accder au menu boot suite un redmarrage
est la combinaison de touches "CTRL + B" mais on dispose tout juste d'une seconde pour envoyer le
break au commutateur ; heureusement il est possible de laisser les 2 touches enfonces pendant tout le
redmarrage jusqu' apparition du menu boot.
Par dfaut seul un commutateur par empilement (stack) renvoie des messages de console; il faut
utiliser la commande info-center switch-on all pour que toutes les units d'un empilement renvoient
leurs messages vers une console.
Quand on utilise la CLI pour crer des entres statiques "ip router-static" ou "arp static" le
commutateur peut modifier des adresses sans envoyer de messages d'avertissement
3COM conseille fortement que tous les ports d'un mme agrgat de liens soient dans le mme VLAN.
1 seule ACL par port, mais une ACL peut avoir plusieurs rgles. Il est dangereux pour la stabilit des
processus d'un commutateur d'affecter une ACL un port dj inclus dans un agrgat de liens : 04/02/2014
Si
08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

3 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

3COM conseille fortement que tous les ports d'un mme agrgat de liens soient dans le mme VLAN.
1 seule ACL par port, mais une ACL peut avoir plusieurs rgles. Il est dangereux pour la stabilit des
processus d'un commutateur d'affecter une ACL un port dj inclus dans un agrgat de liens : Si
besoin, il faut dfaire l'agregat, affecter les ACL et reconstruire l'agregat.
Les OS identifis par 56 dans leur nom incluent des fonctions cryptographiques faibles. Il faut toujours
privilgier les OS identifis par 168.
Ces commandes permettent de retourner en configuration usine:
reset saved-configuration effacement du fichier de configuration (display startup permet de voir ce
fichier)
change self-unit to auto-numbering efface tous les numros d'units d'empilement (stack) (display
ftm topo pour voir quels commutateurs dans un empilement sont configurs avec un numro d'unit
affect manuellement)
undo ftm stacking-vlan le vlan 4094 redevient le vlan par dfaut usine (display ftm information
pour voir le vlan par dfaut actuel)
rsa local-key-pair destroy efface toutes les paires de cls utilises pour ssh.
startup bootrom-access ractive l'accs la bootrom (autorise diffrentes commandes)
undo clock timezone le commutateur retourne son fuseau horaire utc timezone d'origine (display
clock pour voir lequel est configur)
Mots de passe par dfaut
Le systme connait 3 utilisateurs locaux par dfaut (mais on peut en crer d'autres) ; voici leurs mots de
passe usine :
"monitor" dont le mot de passe par dfaut est monitor ==> Accs en lecture tout sauf aux fonctions
spciales ou de scurit.
"manager" dont le mot de passe par dfaut est manager ==> Accs complet en lecture, accs en
criture tout sauf aux fonctions spciales ou de scurit.
"admin" qui n'a pas de mot de passe par dfaut ==> Accs complet en lecture / criture.

Mise en route et configuration basique

Connexion au commutateur
Plusieurs mthodes sont disponibles pour se connecter au commutateur.
En direct grce au cble RJ45/RS232 (fournit dans l'emballage) qui relie le port console du
commutateur un port Com de sa machine en utilisant un mulateur de terminal VT100 comme
GtkTerm, Minicom, Teraterm pro, PuTTy... La configuration du port Com est: 19200 bps, 8 bit de
donnes, pas de parit, 1 bit d'arrt, contrle de flux matriel ou pas de contrle de flux.
Via le rseau, condition de paramtrer une adresse IP l'interface du default VLAN : Avec un client
TELNET, SSh v2 (3Com recommande l'utilisation des clients SSH suivants : "PuTTY", "OpenSSH" et
"SSH Communications Security Corp Secure Shell"), par interface Web http/https (en utilisant un
navigateur acceptant le javascript et le CSS 1.0). La CLI (Command Line Interface) est alors
accessible. Le nom de l'utilisateur par dfaut pouvant se connecter distance est admin.
Par agent SNMP (v1, v2 ou v3)
Via le 3COM Device Manager, client lourd pour Windows.
Configuration de base
Voici la liste des commandes accessibles depuis n'importe quel niveau d'excution (user ou system-view)
? menu d'aide
display XXXX pour afficher des informations d'un lment
quit pour quitter le menu actuel

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

4 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

? menu d'aide
display XXXX pour afficher des informations d'un lment
quit pour quitter le menu actuel
super pour augmenter le niveau de privilges de l'utilisateur
return pour revenir en mode "user"
tracert lance la commande de traceroute
Les autres commandes sont accessibles en mode (ou "view") "user" pour les plus simples ou "system" pour
les plus scuritaires. La commande pour accder au mode "system" est system-view.
Fichiers, date, systme
affecter un nom d'hte :
[4500] sysname nom

(les espaces ne sont pas accepts dans le nom)

Horodatage du commutateur:
<4500> clock datetime HH:MM:SS MM/DD/YYYY (exemple: 14:21:56 01/21/2008
<4500> clock timezone UCT add 01:00:00
(Fuseau hotaire UTC+01:00)

21 janvier 2008 14 heures 21)

Affecter une adresse IP au commutateur :

[4500] int Vlan-interface 1
[4500] ip address xxx.xxx.xxx.xxx mmm.mmm.mmm.mmm

(xxx = adresse IP, mmm = masque)

Lister les fichiers prsents en mmoire flash:

<4500> dir

Afficher la configuration en fonctionnement :

<4500> display current-configuration ou [4500] display current-configuration

Afficher la configuration sauvegarde :

<4500> more nom_du_fichier_de_sauvegarde

(exemple de nom de fichier : commut-secours.cfg)

Afficher la configuration charge au dmarrage:

<4500> display startup

Afficher la version du chargeur de dmarrage:

<4500> display

boot-loader

Enregistrer une modification de configuration:

<4500> save

Basculer en mode configuration:

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

5 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

Basculer en mode configuration:

<4500> system-view

Configuration avance
Gestion des utilisateurs
Cration d'utilisateur:
[4500] local-user toto
(cration de l'utilisateur toto)
New local user added
[4500-luser-toto] level 3
(Niveau maximum, comme admin, les valeurs de niveau vont de 0 3)

Cration de mot de passe: (Et changement de mot de passe pour les versions d'OS 3.03 et suprieures )
[4500-luser-toto] password cipher wsertyu777 (mot de passe chiffr wsertyu777)

Changement de mot de passe: (pour les versions d'OS antrieures la 3.03)

[4500-luser-toto] password
password ********
confirm ********
[4500] password-control history n Le systme va garder en mmoire les n derniers mots de passe de chaque utilis
n est un entier naturel compris entre 2 et 10 inclus.

accs de l'utilisateur:

[4500-luser-toto] service-type xxxxx (remplacer xxxxx par l'accs autoriser: ssh, telnet, ftp, lan-access, ter

Gestion des VLAN

Cration de vlan :
[4500] vlan nvlan
[4500-vlan nvlan] description mon_vlan_prfr

(ATTENTION ! les espaces ne sont pas autoriss dans

Paramtrer l'adresse de l'interface vlan 1:

<4500> system view (permet le passage en mode config)
[4500] interface vlan-interface nvlan
[4500-vlan-interfacenvlan] ip address A.B.C.D E.F.G.H

(E.F.G.H correspond au masque de sous rseau)

Affecter un port Ethernet dans un vlan :

[4500] interface Ethernet numro_du_port (ex : interface Ethernet 1/0/3)
[4500-ethernetndu port] port access vlan nde_vlan

Retirer un port Ethernet dun vlan :

[4500-ethernetndu port] undo port access vlan nde_vlan

A noter que le port et automatiquement affect dans le vlan par dfaut (en principe le vlan 1, sauf changement d

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

6 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

A noter que le port et automatiquement affect dans le vlan par dfaut (en principe le vlan 1, sauf changement d

paramtrer un port en mode trunk:

[4500-ethernetndu port] port link-type trunk

Attention par dfaut seul le VLAN 1 est transport par le trunk. Il faut donc ajouter:
[4500-ethernetndu port] port trunk permit vlan all
pour transporter tous les vlan.
[4500-ethernetndu port] port trunk permit vlan 1 to 14 pour slectionner certains vlan (ici de 1 14 inclus)
[4500-ethernetndu port] port trunk permit vlan 1 3 5 to 14 pour slectionner certains vlan (ici le 1, le 3 et d

Suppression de VLAN :
[4500] vlan nvlan
[4500-vlan nvlan] undo description
[4500] undo vlan nvlan

Gestion des ports et adresses MAC

Dcrire un port Ethernet:
[4500-ethernetndu port] description ma description du port

(les espaces sont autoriss dans la description)

Supprimer le spanning-tree sur un port Ethernet:

[4500-ethernetndu port] stp disable
[4500-ethernetndu port] stp edged-port disable

Fermer un port (down) / ouvrir un port (up):

[4500-ethernetndu port] shutdown
(down)
[4500-ethernetndu port] undo shutdown
(up)

Afficher les ports faisant partie dun vlan:

[4500] display vlan n_de_vlan

Lister les adresses MAC:

<4500> display mac-address
(liste l'ensemble des adresses MAC)
<4500> display mac-address static (liste l'ensemble des adresses MAC statiques)
<4500> display mac-address interface ethernet ndu port (liste l'ensemble des adresses MAC connues par ce port)

Enregistrer une adresse MAC statique:

[4500-ethernetnport] mac-address static ABCD-EFGH-IJKL vlan n_de_vlan
exemple
[4500-ethernetnport] mac-address static 001c-58f2-1e66 vlan 7

Limiter le nombre d'adresses MAC enregistrer dynamiquement:

[4500-ethernetnport] mac-address max-mac-count 1 (1 adresse apprise par l'interface de manire dynamique)

Attention: cette adresse dynamique s'ajoute aux ventuelles adresses statiques, le chiffre de 1 ne concerne donc

Verrouiller un port ethernet sur une adresse MAC:

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

7 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

Verrouiller un port ethernet sur une adresse MAC:

[4500-ethernetnport] mac-address static ABCD-EFGH-IJKL vlan n_de_vlan (apprentissage statique d'une adresse MA
[4500-ethernetnport] mac-address max-mac-count 0 (pas d'apprentissage dynamique)

Passer en system-view et activer le port-security :

[4500] port-security

enable

Sur chaque interface ethernet saisir les commandes suivantes :

[4500-ethernetnport] port-security port-mode autolearn (auto apprentissage dynamique)

Ladresse mac apprise est automatiquement inscrite dans la current config . et pour effacer une adresse
MAC enregistre :
[4500-ethernetnport] undo mac-address security @mac vlan nvlan

Les commandes port-security enable et port-security port-mode autolearn ncessitent un OS en version

minimum 3.03
Dsactiver un port automatiquement ds qu'une adresse MAC non enregistre est dtecte :
[4500-ethernetnport] port-security intrusion-mode disableport (le port sera dsactiv en cas dintrusion)

La ractivation d'un port ainsi verrouill doit tre ralis de la manire suivante :
[4500-ethernetnport] shutdown
[4500-ethernetnport] undo shutdown

SNMP v3
Configuration de snmp en version 2 avec extension de scurit v3
<4500> system-view
[4500] snmp-agent

Dfinition du moteur et de la version snmp :

[4500] snmp-agent local-engineid numro_de_moteur
[4500] snmp-agent sys-info version 3

Le numro de moteur doit comporter au moins 10 caractres hexadcimaux ; exemple

E000002BB001AC10459406877.
cration du groupe USM SNMPv3
[4500] snmp-agent group v3 nom_du_groupe authentification

Dfinition de lutilisateur appartenant ce groupe (SHA-1 sera prfr MD5 pour

l'authentification/contrle d'intgrit)

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

8 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

Dfinition de lutilisateur appartenant ce groupe (SHA-1 sera prfr MD5 pour

l'authentification/contrle d'intgrit)
[4500] snmp-agent usm-user v3 utilisateur nom_du_groupe authentification-mode sha ma_phrase_secrete

Activation des traps snmp et dfinition de la station de gestion SNMP :

[4500] snmp-agent trap enable

[4500] snmp-agent target-host trap udp-domain @ip_de_la_station params securityname utilisateur snmp v3 authenti

et pour supprimer cette commande :

[4500] undo snmp-agent target-host @ip_de_la_station securityname utilisateur

Exemple de configuration SNMP v3 :

[4500]
[4500]
[4500]
[4500]
[4500]
[4500]
[4500]

snmp-agent
snmp-agent
snmp-agent
snmp-agent
snmp-agent
snmp-agent
snmp-agent

local-engineid E000002BB001AC10459406877
sys-info version 3
group v3 groupe01 authentification
usm-user v3 toto groupe01 authentification-mode sha ma_phrase_secrete
trap enable
target-host trap udp-domain 10.10.10.10 params securityname toto authentification

Le groupe est nomm groupe01, l'utilisateur toto fait partie de ce groupe, son secret lui permettant de
raliser authentification et contrle d'intgrit est ma_phrase_secrete, SHA-1 est l'algorithme de condensat
choisi et 10.10.10.10 est la station de gestion qui peut interroger le commutateur et qui sera destinataire des
rponses et des traps mis par le commutateur.

SSH - SFTP
Voici les oprations raliser pour activer SSh et SFTP sur cette gamme de commutateurs :
Tout d'abord gnrer une paire de cls RSA sur le commutateur :
<4500> system-view
[4500] public-key local create rsa
Input the bits in the modulus (default=1024)

(choisir une longueur de cls entre 512 et 2048 bits ; 1024 pa

La gnration des cls peut prendre de quelques secondes quelques minutes.

Choisir quels utilisateurs peuvent se connecter en SSh :
[4500] display current-config
....................
local-user admin
service-type ssh terminal
(l'utilisateur admin peut se connecter en SSh)
....................
local-user titi
service-type terminal
(l'utilisateur titi ne le peut pas encore)
[4500] local-user titi
[4500-luser-titi] service-type ssh
(maintenant il le peut)

Choisir la mthode dauthentification et le type de service pour chaque utilisateur SSh :

[4500] ssh user admin authentication-type password (choix entre password, rsa, password-publickey, publickey ou
[4500] ssh user admin stelnet
(choix entre : all,stelnet et sftp)

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

9 sur 13

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

[4500] ssh user admin authentication-type password (choix entre password, rsa, password-publickey, publickey ou
[4500] ssh user admin stelnet
(choix entre : all,stelnet et sftp)

Admin doit s'authentifier par mot de passe et il ne peut se connecter qu' un VTY (accs la CLI) ; pas de
transfert par SFTP.
[4500] ssh user titi authentication-type publickey
[4500] ssh user titi sftp

Au contraire TITI doit s'authentifier par cl publique et il ne peut que transferer des fichiers par SFTP ; pas
de connexion un VTY.
Au final activer le SSh sur les VTY :
[4500] user-interface vty 0 4
[4500-ui-vty0-4] protocol inbound ssh

Durcir quelques paramtres du serveur SSh :

Fin de la tentative de connexion SSh au bout de 3 checs (de 1 5) :
[4500] ssh server authentication-retries 3

Dconnexion automatique au bout de 2 minutes d'inactivit (de 1 120 en secondes) :

[4500] ssh server timeout 120

A partir de maintenent il est possible et fortement conseill de retirer l'accs telnet pour tous les utilisateurs
de manire imposer SSh.
SFTP transfert de fichiers encapsul par SSh v2 est un remplaant scuris TFTP et FTP.
[4500] sftp server enable

(le serveur SFTP est lanc)

Il faut aussi que le SFTP soit autoris pour l'utilisateur :

[4500] ssh user admin service-type sftp
ou
[4500] ssh user admin service-type all

Un compte de type manager (level 2) est suffisant pour utiliser SFTP. Les comptes de niveau 0 ou 1 ne
peuvent pas utiliser SFTP.
Authentification par cls publiques
L'authentification SSh (pour se connecter un VTY ou effectuer un transfert SFTP) est autorise via 2
mthodes : Mot de passe (ssh user tata authentication-type password) ou cl publique RSA (ssh user tata
authentication-type publickey). Si l'on veut que l'utilisateur tata s'authentifie par cl publique RSA, il faut
raliser les oprations suivantes : Gnerer une paire de cls RSA au moyen par exemple d'OpenSSh, confier
la cle prive RSA "tata" qui doit la conserver prciseusement et en protger l'accs, et dposer la cl
publique correspondante sur le commutateur (par exemple au moyen d'un serveur TFTP):
<4500> tftp @IPserveur_tftp get cleRSA-tata4500.pub

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

<4500> tftp @IPserveur_tftp get cleRSA-tata4500.pub

Le commutateur a tlcharg la cl publique de l'utilisateur tata

Puis transformer la cl publique (que l'on nommera localement cle-rsa-tata par exemple) dans un format
compatible :
[4500] public-key peer cle-rsa-tata import sshkey unit1>flash:/cleRSA-tata4500.pub

Prciser que l'utilisateur tata va utiliser une cl RSA et non plus un mot de passe :
[4500] ssh user tata authentication-type publickey

Et affecter la cl publique importe l'utilisateur local tata

[4500] ssh user tata assign publickey cle-rsa-tata

MIRRORING-MONITORING DE PORT
Gnralits
Le Mirroring-monitoring de port est la possibilit de rpliquer le trafic d'un ou plusieurs ports et de le
renvoyer vers un ou des port du mme commutateur ou d'un commutateur distant (ce que Cisco nomme le
SPAN). Ces ports accueillent en gnral des quipements de scurit (IDS), d'analyse de trafic (sondes) ou
de capture (PCAP, TCPDUMP).
Le(s) port(s) surveill(s) sont dit mirrors, et le(s) port(s) qui reoivent le trafic sont dit monitors.
Mise en place d'un mirroring-monitoring de ports
Les commandes pour activer la redirection de ports sur un commutateur 3COM-H3C sont les
suivantes :
[4500] mirroring-group 1 local
cration d'un groupe local de Mirroring
[4500] interface ethernet 1/0/6
[4500-ethernet1/0/6] mirroring-group 1 mirroring-port both

Le port 1/0/6 est dsign port mirroring dans le groupe 1 et devra renvoyer son trafic entrant et sortant
(grce la commande both) vers les ports monitors qui seront dans le mme groupe, le "groupe 1". On peut
crer plusieurs groupes de mirroring-monitoring sur le mme quipement, chacun tant identifi par un
numro de groupe.
[4500] interface ethernet 1/0/42
[4500-ethernet1/0/42] mirroring-group 1 monitor-port

Le port 1/0/42 est affect au groupe de mirroring-monitoring numro 1 en tant que "monitor-port" il va
recevoir une copie de tout le trafic mis et reu par les ports mirrors du groupe 1, tel le port 1/0/6.
Limitations du mirroring-monitoring de ports

10 sur 13

Les ports d'un mme groupe doivent tre dans le mme VLAN.
Le ports sur lequel est activ le STP (tous par dfaut) ne peuvent pas appartenir un mirroringgroup. Commande stp disabled sur le port avant de l'inclure un mirroring-group.
Mme si l'on peut en thorie crer plusieurs groupes, et que plusieurs interfaces peuvent tre
"mirrores" dans le mme groupe, il ne faut pas abuser du mirroring-monitoring sur un quipement.
04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

group. Commande stp disabled sur le port avant de l'inclure un mirroring-group.

Mme si l'on peut en thorie crer plusieurs groupes, et que plusieurs interfaces peuvent tre
"mirrores" dans le mme groupe, il ne faut pas abuser du mirroring-monitoring sur un quipement.
Multiplier ce processus a un impact direct sur les performances du commutateur.
Mirrorer un port en 1000 Mb/s vers un port 100 Mb/s ou un port 100 Mb/s vers un port 10 Mb/s n'est
pas une bonne ide, une partie du trafic ne pourra pas tre renvoy vers le port monitor.
Certaines trames monitores peuvent tre lgrement modifies par l'quipement entre leur capture sur
le port monitor et leur renvoi vers le port destination. Par exemple si la QoS est active, le champ
DSCP (paquets IP) ou CoS (non IP) peut tre modifi : Le trafic reu sur le port destination n'est donc
pas la rplique 100 % parfaite du trafic captur sur le port source ; la diffrence peut-tre minime mais
non nulle.
Pire que la modification, l'quipement peut de lui mme dtruire une partie des trames reues sur le
port mirror en fonction de paramtres dfinis dans son fichier de configuration. Une ACL par
exemple peut interdire ou limiter le renvoi de paquets multicast reus : Le port mirror reoit bien un
multicast, ou un broadcast, une ACL limite la diffusion de ce genre de trames entre ses ports, donc ce
paquet n'est pas renvoy vers le port monitor. Cet autre exemple (en plus de celui du champ DSCP ci
dessus) montre bien qu'il peut y avoir une diffrence non ngligeable entre le trafic rellement reu par
un port mirror, et celui renvoy vers son port monitor, et donc vers la sonde ou l'IDS senss
identifier des problmes, tablir des statistiques, dtecter des menaces...

Gestion des fichiers

<4500> display boot loader (pour afficher la version de l'OS)
<4500> display version (pour le bootrom)
<4500> dir

Permet dafficher les fichiers prsents en mmoire flash : xxxxxxxxxxx.app est l'OS du commutateur,
xxxxxxxxxxxx.btm dsigne le(s) bootrom, xxxxxxxxx.web est le serveur HTTP, xxxxxxxxxxxx.cfg, reprsente
le(s) fichier(s) de configuration, et xxxxxxxxxxxxxx.def dsigne le squelette du fichier de configuration par
dfaut.
Un seul OS (.app) et un seul fichier de configuration (.cfg) sont actifs (statut main, principal) si plusieurs sont
prsents. La commande dir dsigne l'OS et le fichier de configuration actuellement actifs par le signe *.
Exemple :
<4500>
1 (*)
2
3 (*)

dir
--rw
--rw
--rw

392186
15420
18422

Mar 12 2008 15:25:33 s3n03_03_00s168.app

Dec 24 2008 23:59:59 3comoscfg.cfg
Jan 01 2009 00:01:52 ma_config.cfg

ma_config.cfg est la configuration active, 3comoscfg.cfg peut tre supprim ou servir de configuration de
secours.
<4500>
<4500>
1 (*)
2 (*)
3

startup saved-configuration 3comoscfg.cfg

dir
--rw 392186 Mar 12 2008 15:25:33 s3n03_03_00s168.app
--rw
15420 Dec 24 2008 23:59:59 3comoscfg.cfg
--rw
18422 Jan 01 2009 00:01:52 ma_config.cfg

ma_config.cfg est toujours le fichier de configuration actuellement utilis mais 3comoscfg.cfg est celui qui
sera actif au prochain dmarrage.
Il suffit de coupler la commande startup saved-configuration xxxxxxxxxxx.cfg avec un redmarrage
diffr pour appliquer un changement de configuration programm en dehors de heures ouvrables par
exemple.
Soit en prcisant la date et lheure de redmarrage :

11 sur 13

<4500> schedule reboot at

hh:mn mn/dd/yyyy

(ou yyyy/mn/dd)

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

12 sur

<4500> schedule reboot at

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

hh:mn mn/dd/yyyy

(ou yyyy/mn/dd)

Soit en prcisant un dlai avant le redmarrage :

<4500> schedule reboot delay 30

(30 = valeur en minutes ; variante 10:30 soit dans 10 heures et 30 minutes)

Sauvegarde / restauration de configuration

Sauvegarde : soit en utilisant le client TFTP du commutateur (1re mthode) et en se connectant sur
un serveur TFTP distant :
<4500> tftp @IP-du-serveur-tftp put nom-du-fichier-de-conf.cfg

(client TFTP du commutateur vers un

serveur

Soit en se connectant partir d'un client SFTP (2me mthode) vers le serveur SFTP du commutateur (qui
doit tre lanc) :
compte@station01:~$
(client voulant se connecter au serveur SFTP du commutateur)
compte@station01:~$ sftp compte@AdresseIpCommutateur
sftp compte@AdresseIpCommutateur 's password : **********
sftp> get fichier-de-conf
Fetching /fichier-de-conf to fichier-de-conf
100% 19KB
19KB/s 00:00
sftp> exit
sftp> Received disconnect from AdresseIpCommutateur: The connection is closed by SSH Server
compte@station01:~$

Effacement de fichiers :
<4500>
<4500>
<4500>
<4500>

delete
delete
delete
delete

nom.app
nom.web
nom.def
nom.cfg

(ex
(ex
(ex
(ex

:
:
:
:

delete
delete
delete
delete

s3n03_01_00s56.app)
s3p01_00.web)
3comcfg.def)
b1-01-1.cfg)

La commande delete supprime un fichier en le transfrant dans la corbeille.

Les OS rcents ncessitent de saisir le chemin complet des fichiers (unit-->mmoire-->nom)
<4500> delete unit1>flash:/nom.cfg

(fichier nom.cfg se trouvant dans la mmoire flash de l'unit 1 de l'empilem

Pour librer l'espace occup par les fichiers prsents dans la corbeille, il faut vider celle-ci :
<4500> reset recycle-bin /force

/force rpond oui par avance la demande de confirmation.

<4500> delete /unreserved unit1>flash:/nom.app
<4500> delete /unreserved unit1>flash:/nom.web
<4500> delete /unreserved unit1>flash:/nom.def

Commande d'effacement quivalente sauf que les fichiers sont effacs directement sans passer par la
corbeille. Dans ce cas une confirmation est ncessaire.
Restauration : Soit par TFTP (voir ci-dessous), soit par SFTP (voir ci-dessus) en remplaant la
commande get par put.
<4500> tftp @IP-du-serveur-tftp get nom-du-fichier-de-conf.cfg
<4500> startup saved-configuration nom-du-fichier-de-conf.cfg
(pour que la nouvelle configuration soit prise en compte)
13<4500> reboot

04/02/2014 08:58

3Com-H3C : gamme 4500 - Wiki info-lab.fr

https://www.info-lab.fr/wiki/index.php?title=3Com-H3C_:_gamme_4500

<4500> tftp @IP-du-serveur-tftp get nom-du-fichier-de-conf.cfg

<4500> startup saved-configuration nom-du-fichier-de-conf.cfg
<4500> reboot
(pour que la nouvelle configuration soit prise en compte)

Suppression de toute configuration

<4500> reset saved-configuration
<4500> sys
[4500] rsa local-key-pair destroy

Ces 2 commandes attendent une confirmation avant d'tre excutes.

Changement d'OS
La procdure de changement d'OS est raliser en mode BootRom. Pour cela il faut :
Au moyen d'un mulateur de terminal VT100, via le port console paramtr en 19200/8-N-1,
interrompre le droulement du dmarrage par l'envoi d'une squence de break au BootRom.
Le menu BootRom permet de visualiser le contenu de la mmoire flash. Si l'espace disponible en flash
n'est pas suffisant pour accueillir un nouvel OS il faudra d'abord supprimer l'OS actuellement stock
(c'est gnralement le cas avec les commutateurs disposant d'une mmoire flash de seulement 8 Mo).
Un autre menu permet si ncessaire (flash de 8 Mo) d'effacer l'OS actuel (xxxxxxxxxxxx.app). Il n'y a
pas de corbeille en mode BootRom, le fichier effac libre immdiatement son espace occup.
Un autre menu permet de tlcharger un OS distant en utilisant TFTP : Saisir l'adresse IP affecte
notre commutateur puis renseigner l'adresse IP du serveur TFTP et le nom du fichier .app qu'il
hberge. A la fin du tlchargement le BootRom demande quelle statut accorder ce fichier : choisir
main (principal).
En visualisant le contenu de la flash, le nouveau fichier .app sera marqu comme actif (*).
Un autre menu permet maintenant de finir le chargement du commutateur en excutant le nouvel OS.
Changement de BootRom
Le changement de BootRom peut tre ralis partir de l'OS :
<4500> tftp A.B.C.D get nom_boot_rom.btm
<4500> boot bootrom unit1>flash:/nom_boot_rom.btm

13 sur 13

04/02/2014 08:58