Access Switching - Edition 03 DT00CTE115 PDF

OMNISWITCH R6/R7/R8
ACCESS SWITCHING - EDITION 03

GUIDE PARTICIPANT
OMNISWITCH AOS R6/R7/R8
Présentation générale des OmniSwitch séries 6250/ 6450/ 6850/ 6860/ 6900
Description du portefeuille LAN des
OS 6250/ 6450/ 6850/ 6860/ 6900
Programme
 Présentation du produit
 Commutateur empilable
 Commutateur d'accès renforcé
 Caractéristiques
 Fonctions prises en charge
 Positionnement sur le marché

Evolution des versions logicielles AOS AOS
R6
6.6.3.R01 6.6.4.R01
User Network Profile 6450L
DHL Active Active 6450-24/48 Remote Stacking
VRRP Serveur DHCP
OS-6450 OS-6250
OS-6450 OS-6250
6.6.3.R01 6.6.4.R01
Mai-12 Juin-13
2012 2013 2014

6.4.5.R02 6.4.6.R01
Jan-13 Nov-13
6.4.5.R02 6.4.6.R01
ERPv2 6850E Split Stack Protection
Kerberos snooping BYOD
Sip snooping OS-9000E mDNS Relay
MC-LAG pour OS9000E
OS-9000E
OS-6400 OS-6855 OS-6850E OS-6850E

<< OS-6855
Evolution des versions logicielles AOS
AOS
Evolution du logiciel R6 R6
OS6250
AOS 6.6.4 AOS 6.6.5 OS6450
• OS6450L upgrade de license • Relais mDNS pour Apple TV/Airprint

• Remote Stacking (modèles 24 et 48 • BYOD et Portail Captive Externe
port seulement) • Intégration de ClearPass
• OS6450-10 stacking de 4 unitées • OpenFlow 1.0 et 1.3.1
• Fast take Over en Mode Stack • IPv6 Certification
• PoE Link layer classification
• DDM (Digital Diagnostics Monitoring)
• Stack Split Protection
• Capacité TDR (Time Domain • RFC 1588 v2 – Precision Time Protocol
Reflectometry) • Multiple VLAN Registration Protocol
• Posture Check (MVRP)
• Support du IEEE 802.3az (Energy • Limitation de débit par port pour un
Efficient) Ethernet groupe de port
• Serveur DHCP sur les 6250\6450
• Option Storm Control
• Amélioration de la convergence Layer 2 OmniSwitch 6450-P10S
Multicast après un takeover OmniSwitch 6450-U24S
• Support de la classe vendeur DHCP et SFP-GIG-T
du type de switch
• Préférence du serveur DHCP OXO
• LPS Sticky mode
AOS 6.6.4 Nouveau matériel

OS6450-24L
OS6450-P24L
OS6450-48L
OS6450-P48L
Evolution des versions logicielles AOS
Evolution du logiciel R6 OS6250
OS6350
OS6450
AOS 6.7.1
OS6250/6450
• Contrôle Interswitch Stack Connection
• Priorisation des paquets ERP
• Amélioration CPE Test Head
OS6250/6350/6450
• IPv6 Supporté RFC / IPv6 Phase 2
• IPv6 Security Source Guard
• IPv6 Security RA Guard
• IPv6 Relais DHCP
• IPv6 DHCP Snooping et Remote Circuit ID
• RCL – Priorité Serveur DHCP
• VLAN Voix critique quand Radius est hors
service
AOS 6.7.1 Nouveau matériel

OS6350-24
OS6350-P24
OS6350-48
OS6350-P48
R7
7.3.2.R01
6900-T20
Dynamic Auto Fabric
FIP Snooping
Application
Fingerprinting
7.3.1.R01 OS-6900 OS-10k 7.3.3.R01

Sep-12 Jan-14
2012 2013 2014

7.3.2.R01
Juin-13
7.3.1.R01
7.3.3.R01
ERPv2
FCoE
VRF
VC de 6
Data Center OS-6900
OpenFlow
(SPB,DCB,EVB)
OS-6900 OS-10k
R8
8.1.1.R01
Virtual Chassis
Access Guardian 2.0
OpenFlow
OS-6860 8.1.1.R01
Mai-14
2012 2013 2014

LAN OmniSwitch Family
Accès
Entrée de gamme stackable L2+ OmniSwitch 6250 OmniSwitch 6350 OmniSwitch 6450
AOS L2+ Basique L3 AOS L2+ Basique L3 AOS L2+ Basique L3 GE -
 Virtual chassis  POE
FE GE 1OG uplinks
 10/100, 1000 et  Routage basique
Fibre  Energie verte
Aggrégation
Avancé stackable L2-L3

 Virtual chassis  Routage avancé
 10/100/1000,  Energie verte
10Gig OmniSwitch 6850E OmniSwitch 6855 OmniSwitch 6860
 IPv4/IPv6 AOS avancé L3 AOS avancé L3 AOS avancé L3
 PoE, Cuivre &
fibre
Coeur
Commutateur haut de gamme
modulaire de niveau coeur,
 I.S.S.U
aggregation, Data center L2-L3
 Haute
disponibilité  VRF OmniSwitch 6900 OmniSwitch 10K
 Haute  MPLS, VPLS AOS avancé L3-L2 OmniSwitch 9000E Modulaire haut de gamme
Performance  Virtual Chassis Aggrégation/Coeur Chassis Modulaire AOS Avancé L2-L3 Coeur &
 10Gig haute  MC-LAG DC TOR 10/40 GE AOS avancé L3 10GE Aggrégation 10/40 GE
densité  Energie verte
OMNISWITCH 6250
OmniStack 6250
Position dans le portefeuille des commutateurs empilables
OmniSwitch 6850E
Grand
OmniSwitch 6850E-X OmniSwitch 6855

24/48 12/24 (4 PoE)
E24X/E48X
24/48 PoE U10/U24
E24X/E48X PoE+
AOS, commutation AOS, commutation
Fibre EU24X
avancée L3, GigE avancée L3, GigE
AOS, commutation avancée
L3, GigE avec 10 G
OmniSwitch 6450 OmniSwitch 6450

Moyen
10/P10/10L/P10L 24/P24/24L/P24L
AOS, L2+, L3 de base, 48/P48/48L/P48L
GigE avec 10 G AOS, L2+, L3 de base,
GigE avec 10 G
OmniSwitch 6250 AOS

Enterprise 24 ports PoE
+ V6
Petit
Metro 8/24 ports

AOS L2+ FE
10/100 Gig Gig avec 10 G Renforcé

OmniSwitch 6250
Pile de niveau L2+ Fast Ethernet
 Fonctions principales AOS L2+
 Basé sur le logiciel AOS
 L2+ = Fonctions L2 complètes et routage statique/RIP
 Prise en charge totale de la gestion AOS et d'OmniVista
 Classification et traitement du premier paquet à la vitesse du câble
 Fonctions L2+ complètes pour les services d'accès Ethernet
 Stacking VLAN, OAM Ethernet, ERP, IMPVLAN
 Sécurité de pointe avec Access Guardian, la surveillance DHCP, LPS...
 Bus de stacking HDMI
 Blocs d'alimentation remplaçables à chaud 802.3at Châssis virtuel
 Conception respectueuse de l'environnement

(consommation, bruit, dimensions)
 Largeur unique de 8.5” (un demi-rack)
SME (Small and Medium sized Enterprise)
Accès Ethernet aux réseaux métropolitains
Déploiements résidentiels et professionnels
Technologie Carrier Ethernet (par ex. Telco,
CityNets, accès Metro)
Modèles OmniSwitch 6250
Ports de distribution
OmniSwitch Aliment
Mixte Aliment
6250 Nb Type Pile ation de
SFP/RJ45 ation
secours
24 24 10/100 2 2 42 Externe
P24 22 10/100 POE+ 2 2 225 Externe
8M 8 10/100 4 2 42 Externe
24M 24 10/100 4 2 42 Externe
24MD 24 10/100 4 2 30 Cc Externe

OmniSwitch 6250
Stacking
 Enterprise
 Ports HDMI
 2 liaisons de stacking 2,5 Gigabits
 30/60/150 centimètres  Metro
 Jusqu'à 8 châssis dans une pile
 192 ports FE  SFP+
 16 ports GigE  Interfaces pour uplinks Gigabit supplémentaires
 Les modèles PoE et non-PoE peuvent être combinés ou fonction de stacking
 Numéro d'élément de pile identifié par les LED  30/60/150 centimètres
des ports en appuyant sur PB  Jusqu'à 2 châssis dans une pile
 48 ports FE
 4 ports GigE
 Identification du numéro d'élément de la
pile par logiciel configurable
OMNISWITCH 6350
OmniStack 6250
OmniSwitch 6850E
Grand
OmniSwitch 6850E-X OmniSwitch 6855

24/48 12/24 (4 PoE)
E24X/E48X
24/48 PoE U10/U24
E24X/E48X PoE+
Fibre EU24X
L3, GigE avec 10 G

Moyen
10/P10/10L/P10L 24/P24/24L/P24L
GigE avec 10 G AOS, L2+, L3 de base,
GigE avec 10 G
OmniSwitch 6250 AOS

Enterprise 24 ports PoE OmniSwitch 6350
+ 24/P24/48/P48 V6
Petit
Metro 8/24 ports AOS L2+ GE

AOS L2+ FE

Omniswitch 6350 Gigabit Ethernet Switch
 Quatre configurations fixes (24-/48-ports, avec/sans PoE)
 Basé sur le logiciel AOS (6.7.1)
 Supporte les ports d’accès Gigabit RJ-45 et jusqu’à quatre liaisons montantes Gigabit SFP
 Alimentations internes fixes, pas d’alimentation de secours OmniSwitch 6350-24
OmniSwitch 6350-P24
 Les modèles PoE sont compatibles IEEE 802.3af et IEEE 802.3at
 Configuration de la priorité PoE et de la puissance max par port
 Gestion efficace de l’énergie et faible consommation d’énergie
 Jeu de fonctionnalités pour le marché PME:

OmniSwitch 6350-48
 Fonctions avancées L2 avec des fonctions basiques L3 pour IPv4 et IPv6 OmniSwitch 6350-P48
 Déploiement VoIP simplifié utilisant des fonctions avancées d’auto-QoS
 Huit files d’attente hardware par port pour une gestion flexible de la QoS
 Sécurité de l’accès avec Access Guardian, DHCP snooping, LPS et UNP.
 Auto configurable via OmniPCX Office
 LLDP avec des extensions MED pour la découverte automatique d’équipements
Solution réseau pour petite entreprise

Niveau accès pour petit à moyen réseau
Succursale et groupe de travail campus
Omniswitch 6350 – Modèles
Modèle Ports RJ-45 Ports fixes Alimentation Ventilation Consommation

10/100/1000 SFP 1G Primaire / (Vitesse Variable) d’énergie du
de secours système
OS6350-24 24 4 Interne/ - Sans ventilateurs 24W
OS6350-P24 24 4 Interne / - 3 ventilateurs 30W
OS6350-48 48 4 Interne / - 1 ventilateur 50W
OS6350-P48 48 4 Interne / - 4 ventilateurs 58W
Power Supply Specifications
Modèle Tension Tension de sortie Wattage Budget de Efficacité de

d’entrée puissance PoE l’alimentation
nominale
OS6350-24 90-220 V AC 12 V DC 30 W N/A 80%
OS6350-P24 90-220 V AC 12 V DC / 54 V DC 525 W 380 W 85%
OS6350-48 90-220 V AC 12 V DC 60 W N/A 87%
OS6350-P48 90-220 V AC 12 V DC / 53 V DC 900 W 780 W 85%
OMNISWITCH 6450
OmniStack 6450
Grand
OmniSwitch 6850E OmniSwitch 6850E-X OmniSwitch 6855

24/48 12/24 (4 PoE)
E24X/E48X
24/48 PoE U10/U24
E24X/E48X PoE+
Fibre EU24X
L3, GigE avec 10 G

Moyen
10/P10/10L/P10L 24/P24/24L/P24L
GigE avec 10 G AOS, L2+, L3 de base;
GigE avec 10 G
OmniSwitch 6250 AOS

+ V6
Petit
Metro 8/24 ports

AOS L2+ FE

Commutateur OmniSwitch 6450 Ethernet 10 Gigabits
Présentation générale
 L2+ = Fonctions L2 complètes et  Fonctionnalités d’accès Ethernet aux
routage statique/RIP réseaux métropolitains activées par
licence
 OS6450 - 10
 Licence OS6450-SW-ME
 8 - Gigabit RJ45
 2 - Gigabit RJ45/SFP mixtes  Stacking jusqu'à 4 unités
 2 - ports uplink GigE SFP  Ports de stacking SFP intégrés
 OS6450 - 10L/P10L  Alimentation CA interne

 Logiciel Lite, évolutif 10/100 à GigE  Aucune redondance de l'alimentation
 Licence OS6450-10L-UPGD
 Sans ventilateur
 OS6450 - P10/P10L
 Format 1RU x ½ rack
 PoE 802.3at
 Budget PoE 80W
Réseaux de salle de classe et groupe de
travail
Réseaux de petite entreprise ou succursale
Services gérés commerciaux et résidentiels
Commutateur OmniSwitch 6450 Ethernet 24/48 Gigabits
 Stacking de 24 à 384 ports Gigabits et 16 ports 10 GigE
 Module de stacking SFP+ optionnel
 L2+ = Fonctions L2 complètes et routage statique/RIP
 Classification et traitement du premier paquet à la vitesse du

câble
 Licence de services Metro facultative pour les déploiements
par des fournisseurs de service
 Licence OS6450-SW-M
 Prise en charge de l'IEEE 802.3af / IEEE 802.3at - compatible PoE
 Alimentations redondantes CA ou CC internes
 Prise en charge totale de la gestion AOS et d'OmniVista
Groupes de travail de succursales pour petites et moyennes

entreprises
CPE Ethernet d'accès aux réseaux métropolitains entreprise
Convergence IP dans les succursales
Commutateur OmniSwitch 6450 Ethernet 24/48 Gigabits
Modèles
 OS6450-24/24L/P24/P24L
 24 ports 10/100/1000
 Modèle lite (L) : ports non mixtes 10/100 RJ-45 évolutifs pour prendre en charge
10/100/1000 (*)
 2 ports GigE fixes SFP/SFP+ évolutifs à 10 G (**)
 Ports PoE IEEE 802.3at
 Module d'expansion
 OS6450-48/48L/P48/P48L
 48 ports 10/100/1000
 Modèle lite (L) : ports non mixtes 10/100 RJ-45 évolutifs pour prendre en charge
10/100/1000 (*)
 2 ports GigE fixes SFP/SFP+ évolutifs à 10 G (**)
 Ports PoE IEEE 802.3at
 OS6450-U24
 22 ports 10/100/1000 BaseX
 2 ports mixtes 10/100/1000 BaseT-SFP
 2 ports GigE fixes SFP/SFP+ évolutifs à 10 G (*)
*Licence ports 1G RJ45 optionnelle (OS6450-24/48L-UPGD)
**Licence uplink 10 GigE optionnelle (OS6450-SW-PERF )
OmniSwitch 6450
Modèles
Modèle Ports RJ-45 Mixtes Ports SFP Emplacement Stacking Alimentation
10/100/1000 10/100/1000 et fixes (1G/5G) du module primaire / de
SFP secours
OS6450-10L 8 2 2 Non - Interne / -
OS6450- P10L 8 2 2 Non - Interne / -
OS6450-10 8 2 2 Non - Interne / -
OS6450-P10 8 2 2 Non - Interne / -
Options
Mixtes
Ports RJ-45 Ports SFP+ emplacement
Modèle 10/100/1000 et Stacking Alimentation
10/100/1000 fixes (1 G/10 G*) du module
SFP
OS6450-24 (L) 24 0 2 Oui 10 G SFP+ Interne / Interne
24 PoE
OS6450-P24 (L) 0 2 Oui 10 G SFP+ Interne/externe
802.3at
OS6450-48 (L) 48 0 2 Oui 10 G SFP+ Interne / Interne
48 PoE
OS6450-P48 (L) 0 2 Oui 10 G SFP+ Interne/externe
802.3at
22 SFP
OS6450-U24 2 2 Oui 10 G SFP+ Interne / Interne
100/1000
(*) Nécessite une licence OS6450-SW-PERF pour activer le 10 GigE
(*) Nécessite une licence OS6450-SW-ME pour activer les fonctions de services
Metro
OmniSwitch 6450-(P) 24/48
Module d'extension et alimentations de secours
 Module d'extension en option  OS6450-CBL-xM
 Situé à l'arrière de l'unité  Câble de stacking en cuivre à connexion
 2 modules de stacking 10 G SFP+ pour port directe SFP+ : x=1m/3m/7m
 2 modules uplink Gigabit SFP en fibre pour port
 2 modules uplink Gigabit RJ-45 en cuivre pour
port
Module Module Module

OS6450-GNI-U2 OS6450-XNI-U2 OS6450-GNI-C2
 Alimentations de secours
Modèle
OS6450-BP Alimentation de secours CA 90 W OS6450 Non-PoE
OS6450-BP-D Alimentation de secours CC 90 W OS6450 Non-PoE
OS6450-BP-PH Alimentation de secours CA 550W OS6450-P24
OS6450-BP-PX Alimentation de secours CA 900 W OS6450-P48

OmniSwitch 6450-(P) 24/48
Le matériel en résumé
Port 24 ou 48 Gigabits (PoE/PoE+ de modèle Ports 2 GIGABITS SFP+ (évolutifs à 10 Gb)

« P »)
P48 : Budget PoE 780 W
P24 : Budget PoE 390 W
2xSFP+ 10G OS6450-XNI-U2 (Stacking uniquement)

Alimentation primaire interne Module BPS externe pour Ou 2xSFP 1G OS6450-GNI-U2
modèles PoE Or 2xRJ45 1G OS6450-GNI-C2
PoE
Non PoE
Module BPS tiroir pour modèles

non-PoE
OS6450
SFP pris en charge
 Convertisseurs 10 Gigabit SFP+
 SFP-10G-ER - Portée de 40 km sur fibre SMF (1550 nm) avec un connecteur LC
 SFP-10G-LR - Portée de 10 km sur fibre SMF (1 310 nm) avec un connecteur LC
 SFP-10G-LRM - Portée de 220 m sur fibre MMF classe FDDI (62,5 μm) (1 310 nm) avec un connecteur LC
 SFP-10G-ER - Portée de 300 m sur fibre MMF (850 nm) avec un connecteur LC
 SFP-10G-C1M - Câble en cuivre à connexion directe 10 Gigabits (1 m, SFP+)
 Convertisseurs SFP Gigabit

 SFP-GIG-EXTND - Jusqu'à 2 km sur fibre MMF 62,5/125 μm et fibre MMF 50/125 μm
 SFP-GIG-LH40 - Portée de 40 km sur fibre SMF 9/125 μm
 SFP-GIG-LH70 - Portée de 70 km sur fibre SMF 9/125 μm
 SFP-GIG-LX - Portée de 10 km sur fibre SMF 9/125 μm
 SFP-GIG-SX - Portée de 300 m sur fibre MMF 62,5/125 μm ou de 550 m sur fibre MMF 50/125 μm
 SFP-GIG-T - Prend en charge le câblage cuivre de catégorie 5, 5E et 6 jusqu'à 100 m
 SFP-GIG-BX-D - Conçu pour une utilisation via un câble en fibre optique SMF monobrin jusqu'à 10 km
 SFP-GIG-BX-U - Conçu pour une utilisation via un câble en fibre optique SMF monobrin jusqu'à 10 km
 Convertisseurs SFP 100 Mb

 SFP-100-BX20LT - Conçu pour une utilisation via un câble en fibre optique SMF monobrin jusqu'à 20 km
 SFP-100-BX20NU - Conçu pour une utilisation via un câble en fibre optique SMF monobrin jusqu'à 20 km
 SFP-100-LC-MM – Conçu pour une utilisation via un câble MMF pour des distances allant de 300 à 2 000 mètres
 SFP-100-LC-SM15 – conçu pour une utilisation via un câble en fibre optique SMF jusqu'à 15 km
 SFP-100-LC-SM40 – conçu pour une utilisation via un câble en fibre optique SMF jusqu'à 40 km
OMNISWITCH 6850E
OmniSwitch 6850E
Position dans le portefeuille des empilables
Grand
OmniSwitch 6850E OmniSwitch 6855

OmniSwitch 6850E-X
24/48 12/24 (4
E24X/E48X
24/48 PoE E24X/E48X PoE+ PoE)U10/U24
AOS, commutation Fibre EU24X AOS, commutation
avancée L3, GigE AOS, commutation avancée avancée L3, GigE
L3, GigE avec 10 G
OmniSwitch 6450
Moyen
OmniSwitch 6450
10/P10/10L/P10L 24/P24/24L/P24L
AOS, L2+, L3 de base 48/P48/48L/P48L
GigE avec 10 G AOS, L2+, L3 de base
GigE avec 10 G
OmniSwitch 6250
+ AOS
Metro 8/24 ports V6
Petit
AOS L2+ FE

OmniSwitch 6850E
 Commutateur autonome
 24 et 48 ports 1 GigE avec interfaces 10 GigE
 Module plug-in avec ports 10 G SFP+ dans un emplacement dédié
 Vitesse du câble, commutation non bloquante
 IEEE 802.3af/at compatible PoE (30 W)

 Attribution dynamique d'énergie
OmniSwitch 6850E-24X
 Attribution de l'énergie par priorité en cas de puissance faible
 803.af (15.4W) sur les 48 ports simultanément
 802.at (30W) sur les 25 ports simultanément
 Alimentations CA et CC modulaires
OmniSwitch 6850E-48X
À l'extrémité des réseaux des moyennes et grandes entreprises

Couche d'agrégation et cœur de réseau des petites entreprises
Ethernet d’accès aux services métropolitains (accès Ethernet, MDU, CPE)
Commutateur top-of-rack pour serveurs 1 G dans les Data Centers
OmniSwitch 6850E
Modèles
Ports de
Ports 10 Gig
Ports RJ-45 Port 1 Gig stacking ou Nb max. de ports Nb max. de ports
Modèles SFP+
10/100/1000 SFP plug-in 10 Gig 802.3af 802.3af ( @ 30 W)
fixes
SFP+
Modèles non-PoE
OS6850E-24 24 4* 2 * *
OS6850E-24X 24 4* 2 2 * *
OS6850E-48 48 4* 2 * *
OS6850E-48X 48 2* 2 2 * *
OS6850E-U24X 2* 24 2 2 * *
Modèles PoE
24 24
OS6850E-P24 24 4* 2
(Unité d'alim. 510 W) (Unité d'alim. 900 W)
24 24
OS6850E-P24X 24 4* 2 2
48 25
OS6850E-P48 48 4* 2
48 25
OS6850E-P48X 48 2* 2 2
P = PoE
H = Alimentation High-PoE
X = Emplacements SFP+ 10 G
OmniSwitch 6850E
Stacking
 Tous les modèles de la famille 6850E sont empilables
 Caractéristiques
 Liaisons de stacking 40 Gigabits dédiées sur chaque modèle
 Jusqu'à 8 commutateurs dans une pile
 384 ports Gigabits
 16 ports 10 Gig
 Les modèles PoE et non-PoE peuvent être combinés
 Les ID des modules de la pile sont définis à l'aide de la CLI et affichés sur le panneau
 Chaque module de la pile peut agir comme module principal
 Avantages :
 Agit comme un châssis OS-9000E
 Châssis virtuel, IP unique pour la gestion
 Éléments principal, secondaire, inactif et pass-through dans la pile
 Commutation continue intelligente
 Agrégation de liens (OmniChannel ou LACP) répartie sur différentes unités
OmniSwitch 6850E
Stacking
 Le stacking est réalisé en utilisant soit les câbles de stacking CX4, soit le module SFP+
 Le nombre maximal d'unités dans une pile est de 8

 364 ports Gigabits / 16 ports 10 Gig SFP+
Stacking par défaut Remplaçables par des

Connecteurs de stacking CX4 connecteurs de
de stacking SFP+ OS6-XNI-U2
OS6-XNI-U2
pour stacking
distant
 Module CX4 (livraison par défaut)  Module SFP+ (cuivre ou fibre)

 Stacking avec OS6850 et autre OS6850E  Le stacking distant (jusqu'à 10 km) est pris
doté d'un module CX4 en charge lors de l'utilisation d'un module
 OS6850-CBL-xx où xx = 30, 60 ou 150 cm plug-in SFP+
 Un redémarrage est nécessaire pour activer
les interfaces SFP+ en mode stacking.
OmniSwitch 6850E
Alimentations
Sans PoE Avec PoE
• 120 W CC • 360 W CA
• 126 W CA • 510 W CA
• 900 W CA
Modèles
Un 120/126/360 dans un demi-bloc
• 6850E-24 Modèles
• 6850E-24X • 6850E-P24
• 6850E-48 • 6850E-P24X
• 6850E-48X • 6850E-P48
• 6850E-P48X
Un 510 W CA occupant la totalité du bloc
 L'alimentation principale est à l'extérieur du boîtier

(à l'arrière de l'unité)
 Bloc d'alimentation utilisé soit pour
 une alimentation 510/900 W
P48X avec alim. 510 W
 ou deux alimentations 360 W
 2 options de connexion d'alimentation

 Branchement directement à l'arrière de l'unité
 Fixée par un câble pour une configuration 2U
48X avec alim. 126 W CA
OmniSwitch 6850E
Alimentations de secours
OS6850E-BP Alimentation de secours 126 W CA
OS6850E-BPD Alimentation de secours 120 W CC
OS6850E-BPP Alimentation de secours 360 W PoE standard
OS6850E-BPPH Alimentation de secours 510 W High-PoE
OS6850E-BPPX Alimentation de secours 900 W High-PoE pour modèle P48
PoE
Puissance globale Capacité PoE
Alim. de secours 510/900 W
360 W CA 240 W
360 W CA 240 W
Alim. 360/900 W Alim. principale
510 W CA 390 W
900 W CA 780 W
OMNISWITCH 6855
OmniSwitch 6855
Commutateur d'accès LAN renforcé
 Commutateur GigE L2/L3 industriel renforcé
 Conçu pour fonctionner dans des environnements difficiles
 Avantages
 Densité de port renforcé plus élevée (jusqu'à 24 GigE) avec débit jusqu'à 35,7 Mpps
 Haute performance - transfert plein débit sur tous les ports
 Fonctions AOS OS6850E prises en charge
 Fonctions L3 définies avec IPv4 et IPv6
 Option d'alimentation PoE (4 ports)
 Entièrement intégré dans OmniVista
 Conçu avec pour objectif la redondance et la disponibilité
 Alimentations CA et CC externes, redondantes et échangeables à chaud
 Fonctionnement redondant du ventilateur pour
les modèles 24 ports
AOS
Défense, Énergie, Services publics, Transport
Déploiement extérieur (armoire)
V6
OmniSwitch 6855
Description du modèle
Nb max de
Nb max. de ports Nb max. de
ports Nb max. de
OmniSwitch 6855 10 Gigabits
10/100/1000 connecteurs en
connecteurs SFP
PoE Stacking
Base-T RJ -45 cuivre mixtes
Ethernet
OS6855-U10 0 8 2 - 0 N
4
OS6855-14 0 12 - 2 premiers N
ports
OS6855-P14 0 12 - 2 12 N
4
OS6855-24 0 20 4 4 premiers N
ports
OS6855-U24X 2 2 2 24 0 O
OmniSwitch 6855-U24X
Description du modèle et options de port
 22 ports SFP enfichables à chaud plus 2 ports mixtes
configurables individuellement
 10/100/1000Base-T ou 1000Base-X/100Base-FX
 2 ports 10 G SFP+ pour le stacking ou ports uplink
(par défaut)
 Possibilité d'empiler 4 unités avec des câbles
en cuivre ou par fibre optique
 Cuivre
 30 cm, 3 m, 10 m
 Fibre
 Stacking distant avec 10 km entre deux unités et
40 km couverts par 4 unités dans une boucle de stacking
 Conception sans ventilateur
2 ports 10 G SFP+ utilisés pour le stacking ou comme Connecteurs d'alimentation

ports uplink Deux connecteurs DB-25 pour l'alimentation
Choix entre des ports uplink ou stacking 10 G primaire et redondante
(connecteurs SFP+)
OmniSwitch 6855
Options d'alimentation
 OS6855-14, OS6855-P14 et OS6855-U10  OS6855-24, OS6855-U24X
 Alimentation sous la forme d'un module  Branchement directement à l'arrière de l'unité
d'alimentation ou connectée à distance à l'unité par un câble
 Un bloc d'alimentation pouvant contenir  L'alimentation primaire et l'alimentation de
l'alimentation primaire et l'alimentation de secours secours sont externes et échangeables à chaud
est fourni.
 Un bloc d'alimentation pouvant contenir
 L'alimentation primaire et l'alimentation de
l'alimentation primaire et l'alimentation de
secours sont externes et échangeables à chaud
secours est fourni.
 Options d’alimentation : 24 V, -48 V CC et CA
 Options d’alimentation : 24 V, -48 V CC et CA
Unité d'alimentation OS6855 80 W, 12V, CA-CC

OS6855-PSS Module d'alimentation CA pour alimentation du système ; 40 W, 12 V, CA-CC OS6855-PSL
Module d'alimentation CA pour PoE uniquement ; 66 W, 48 V, CA-CC Unité d'alimentation OS6855 160 W, 48 V/12 V/POE, CA-CC
OS6855-PSS-P OS6855-PSL-P
Module d'alimentation CA pour alimentation du système ; 40 W, 24 V-48 V CC-CC Unité d'alimentation OS6855 80 W, 48 V/12 V, CC-CC
OS6855-PSS-D OS6855-PSL-D
Module d'alimentation CC pour PoE uniquement ; 66 W, -48 V, CC-CC OS6855-PSL-DL Unité d'alimentation OS6855 80 W, 24 V/12 V, CC-CC
OS6855-PSS-P-D
Module d'alimentation CA pour PoE uniquement ; 66 W, CA
OS6855-PSSPH
Système redondant et
alimentations PoE - Branchement
sur le côté
OmniSwitch 6855
Surchauffe
 Environnement d'exploitation
 Temp. de stockage : -45° à 85° C (-60° à 210° F)
 Temp. de fonctionnement : -40° à 75° C ( 70° C pour les plus petits modèles)
 Humidité ambiante relative de 5 % à 95 % sans condensation
 Adapté à des installations abritées sans armoires chauffées ou refroidies
 Protection matérielle pour arrêter automatiquement le module si une

température ambiante critique est atteinte
 Active automatiquement le module lorsque la température baisse
 Les ventilateurs des modèles 24 ports ne s'activent que lorsqu'une température

ambiante critique est atteinte
OS6855-U10/OS6855-14 OS6855-U24/OS6855-24
Température d'arrêt 73 °C 78° C
Température d'avertissement (interruption) 71° C 76° C
Température de reprise automatique 60° C 65° C
Température d'activation du ventilateur - 50° C
Température d'arrêt du ventilateur - 35° C
OMNISWITCH 6860/6860E
OmniSwitch 6860 AOS
V8
 Moteur de débit de câble 256 G
 Fonctions Deep Packet Inspection et Application Monitoring
 Co-processeur pour des services réseau évolués
 Modèle OS6860E uniquement
 Prise en charge du châssis virtuel

 Authentification complète de l'utilisateur et de l'équipement et
contrôle d'accès
 Permet le déploiement de services BYOD sécurisés et évolués
Application Fingerprinting
 PoE+ sur tous les ports Application de (identification)
stratégies Applications Discovery
 PoE jusqu'à 60 W (jusqu'à 1 000 signatures)
 4 premiers ports sur OS6860E
 Energy Efficient Ethernet (EEE) Adaptation aux


applications à la
 SDN prêt
vitesse du câble
 Compatible Data center/IT (jusqu'à SDN
 Tous les ports, y compris pile à l'avant

100 signatures) 
intérieur
 Refroidissement de l'avant vers l'arrière
 Port de gestion BlueTooth
OmniSwitch 6860/E
OmniSwitch 6860
AOS
Modèles V8
OS6860-24 OS6860-48
 24 ports 10/100/1000 BaseT  48 ports 10/100/1000 BaseT
 4 ports fixes SFP+ (1 G/10 G)  4 ports fixes SFP+ (1 G/10 G)
 2 ports VFL QSFP+ (20 G chacun)  2 ports VFL QSFP+ (20 G chacun)
 Alimentation CA et CC  Alimentation CA et CC
OS6860-P24 OS6860-P48
 24 ports PoE 10/100/1000 BaseT  48 ports PoE 10/100/1000 BaseT
 Alimentation CA 600 W  Alimentation 920 W CA
OmniSwitch 6860E
AOS
Modèles évolués (« Enhanced ») V8
OS6860E-24 OS6860E-48
 24 ports RJ-45 10/100/1000 BaseT  48 ports 10/100/1000 BaseT
 Alimentation CA et CC  Alimentation CA et CC
OS6860E-U28
 28 ports SFP 100/1000 Base-X
 4 ports fixes SFP+ (1 G/10 G)
 2 ports VFL QSFP+ (20 G chacun)
 Alimentation CA et CC
OS6860E-P24 OS6860E-P48
 24 ports PoE 10/100/1000 BaseT  48 ports PoE 10/100/1000 BaseT
 Alimentation 600 W CA  Alimentation 920 W CA
OmniSwitch 6860 et 6860E
Différences
 Fonctions disponibles uniquement sur les modèles évolués
 Carte de co-processeur intégrée spécialisée
 Utilisée pour exécuter des applications supplémentaires
 Fonctions Application Monitoring / Fingerprinting s'exécutant avec AOS 8.1.1
 Une LED distincte (OK2) à l'avant du châssis indique le statut de la carte du co-processeur
 Les 4 premiers ports de l'OS6860E peuvent seulement délivrer une PoE jusqu'à 60 W
par port
 Ces ports sont clairement indiqués sur le commutateur
 Seuls les modèles évolués possèdent un port EMP à l'arrière

OmniSwitch 6860
Présentation générale de la gamme de produits
Ports Uplinks Pile 20 G HW DPI App. PoE EMP

utilisateur SFP+ Monitoring 60 W
OS6860-24 24 4 Oui Oui Non N/a Non
OS6860-P24 24 PoE 4 Oui Oui Non Non Non
OS6860-48 48 4 Oui Oui Non N/a Non
OS6860-P48 48 PoE 4 Oui Oui Non Non Non
OS6860E-24 24 4 Oui Oui Oui N/a Oui
OS6860E-P24 24 PoE 4 Oui Oui Oui Oui Oui
OS6860E-48 48 4 Oui Oui Oui N/a Oui
OS6860E-P48 48 PoE 4 Oui Oui Oui Oui Oui
OS6860E-U28 28 SFP 4 Oui Oui Oui N/a Oui
Châssis virtuel entre les modèles de base et les modèles « E »

OS6860
Alimentations
MODÈLES D'ALIM. OS6860-BP OS6860-BP-D OS6860-BPPH OS6860-BPPX
Alimentation CA . Assure Alimentation CC (48 V CC). Alimentation PoE 600 W Alimentation PoE 920 W
une alimentation système Assure une alimentation CA Assure une CA. Assure une
Description de 150 W à un système de 150 W à un alimentation système et alimentation système et
commutateur non-PoE commutateur non-PoE PoE à un commutateur PoE à un commutateur
OS6860 OS6860 PoE 24 ports. PoE 48 ports.
Nom du modèle PS-150AC PS-150W-DC PS-600W-AC-P PS-920W-AC-P
OS6860-24 OS6860-24
OS6860-P24 OS6860-P48
OS6860-48 OS6860-48
Modèles OS6860 OS6860E-P24 OS6860E-P48
OS6860E-24 OS6860E-24
pris en charge
OS6860E-48 OS6860E-48
OS6860-U28 OS6860-U28
Budget max. PoE
avec 1 unité N/A N/A PoE 450 W PoE 750 W
d'alim.
Budget max. PoE
avec 2 unités N/A N/A PoE 900 W PoE 1 500 W
d'alim.
Configurations de OmniSwitch BPS OmniSwitch BPS OmniSwitch BPS OmniSwitch BPS
secours valides OS6860-BP OS6860-BP-D OS6860-BPPH OS6860-BP-BPPX
Le même module BPS peut être utilisé pour l'OS6860 et

l'OS6850E
Le partage d'un module BPS entre l'OS6860 et l'OS6850E
n'est pas pris en charge
OS6860 vs OS6850E
Fonctions OS6850E OS6860
Flash size 128 Mo 2 Go
Mémoire SDRAM 512 Mo 2 Go
CPU 400 MHz 1 GHz
Ports intégrés 10 G 2 4
Ports de stacking/VC 2 x 10 G 2 x 20 G
Câbles de stacking/VC DAC propriétaire et SFP+ DAC QSFP+
Partage de la charge PoE Non Oui
PoE 30 W sur les 48 ports Non Oui
Connexion Bluetooth Non Oui
Stacking distant Oui (jusqu'à 10 km) Oui (jusqu'à 100 m)
Table d'entrée L2 32 000 48 000
Table de correspondance exacte L3 12 000 24 000
Entrées ARP (IPv4) 8 000 24 000*
Voisins IPv6 4 000 12 000*
Multicast IPv4/ IPv6 8 000 / 2 000 12 000* / 6 000*
12 000/ 7 000 (6 000 de 64 bits de préf. +
Table LPM IPv4/ IPv6 12 000/ 6 000
1 000 de 128 bits de préf.)
Table VLAN 4 000 4 000 en 8.1.1 (possibilité de 8 000)
OmniSwitch 6250, 6450, 6850E, 6860, 6860E
Comparaison
Alcatel-Lucent Alcatel-Lucent Alcatel-Lucent Alcatel-Lucent
OmniSwitch 6250 OmniSwitch 6450 OmniSwitch 6850E OmniSwitch 6860/6860E
Basé sur le logiciel AOS + Basé sur le logiciel AOS + code

Logiciels Basé sur le logiciel AOS Basé sur le logiciel AOS
Advanced Routing en option Advanced Routing en option
AOS, L2+, L3 de base AOS, L2+, L3 de base AOS, L2 et L3 avancé AOS, L2 et L3 avancé
Fonctionnalités
Empilable Empilable Empilable Châssis virtuel
Statique de base et
Routage Statique de base et RIP/RIPng Routage IP complet, avancé Routage IP complet, avancé
RIP/RIPng
10/100 ou 10/100/1000
10/100/1000 Mbits/s 10/100 ou 10/100/1000 Mbits/s
Ports utilisateur 10/100 Mbits/s Mbits/s
IEEE 802.3at prise en charge IEEE 802.3at / PoE 60 W sur 4 ports
IEEE 802.3at prise en charge
Uplinks 1 Gbit/s 10 Gbits/s 10 Gbits/s 10 Gbits/s
Stacking Liaisons 10 Gbits/s Liaisons 20 Gbits/s Liaisons 40 Gbits/s Liaisons 80 Gbits/s

Commutation 28 Mpps 101,2 Mpps 131 Mpps 190,6 Mpps
Capacité de la
24,8 Gbits/s 68 Gbits/s 240 Gbits/s 264 Gbits/s
Fabric
Analyse du trafic DPI, AppMon
Access Guardian, UNP, CP

Sécurité Access Guardian, UNP, CP Access Guardian, UNP, CP Détection d'anomalies de Access Guardian 2.0, UNP, CP
trafic
ALU OmniVista™ NMS

ALU OmniVista™ NMS ALU OmniVista™ NMS ALU OmniVista™ NMS
Gestion ALU 5620 Service Aware
ALU 5620 Service Aware Mgr ALU 5620 Service Aware Mgr ALU 5620 Service Aware Mgr
Mgr
Table MAC 16 000 16 000 32 000 48 000
Table de routage 1 024 Table de routage 16 000

Table de routage Table de routage 16 000 entrées Table de routage 64 000 entrées
entrées entrées
IGMP/ Commutation Appartenance et routage Appartenance et routage multicast

Multicast IGMP/ Commutation multicast IP
multicast IP multicast « Full IP » « Full IP »
OMNI BPS
Bloc d'alimentation de secours évolué
Omni BPS
 Prise en charge PoE complète et alimentation de secours du système pour la
gamme OmniSwitch 6850E/6860/6860E
 Sauf OS6850E-U24X
 Le partage d'un module BPS entre l'OS6860 et l'OS6850E n'est pas pris en charge
 Les modes N+1 et N+N sont pris en charge
 Définition de la priorité des ports et de la priorité des connecteurs sur le module BPS
 Alimentation de secours pour unité d'alimentation PoE 360/ 510/ 900 W et unité
d'alimentation de système 126 W CA
Omni BPS
 Un module BPS fournit :
 Des solutions de secours N+1 flexibles et N+N complètes
 Une alimentation de secours pour 8 unités max. (empilées ou autonomes)
 Une alimentation système redondante jusqu'à 900 W
 Une alimentation PoE redondante jusqu'à 3 600 W (« low line ») et 6 000 W
(« high line »)
Trois emplacements pour unités d'alimentation PoE Deux emplacements pour unités d'alimentation système
Vue arrière
8 connecteurs DB25
N+1 appelé également bloc de secours « SINGLE »
 Protège contre les pannes de l'unité d'alimentation primaire du commutateur
 Pas contre les pannes de la ligne CA
 Configuration ABPS
1 unité 1 unité d'alim.
 1 alimentation PoE 1 200 W/ 2 400 W (110 V/220 V CA) d'alim. PoE système 450 W
1 200 W
 1 alimentation système 450 W
 L'alimentation de secours ne peut secourir

qu'un commutateur à la fois
8 câbles 1 m
Alimentation de secours et OmniSwitch connectés à la même source CA

N+N appelé également bloc de secours « FULL »
 Protège contre les pannes de la ligne CA
 Si la ligne CA primaire est défaillante, Source B CA de secours

l'alimentation de secours sera la seule source de
3 unités 2
courant de tous les commutateurs de la pile d'alim. PoE Unité d'alim.
1 200 W système
 Configuration ABPS :
 3 alimentations PoE prenant en charge 6 800 W @
220 V CA
 3 alimentations PoE prenant en charge 3 400 W @
110 V CA
 2 unités d'alim. système @ 96~264 V CA
prenant en charge 8 alimentations système
« OmniSwitch » 8 câbles 1 m
 Source CA primaire connectée à l'OmniSwitch

 Source B CA de secours connectée au bloc
d'alimentation de secours
Source A CA primaire
OMNISWITCH 6900
OmniSwitch 6900-X
Commutateur 10 GigE haute densité
 Commutateur 10 GigE haute densité OS6900-X40
 20 ou 40 ports SFP+ (1 G/10 G)
 Jusqu'à 64 ports SFP+ sur le 6900-X40
 Jusqu'à 32 ports SFP+ sur le 6900-X20
 Capacité vitesse de câble 640 Gbits/s / 1,28 Tbits/s

OS6900-X20
 480/ 960 Mpps
 Latence sous-microseconde
 Châssis virtuel jusqu'à 6 commutateurs
 Alimentations redondantes échangeables à chaud, ventilateurs

AOS
 Consommation basse puissance par port (3,5 W par port) V7
 Commutation et routage à la vitesse du câble
 128 000 adresses MAC
 Modules optionnels pour une flexibilité accrue Agrégation/Cœur de réseau LAN
Commutateur « Top-of-Rack »
 Flux d'air de l'avant vers l'arrière /
pour Data Center
de l'arrière vers l'avant
Marchés verticaux
 Vitesse des ventilateurs contrôlée par logiciel
OmniSwitch 6900-X
Modèles 20 ports SFP+ Module optionnel
OS6900-X20
Port de gestion Ethernet

Port série USB
Port clé USB
•Ventilateurs échangeables •Alimentations électriques

à chaud (redondance avec intégrées redondantes
3+1 ventilateurs) (450 W, CA ou CC)
40 ports SFP+
Module N°1 optionnel
OS6900-X40
Module N°2 optionnel

•Alimentations électriques
•Ventilateur échangeable à chaud
intégrées redondantes
(redondance avec 3+1 ventilateurs)
(450 W, CA ou CC)
OmniSwitch 6900-T
Commutateur 10 GigE haute densité
 Commutateur 10 GigE haute densité
 20 ou 40 ports fixes 10 G Base-T (IEEE 802.3an)
OS6900-T40
 Jusqu'à 56 ports 10 G Base-T sur le 6900-T40
 Jusqu'à 28 ports 10 G Base-T sur le 6900-T20
 Connectivité serveur et stockage 10 GigE
 Capacité vitesse de câble 640 Gbits/s /
1,28 Tbits/s / faible latence
 Latence < 4 us (~3,3 us)
 Alimentations redondantes échangeables à chaud, ventilateurs
 Commutation et routage à la vitesse du câble
 128 000 adresses MAC
 8 000 hôtes IPv4 / 8 000 IPMC OS6900-T20
 Modules optionnels
 1 pour l' OS6900-T20 (à l'avant)
 2 pour l' OS6900-T40 (à l'avant et à l'arrière)
 Flux d'air de l'avant vers l'arrière/ de l'arrière vers l'avant
 Vitesse des ventilateurs contrôlée par logiciel
 Energy Efficient Ethernet IEEE 802.3az
 CAT 5e = 55 mètres
 CAT 6a/7 = 100 mètres
 Négociation automatique 1 G/10 G
OmniSwitch 6900-T
Ports série et USB OmniSwitch OS6900-T40 (avant/ arrière)

Module N°1
optionnel
Port de gestion
Ethernet
Module N°2
optionnel
Alimentations intégrées
redondantes (CA ou CC)
Ventilateurs échangeables à
chaud (redondance
ventilateur 3+1),
refroidissement de l'avant
vers l'arrière
OmniSwitch 6900
Modules optionnels
Modules d'extension échangeables à chaud

Compatible avec tous les modèles
OS-QNI-U3 OS-XNI-U12E OS-HNI-U6
3 ports QSFP+ 40 G 12 ports SFP+ (1 G/ 10 G) 4 ports SFP+ 10 G
12 ports FC (2 G/ 4 G/ 8 G) 2 ports QSFP+ 40 G
OS-XNI-U12 OS-XNI-T8 OS-XNI-U4

12 ports SFP+ (1 G/ 10 G) 8 ports 10 G Base-T (1 G/ 10 G) 4 ports SFP+ (1 G/ 10 G)
OmniSwitch 6900
Alimentations et ventilateurs
 L'OS6900-xxx entièrement chargé nécessite une unité d'alimentation électrique
indépendante de 450 W
 Unité d'alimentation CA et CC échangeable à chaud
 Redondante (1+1), amovible
Alimentation et ventilateurs (flux d'air de Alimentation et ventilateurs (flux d'air de
l'avant vers l'arrière) l'arrière vers l'avant)
 CA - OS6900-BP-F  CA - OS6900-BP-R
 CC - OS6900-BPD-F  CC - OS6900-BPD-R
 Ventilateurs OS6900-FT-F  Ventilateurs OS6900-FT-R

 Unité indépendante amovible  Unité indépendante amovible
 Ensemble remplaçable sur site à l'arrière  Ensemble remplaçable sur site à l'arrière
du châssis du châssis
OmniSwitch 6900 & 10K
Convertisseurs pris en charge en option
Convertisseurs 10 Gigabits SFP+
Convertisseurs Gigabit Ethernet  SFP-10G-SR
 SFP-GIG-SX  SFP-10G-LR
 SFP-GIG-LX  SFP-10G-ER
 SFP-GIG-LH40  SFP-10G-LRM
 SFP-GIG-LH70  SFP-10G-C
 SFP-GIG-T
Convertisseurs 40 Gigabits QSFP+
 QSFP-40G-SR
Convertisseurs Ethernet  QSFP-40G-C
bidirectionnels
 SFP-100-BX20LT
Convertisseur sur fibre optique
 SFP-100-BX20NU
 SFP-100-BXLC-D
SFP+ triple vitesse
 Détection automatique 2 G, 4 G, 8 G
 SFP-100-BXLC-U
Fibre Channel (FC)
 SFP-GIG-BX-D
 Prend en charge la fibre optique
 SFP-GIG-BX-D multimodale sur une longueur d’onde
de 850 nm avec un connecteur LC
Convertisseurs Gigabit Ethernet CWDM
Convertisseurs Ethernet 100-FX
 SFP-GIG-CWD
 SFP-100-LC-MM
Câble SFP+ fixé en direct  SFP-100-LC-SM15
 1 m/ 3 m/ 7 m  SFP-100-LC-SM40
Matériel OmniSwitch 6900
Mémoire tampon et gestion du trafic
 Fonctions avancées du commutateur
 Virtualisation avec MC-LAG ou châssis virtuel
 Reconvergence rapide du réseau et équilibrage de charge optimal avec
Shortest Path Bridging
 Configuration facile
 Performance optimale des applications avec une QoS

riche en fonctionnalités
 Nombreuses fonctions de classification (L2/L3/L4)
 Mise en attente évoluée et gestion des congestions
 Enhanced Transmission Selection (ETS) 802.1Qaz (DCB)
 Profils Queue Set (SPQ, WFQ, RED, WRED)
 Notification de congestion
 Priority based Flow Control (PFC), IEEE 802.1Qbb (DCB)
 802.3x
 Prise en charge du routage de niveau 3

 Vitesse du câble sur L2 / L3 (IPv4/v6, unicast et multicast)
 Prise en charge du routage avancé avec des protocoles tels que OSPF, BGP, PIM-SM,
BFD, VRF
Gestion OmniSwitch AOS

Objectifs du module
 Ce module couvrira :
 Connexion au commutateur
 Gestion des fichiers/répertoires
 Chargement d'image logicielle
 Méthodes d'accès
 Comptes utilisateur
 Authentification AAA
 Gestion basée sur les rôles AOS
Outils de gestion
 L'accès au commutateur peut s'effectuer localement ou à distance.
 Les outils de gestion comprennent les éléments suivants :
 CLI - Accessible localement via le port console ou à distance via Telnet

 WebView - Requiert un client HTTP (navigateur) sur un poste de
travail distant
 SNMP - Requiert un gestionnaire SNMP (Alcatel-Lucent OmniVista, HP
OpenView) sur le poste de travail distant
 Secure Shell - Disponible via l'interface Secure Shell
 FTP - Transferts de fichiers via FTP ou FTP Secure Shell
 TFTP - Transferts de fichiers via TFTP
 Périphérique USB - Restauration après incident, chargement/téléchargement
de fichiers images
GESTION DE FICHIERS/RÉPERTOIRES
AOS
R6
Système de fichiers AOS
 Mémoire Flash – 128 Mo par module CMM  Système de fichiers
 Stockage des fichiers de configuration et
fichiers système
 Deux versions sur la mémoire Flash,
répertoires WORKING et CERTIFIED
Swlog1.log  Les fichiers *.img sont stockés dans les
Network
Swlog2.log répertoires WORKING et CERTIFIED
Boot.params
 Restauration de configuration initiale
Switch  Basée sur les répertoires WORKING et
CERTIFIED
Répertoire WORKING Répertoire CERTIFIED
 Applicable aux fichiers de configuration et
Jdiag.img Jdiag.img
fichiers système
Jsecu.img Jsecu.img
Jbase.img Jbase.img
 Une version certifiée (log. + conf.) est utilisée à
Jeni.img Jeni.img
titre de sauvegarde en cas de modification (mise
Jos.img Jos.img
à niveau, etc.).
Répertoire Flash
Organisation Flash AOS
Répertoire Flash
Switch Network
swlog1.log
swlog2.log
policy.cfg
command.log
boot.params
boot.slot.cfg
Répertoire WORKING Répertoire CERTIFIED

-base.img -base.img
-secu.img -secu.img
-eni.img -eni.img
-advrout.img -advrout.img
-os.img -os.img
-release.img -release.img
-boot.cfg -boot.cfg
Séquence de démarrage système - System Boot
 Séquence de démarrage (rappel) Flash RAM

 Fonctionnement de démarrage standard BootROM 1
 Initialisation matérielle
 Réalisation de diagnostics mémoire
MiniBoot 2
 Sélection du MiniBoot adapté
 Copie et exécution du MiniBoot root directory MiniBoot
4
 Fonctionnement MiniBoot standard boot.params 3
 Initialisation noyau (« kernel ») standard
/working directory
 Sélection d'image kernel.lnk from
 Basée sur boot.params OS package
 Copie et chargement du système 5

d'exploitation Production
/certified directory
kernel.lnk from
kernel
 L'image comprend sa propre copie du noyau
OS package
spécifique à la version logicielle.
Séquence de démarrage système
Répertoires WORKING et CERTIFIED identiques
Répertoire WORKING Répertoire WORKING

Le commutateur
-base.img -base.img
fonctionne à
-secu.img -secu.img
partir du
-eni.img -eni.img
répertoire
-os.img
WORKING
-os.img
-boot.cfg -boot.cfg
Les contenus des
répertoires WORKING
et CERTIFIED sont
identiques Répertoire CERTIFIED Répertoire CERTIFIED
-base.img -base.img
-secu.img -secu.img
-eni.img -eni.img
-os.img
-os.img
-release.img
-release.img -boot.cfg
-boot.cfg
Répertoires WORKING et CERTIFIED différents
Répertoire WORKING Répertoire WORKING

-base.img -base.img
-secu.img -secu.img
-eni.img -eni.img
-os.img -os.img
-boot.cfg -boot.cfg
Les contenus des
répertoires WORKING
Le commutateur
et CERTIFIED sont
fonctionne à
différents Répertoire CERTIFIED Répertoire CERTIFIED
partir du
-base.img répertoire -base.img
-secu.img CERTIFIED -secu.img
-eni.img -eni.img
-os.img -os.img
-boot.cfg -boot.cfg
Les répertoires WORKING et CERTIFIED diffèrent
 Si le contenu des répertoires WORKING et CERTIFIED diffère, le commutateur opère à
partir du répertoire Certified
Principal
WORKING CERTIFIED
boot.cfg boot.cfg
1. Le commutateur opère
à partir du répertoire
CERTIFIED
1
Configuration en cours (Running config)
CMM A
---> Les modifications ne peuvent pas être enregistrées directement
dans le répertoire CERTIFIED
Les répertoires WORKING et CERTIFIED diffèrent
 Le commutateur peut être réinitialisé à partir du répertoire WORKING
Principal
WORKING CERTIFIED
boot.cfg
3
3. Si des changements
sont opérés dans la 2
configuration courante
(running), ils sont 2. La réinitialisation s'opère
sauvegardés dans le à partir du répertoire WORKING
répertoire WORKING -> reload working no rollback-timeout
-> copy running-config
working
Configuration courante (running)
CMM A
---> Les modifications de la configuration courante sont enregistrées

dans le répertoire WORKING
Les répertoires WORKING et CERTIFIED sont maintenant
identiques
Principal
4. Enfin, le contenu des répertoires WORKING
4 et CERTIFIED est identique
-> copy working certified
WORKING CERTIFIED
boot.cfg boot.cfg
Configuration en cours (Running config)

CMM A
---> Désormais, la configuration en cours correspond au répertoire WORKING

et le répertoire CERTIFIED correspond au répertoire WORKING
OmniSwitch avec module CMM redondant
Rôle CMM
 Processus de synchronisation entre commutateurs dans un châssis
 Les répertoires /flash/WORKING et /flash/CERTIFIED doivent être identiques sur les deux
commutateurs (principal, secondaire) en fonctionnement standard
 Le même logiciel est exécuté sur les deux commutateurs
 Les commandes CLI permettent de synchroniser les commutateurs principal et secondaire dans
le châssis.
-> copy flash-synchro
-> copy working certified flash-synchro
-> write memory flash-synchro
 Basculement des rôles principal et secondaire

 Fonction de basculement
 Le commutateur principal devient commutateur secondaire tandis que le commutateur secondaire devient
commutateur principal.
 Exécution d'une synchronisation Flash avant basculement
 Maintien des fonctions de gestion du commutateur au cours du basculement
 Commandes CLI (commutateurs primaire et secondaire uniquement)
->takeover
->show running directory (affichage du rôle du commutateur -CMM-, primaire ou secondaire)
->show chassis
OmniSwitch - Synchronisation des CMM principal et secondaire
 Pour la redondance logicielle CMM, au moins deux commutateurs OmniSwitch

6250/6400/6850 complètement opérationnels doivent être liés en formant une
pile (stack).
 Dans une pile de commutateurs, l'un des commutateurs a en permanence le

rôle principal et l'autre le rôle secondaire.
 Le commutateur principal gère le fonctionnement en cours du commutateur,

tandis que le commutateur secondaire sert de commutateur de secours
(« fail over »).
 Les autres commutateurs de la pile sont paramétrés en mode veille pour les besoins
de redondance.
OmniSwitch - Synchronisation des CMM principal et secondaire
 Certification et synchronisation du répertoire WORKING vers le répertoire CERTIFIED et du
module CMM principal vers le module CMM secondaire
-> copy working certified flash-synchro
1. Copie du répertoire WORKING vers le répertoire CERTIFIED du module principal
2. Copie du répertoire WORKING du module principal vers le répertoire WORKING du module secondaire
3. Copie du répertoire WORKING du module secondaire vers le répertoire CERTIFIED du module secondaire
Principal Secondaire
Swlog1.log Swlog1.log
Network Network
Boot.params -> show running-directory

Boot.params
CONFIGURATION STATUS
Switch
2.
2 Running CMM : PRIMARY,
Switch
CMM Mode 3 : DUAL CMMs,

Répertoire WORKING 1 Répertoire CERTIFIED Current
Répertoire CMM Slot
WORKING : B, Répertoire CERTIFIED
Jdiag.img Jdiag.img
Running configuration
Jdiag.img
: WORKING,
Jdiag.img
Certify/Restore
Jsecu.img
Status : CERTIFIED
Jsecu.img
Jsecu.img Jsecu.img
Jbase.img Jbase.img
SYNCHRONIZATION
Jbase.img STATUS Jbase.img
Jeni.img Jeni.img
Flash Between
Jeni.img
CMMs : SYNCHRONIZED,
Jeni.img
Jos.img Jos.img
Running Configuration
Jos.img : SYNCHRONIZED, Jos.img
NIs Reload On Takeover : NONE
Répertoire Flash Répertoire Flash
CMM A CMM B
OmniSwitch
Synchronisation d'horloge des commutateurs principal
et secondaire
 Synchronisation des paramètres date et heure entre les commutateurs principal
et secondaire
-> system time-and-date synchro
OmniSwitch
Architecture du logiciel système
-> show running-directory
Running CMM : PRIMARY,
CMM Mode : DUAL CMMs,
Current CMM Slot :A
Running configuration : WORKING,
Certify/Restore Status : : CERTIFIED
SYNCHRONIZATION STATUS
Flash Between CMMs : SYNCHRONIZED,
Running Configuration : SYNCHRONIZED,
Network Network
Boot.params Boot.params
Switch Switch
CMM-A
Répertoire WORKING Répertoire CERTIFIED Répertoire WORKING Répertoire CERTIFIED
diag.img diag.img diag.img diag.img
secu.img secu.img secu.img secu.img

base.img base.img base.img base.img
eni.img eni.img eni.img eni.img

os.img os.img CMM-B os.img os.img

Commandes système
 Les commandes de répertoire comprennent les éléments suivants :
 pwd - afficher le répertoire actuel
 cd – modifier le répertoire
 dir – énumérer le contenu du répertoire
 mkdir – créer un nouveau répertoire
 rmdir – supprimer le répertoire existant
 Les commandes de fichiers comprennent les éléments suivants :

 ls – énumérer le contenu du répertoire
 cp – copier un fichier
 mv – déplacer un fichier
 vi – appeler l'éditeur
 rm – supprimer un fichier
 Les commandes d'utilitaires comprennent les éléments suivants :

 freespace - afficher la capacité de mémoire système de fichiers disponible
 fsck – réaliser un contrôle du système de fichiers
Gestion des fichiers et des répertoires
Mettre à jour/enregistrer l’image système
 Transfert de fichiers disponible via :
 FTP
 Secure FTP
 TFTP
 Zmodem
 USB
 Le commutateur agit en tant que : CLI

 Serveur FTP WebView
 Client FTP/TFTP
OmniVista
 Par défaut, une session FTP se connecte au répertoire WORKING

 L'authentification FTP doit être activée à l'aide de la commande « aaa authentication
ftp local »
Gestion des fichiers
Mettre à jour/enregistrer l’image système
FTP/TFTP
-> ftp {host_name | ip_address}
-> sftp {host_name | ip_address}
-> tftp {host_name | ip_address} {get | put} source-file [src_path/]src_file [destination-

file [dest_path/] dest_file] [ascii]
Serveur FTP
WebView
Support USB
 Restauration après incident (exige une mise à niveau MiniBoot-uBoot et une structure de
répertoire spécifique dans le logiciel pilote pour stocker les fichiers images)
 Chargement/téléchargement de fichiers image et configuration
 Support USB désactivé par défaut
 Seul ce périphérique USB sera pris en charge et son fonctionnement garanti.
 Toutes les opérations de gestion de fichiers sont prises en charge, y compris les opérations
récursives.
 Les commandes CLI utilisées pour le système « /flash file-system » et les systèmes « file-
systems » distants peuvent également être utilisées sur le système « /uflash file-system ».
-> usb enable
-> /uflash Bulk device is created
Node ID 0x2
LUN #0
Vendor Info : PIXIKA
Product ID : USB Flash Drive -> show usb statistics
Product Revision : 4.00 USB: Enabled
Number of Blocks : 509695 USB auto-copy: Disabled
Bytes per Block : 512 USB disaster-recovery: Enabled
Total Capacity : 260963840 Node ID 0x2
LUN #0
TUE MAR 09 15:09:21 : SYSTEM (75) alert message: Vendor Info : PIXIKA
+++ USB Bulk Device mounted at 12 Mbps. Product ID : USB Flash Drive
Product Revision : 4.00
-> usb disable Number of Blocks : 509695
TUE MAR 09 15:13:12 : SYSTEM (75) alert message: Bytes per Block : 512
+++ Device /uflash removed and uninstalled from FS Total Capacity : 260963840
Gestion de la clé Flash USB
 Restauration après incident
 Commutateur configuré pour
démarrer à partir de la clé
Flash USB
 -> usb enable
 -> usb disaster-recovery enable
 Créez un répertoire nommé « xxxx/certified* »
sur la clé Flash USB comprenant tous les
fichiers images adaptés
 Connectez la clé Flash USB au module CMM ; la
mémoire Flash sera reformaté et les images
seront copiées vers le répertoire
/flash/CERTIFIED du module CMM. Le
commutateur redémarrera à partir du
répertoire CERTIFIED.
* xxxx= modèle de commutateur

Gestion de la clé Flash USB
 Copie automatique
 Mise à niveau des fichiers images
à partir du périphérique USB vers
le répertoire /flash/WORKING
 Créez un fichier nommé « aossignature » à la
racine du Flash USB
 Créez un répertoire nommé « xxxx/WORKING* »
sur la clé Flash USB comprenant tous les fichiers
images appropriés.
 Exécutez les commandes :
 -> usb enable
 -> usb auto-copy enable
 Connectez la clé Flash USB au module CMM ; les
images sont validées et copiées vers le
répertoire /flash/WORKING du module CMM et
le commutateur redémarre à partir du
répertoire WORKING appliquant la mise à niveau
du code
* xxxx= modèle de commutateur

Gestion des fichiers et des répertoires
Mise à niveau logicielle du commutateur
 Transfert de nouveaux fichiers images vers le répertoire /flash/WORKING
 Utilisez les méthodes présentées précédemment
 Package OS
 Jadvrout.img Optional Advanced Routing CMM Advanced Routing

 Jbase.img Base Software CMM Base Swlog1.log
Réseau
Swlog2.log
 Jdiag.img Base Software CMM Diagnostics
Boot.params
 Jeni.img Base Software NI image for all Ethernet-type NIs
Commutateur
 Jos.img Base Software CMM Operating System
 Jqos.img Base Software CMM Quality of Service Répertoire WORKING Répertoire CERTIFIED
 Jrout.img Base Software CMM Routing (IP and IPX) diag.img diag.img
secu.img secu.img
 Jsecu.img Optional Security CMM Security (AVLANS) base.img base.img
eni.img eni.img
 Jrelease.img Base Software Release Archive os.img os.img
 -> reload working no rollback-timeout

 -> copy working certified Répertoire Flash
Jxxxx.img for OS9000

Gxxxx.img for OS6400
Kxxxx.img for OS6850E
Kxxxx.img for OS6855
Gestion des fichiers
Mise à niveau/ Vérifier la version de l’image
-> show microcode [working | certified | loaded]
-> show microcode

Package Release Size Description
-----------------+---------------+--------+-----------------------------------
Kbase.img 6.4.5.402.R02 20599723 Alcatel-Lucent Base Software
Kadvrout.img 6.4.5.402.R02 2991820 Alcatel-Lucent Advanced Routing
K2os.img 6.4.5.402.R02 1965391 Alcatel-Lucent OS
Keni.img 6.4.5.402.R02 6093065 Alcatel-Lucent NI software
Ksecu.img 6.4.5.402.R02 649040 Alcatel-Lucent Security Management
Kencrypt.img 6.4.5.402.R02 3437 Alcatel-Lucent Encryption Management
GESTION DE FICHIERS/RÉPERTOIRES
AOS
R7
Objectifs du module
 Ce module couvrira les éléments suivants :
 Administration du système AOS R7
 ISSU
 Gestion des licences logicielles
AOS
Système de fichiers AOS - Multi-image/config
OS 10K OS 6900  Répertoires
 Répertoire CERTIFIED
 Mémoire Flash 2 Go* 2 Go
 Version en lecture seule des fichiers *.img et
 Mémoire RAM 4 Go* 2 Go boot.cfg
 Les modifications de configuration NE
* par CMM PEUVENT PAS être enregistrées directement
dans le répertoire CERTIFIED
 Répertoire d'exécution
Swlog1.log
Swlog2.log Répertoire réseau

Policy.cfg
Boot.params  Versions enregistrées des fichiers *.img et
boot.cfg
 Les fichiers du répertoire WORKING doivent
être testés avant de les associer au répertoire
CERTIFIED.
Répertoire CERTIFIED Répertoire WORKING Répertoires définis par
Ros.img Ros.img
l'utilisateur  Les changements de configuration peuvent
Ros.img
être enregistrés dans le répertoire WORKING.
Reni.img Reni.img Reni.img
Boot.cfg Boot.cfg Boot.cfg

 Répertoires définis par l'utilisateur
 Tout autre répertoire créé par l'utilisateur
 Ces répertoires peuvent porter un nom
quelconque et peuvent être utilisés pour
stocker des configurations supplémentaires de
commutateur.
Répertoire Flash  Les modifications de configuration PEUVENT
être enregistrées directement dans n'importe
quel répertoire défini par l'utilisateur.
Système de fichiers AOS - Multi-image/config
 Répertoire RUNNING
 Répertoire dans lequel les modifications de la configuration seront enregistrées.
 Il s'agit en général du répertoire à partir duquel le commutateur démarre, mais
n'importe quel répertoire peut être configuré comme étant le répertoire RUNNING.
 Configuration courante (running)

 Il s'agit de la configuration actuelle du commutateur récupérée dans le répertoire à
partir duquel le commutateur démarre, avec les modifications de configuration
réalisées par l'utilisateur.
 La configuration est stockée dans la RAM du commutateur.
Restauration de configuration initiale
 Basée sur les répertoires WORKING, CERTIFIED et les répertoires définis
par l'utilisateur
 Applicable aux fichiers de configuration et fichiers système
 Une version certifiée (log. + conf.) est utilisée à titre de sauvegarde en cas de
modification (modification, mises à niveau, etc.).

CMM Mode : MONO CMM,
Current CMM Slot : A,
Running configuration : CERTIFIED,
Certify/Restore Status : CERTIFIED
Running Configuration : SYNCHRONIZED
->reload from working no rollback-timeout

->reload from <userdefined> no rollback-timeout
Modification du répertoire RUNNING
 Lorsque le commutateur démarre et fonctionne selon la configuration du répertoire
CERTIFIED, les modifications apportées aux fonctionnalités du commutateur ne peuvent
pas être enregistrées et les fichiers ne peuvent pas être déplacés entre les différents
répertoires.
 Pour changer le répertoire RUNNING de manière à ce que ce soit un autre répertoire que
le répertoire CERTIFIED, utilisez la commande « modify running-directory », puis
enregistrez la configuration avec la commande « write memory »
-> modify running-directory working
-> write memory
-> copy running certified

Running Configuration : SYNCHRONIZED
Rôle du CMM (OmniSwitch 10K uniquement)
 Processus de synchronisation entre CMM dans un châssis
 Les répertoires RUNNING et CERTIFIED doivent être identiques sur les deux CMM (principal,
secondaire) en fonctionnement standard.
 Le même logiciel est exécuté sur les deux CMM.
 Les commandes CLI permettent de synchroniser les CMM principal et secondaire dans
le châssis.
-> copy flash-synchro
-> copy running certified flash-synchro
-> write memory flash-synchro
 Basculement des rôles principal et secondaire

 Fonction Takeover
 Le CMM principal devient CMM secondaire, et le CMM secondaire devient CMM principal.
 Exécution d'une synchronisation Flash avant basculement
 Maintien des fonctions de gestion du commutateur au cours du basculement
 Commandes CLI (commutateurs primaire et secondaire uniquement)
-> takeover
-> show running directory (affichage du rôle du commutateur (CMM),
principal ou secondaire)
-> show chassis
Commandes Reload
 Reload [ secondary] [in | at ]
 Cette commande recharge le CMM principal par défaut.
 Pas de « failover » pendant le rechargement.
 Cette commande peut également être utilisée pour le CMM secondaire.
 Reload From
 Redémarre immédiatement le CMM principal
 Pas de « failover » pendant le rechargement.
 Toutes les NI redémarrent, y compris celle du CMM secondaire.
-> reload from working no rollback-timeout

-> reload from user-config1 no rollback-timeout
Gestion de la configuration
 Le shell Bash est utilisé pour toutes les saisies de l'utilisateur.
 Le jeu de commandes CLI a changé de 6.x à 7.x
 Complétion automatique des commandes
 Permet les alias pour les commandes

 stocké dans boot.cfg
-> alias dir=‘ls –l’
 Reconnaissance de préfixe - identique à l'AOS 6.x
 Filtrage intégré
 Mécanismes de « pipe » Unix intégrés aux redirections Bash
-> show vlans | more
-> show mac-learning | grep 00:20:da:55:56:76
-> show ip ospf routes | egrep "^10\.10.*" | sort | less
Commandes CLI
 AOS/ shell Bash (spécifique aux commutateurs)
 Arp, aaa, boardinfo, clear, capability, configuration, copy, clicomp,
cliwrapper, command-log, diusin, debug, ethernet-service, expr, erp-ring
fsck, ftp, freespace, gvrp, hash-control, health, installsshkey, icmp, ipv6,
issu, Ipsec, interfaces, ip, kill, linkagg, lldp, mount, mac-range, mvrp,
modify, mac-learning, multi-chassis, netsec, newfs, no, ntp, nslookup,
pam_cli, powersupply, power, port-session, security, port-mapping, port-
mirroring, port-monitoring, ping6, policy, password, ping, qos, rmon, rcp,
rdf, reload, rls, revokesshkey, rrm, swlog, sftp, system, scp, sflow, show,
snmp, snmp-trap, spantree, ssh, sh, takeover, telnet, tps, traceroute,
traceroute6, tty, temp-threshold, Umount, update, user, udld, Usb, verbose,
vrrp, vlan, vrf, vrrp3, who, webview, write, whoami.
 Commandes Busybox (voir www.busybox.net pour référence)
 Awk, cat, chmod, cmp, cp, diff, dmesg, du, egrep, fgrep, find, free, grep,
head, less, ls, mkdir, more, mv, reset, rm, rmdir, sed, stty, sync, tail, tftp,
time, vi, wc, xargs
Commandes système
 Les commandes de répertoire comprennent les éléments suivants :
 pwd - afficher le répertoire actuel
 cd – modifier le répertoire
 dir – énumérer le contenu du répertoire
 mkdir – créer un nouveau répertoire
 rmdir – supprimer le répertoire existant
 Les commandes de fichiers comprennent les éléments suivants :
 ls / rls – énumérer le contenu du répertoire (sans “dir”) / énumérer le contenu du
répertoire CMM secondaire
 Cp / rcp – copier un fichier / copier un fichier du CMM secondaire
 scp – sécuriser la copie de fichier
 mv – déplacer un fichier
 vi – appeler l'éditeur
 rm / rrm – supprimer un fichier / supprimer du CMM secondaire
 Les commandes d'utilitaires comprennent les éléments suivants :
 freespace - afficher la capacité de mémoire système de fichiers disponible
 fsck – réaliser un contrôle du système de fichiers
Architecture du logiciel système
Current CMM Slot : A
Swlog2.log Répertoire Network Swlog2.log Répertoire Network
Policy.cfg Policy.cfg
Boot.params Boot.params
CMM-A
Répertoire CERTIFIED Répertoire WORKING Répertoires définis par Répertoire CERTIFIED Répertoire WORKING Répertoires définis par
l'utilisateur l'utilisateur
Ros.img Ros.img Ros.img
Ros.img Ros.img Ros.img

Boot.cfg Boot.cfg Boot.cfg
CMM-B Boot.cfg Boot.cfg Boot.cfg

OmniSwitch 10K - Configuration de l'adresse IP du port de
gestion Ethernet (EMP)
 L'adresse IP de l'EMP est partagée par les deux CMM et stockée Boot.cfg
dans le fichier boot.cfg. (requis pour l'accès à distance)
-> ip interface emp address 192.168.10.100 mask 255.255.255.0
 L'adresse IP des CMM principal et secondaire est stockée dans la NVRAM. (non
requis pour l'accès à distance)
 Les modifications enregistrées dans la NVRAM resteront associées au CMM si le CMM
est déplacé sur un châssis différent.
 Les adresses IP des ports de gestion Ethernet et les adresses IP des CMM doivent se
trouver sur le même sous-réseau.
 Chaque adresse IP doit être unique.
-> modify boot parameters

Boot > boot empipaddr 192.168.10.2
Boot > boot empmasklength 24
Boot > commit system
Boot > commit boot
Boot > exit
OmniSwitch 6900 - Configuration de l'adresse IP du port de
gestion Ethernet (EMP)
Boot.cfg
 Utilisez la commande « ip interface » pour modifier l'adresse

IP par défaut de l'EMP. (enregistrée dans le fichier boot.cfg.)
-> ip interface emp address 192.168.10.100 mask 255.255.255.0
L'adresse IP par défaut de l'EMP est 10.255.24.81.
 L'adresse de l'EMP peut également être modifiée à partir

du menu des paramètres de démarrage.
-> modify boot parameters

Boot > boot empipaddr 192.168.10.100
Boot > boot empmasklength 24
Boot > commit system
Boot > commit boot
Boot > exit
MISE À NIVEAU LOGICIELLE SANS INTERRUPTION
DE SERVICE (ISSU)
ISSU
 Mise à niveau logicielle sans interruption de service (ISSU) au niveau du module
 Image CMM et NI complète
 Mise à niveau des CMM indépendament des NI
 Les deux cartes CMM doivent être présentes et doivent exécuter le code/config
certifié
 Les CMM sont mis à niveau en premier
 Les NI doivent être réinitialisées pour obtenir la nouvelle version

 Redémarrage planifié manuellement
 Les NI commencent à redémarrer 120 minutes après le démarrage des CMM
 La nouvelle image CMM devrait fonctionner avec la version NI précédente

jusqu'à ce qu'elle soit mise à niveau
 Capacité de mise à niveau de NI individuelle depuis l'arborescence postGA
principale uniquement
 Une compatibilité descendante existe avec une version N-1 du protocole
ISSU
 Le logiciel prend uniquement en charge la compatibilité N-1
 Une mise à niveau de la version GA vers n'importe quelle version GA ultérieure

est possible, mais plusieurs mises à niveau peuvent être nécessaires étant
donné que les protocoles sont susceptibles de changer plus d'une fois
 Le schéma ci-dessous illustre une mise à niveau d'un build de maintenance
d'une version GA à une version post-GA
 Seule la mise à niveau d'une version de maintenance d'une version majeure
vers la version majeure suivante est garantie
 La version du build GA est liée à la version du build GA de la version de maintenance
de la version majeure précédente
7.2.100 - GA
faisceau principal
7.2.1.200.R01 – 7.2.1.300.R01 –
Protocole protocole version 2 protocole version 3 ISSU
version 1
branche de
maintenance
7.2.R01
ISSU
Spécifications
CMM Doivent être synchronisés et certifiés redondants

Fichiers image CMM Ros.img Reni.img
Fichier de validation issu.txt
Répertoire ISSU Tout répertoire défini par l'utilisateur
pour stocker les fichiers images
Temps de réinitialisation NI par défaut 120 minutes
LED de contrôle Clignote en orange lors de la mise à niveau ISSU
Fichiers ISSU :
Ros.img – image CMM/CFM

Reni.img – image NI
issu.txt – Contient les informations requises pour confirmer
qu'une mise à niveau ISSU est possible
ISSU - Séquences
OS 6900 - GESTIONNAIRE DE LICENCES
Ensemble des fonctionnalités des licences
 Licence logicielle de routage avancé (OS6900-SW-AR)
 OSPF v2, VRRP, DVMRP, IPSec, BGP, VRRP v3, PIM-SM, VRF, MP-BGP, Static Routing
IPv6, PIM-SM IPV6, Policy Based routing, RIPng et ECMP for OSPF.
 Éléments nécessaires pour activer une licence

 Numéro de série du système
 Adresse MAC du système
 Clé ou fichier de licence
-> show chassis

Model Name: OS6900-X20,
Module Type: 0X5062201,
Description: Chassis,
Part Number: 050535-46T,
Hardware Revision: B04,
Serial Number: N2360043,
Manufacture Date: Jun 09 2011,
Admin Status: POWER ON,
Operational Status: UP,
Number Of Resets: 115,
MAC Address: e8:e7:32:97:07:54
Centre de génération de licences produit
 https://service.esd.alcatel-lucent.com
Licence OS6900 / Inscription
 https://service.esd.alcatel-lucent.com/portal/page/portal/EService/OS6900
Configuration des informations de licence
 Appliquer une licence par un fichier de clé de licence :
-> license apply file swlicense.dat
 Appliquer une licence par une clé de licence individuelle :
-> license apply key ‘q9T3-j4|q-*91t-^cPL-VGBy-DyOU-i^k2-$KZ]’

 Désactivation/retour à une version antérieure du commutateur sous licence logicielle :
-> license deactivate

 Affichage des informations de licence
-> show license info

License Type Time (Days)
Remaining
------------+-------------+-----------
Advanced Permanent NA
Gestion de licences par Webview
CONFIGURATION AUTOMATIQUE CLÉ EN MAIN
Configuration automatique clé en main
 Installation à distance lorsque la première
opération sur site doit être réalisée par du
personnel non-technique
1. La réponse du DHCP inclut les options
 Déploiement par lots automatisé ou mises à niveau « tftp-server-name » et « bootfile-name »
du firmware
 Procédure
 Aucun fichier "boot.cfg" n'existe, la connectivité IP
(adresse, masque et route par défaut) sera définie
Serveur DHCP
à l'aide du DHCP
 Le serveur DHCP renverra le chemin et le nom de OmniSwitch
fichier d'un fichier d'instructions contenant les
éléments suivants :
 Firmware
 Fichier de configuration
 Fichier du script Serveur TFTP
 Informations sur le serveur de fichiers
 Une fois téléchargé, le fichier d'instructions est
parsé et exécuté
3. FTP stocke le
 Instructions
firmware, la config.,
 Le premier démarrage nécessite un serveur DHCP les scripts Serveur FTP
et un serveur TFTP
 Temps de démarrage augmenté
2. TFTP stocke le fichier
 Port de gestion Ethernet non pris en charge
d'instructions.
 Nom de fichier et longueur de chemin limités à 63 Peut également stocker le firmware
et 255 caractères et la config.
 Pas de prise en charge d'IPv6
Configuration automatique clé en main
subnet 192.168.255.0 netmask 255.255.255.0 {

dynamic-dhcp range 192.168.255.10
192.168.255.100 { Mise en
option subnet-mask 255.255.255.0; marche
option routers 192.168.255.1;
option tftp-server-name "10.255.204.100";
Oui Recharger
option bootfile-name “inst.file"; Fichier boot.cfg
commutateur
option dhcp-lease-time 600; présent ? Démarrage normal
Du commutateur
}
}
1
Démarrer config auto Oui
Démarrer client dhcp sur vlan 1 3
Oui
L'offre DHCP Se connecter au Télécharger
serveur Fichier
comprend-elle un firmware
Obtenir fichier d'instructions
serveur TFTP et nom et/ou démarrer
•! Alcatel-Lucent OmniSwitch OS6850 - Instruction de fichier ? d'instructions trouvé ?
config. ?
file
•! Firmware version 2
•Firmware version:OS_6_4_3_339_R01 Non
•Firmware location:/home/ftpboot/firmware
Non Non
•! Configuration file
Non Télécharger
script ?
4
•Config filename:boot_OS6850.cfg
•Config location:/tftpboot/ Oui
•! Debug file
Commutateur disponible
•!Debug filename:AlcatelDebug.cfg à distance
Exécuter script
•!Debug location:/home/ftpboot/debug
•! Script file
•!Script filename:OS6850_script.txt
•! Primary File Server vlan 10
•Primary server: 10.255.204.100 vlan port mobile 1/10
•Primary protocol: FTP vlan 10 mobile-tag enable
•Primary user: tftptest
•! Secondary File Server
•!Secondary server:10.200.110.111
•!Secondary protocol:SFTP
•!Secondary user:admin
MÉTHODES DE CONFIGURATION
Méthodes de configuration
Interface CLI
 CLI (Command Line Interface)
 Configuration en mode connecté via des sessions en temps réel utilisant des
commandes CLI
 Console ou Telnet
 Configuration en mode déconnecté utilisant des fichiers texte avec

commandes CLI
 Transfert ultérieur vers commutateur
 Fonction Snapshot : Snapshots (instantanés) de configurations commutateur

dans un fichier texte
 configuration snapshot feature_list [path/filename]
 configuration apply filename
 show configuration snapshot [feature_list]

CLI (Command Line Interface)
Options
 Command Line Editing
 Utilisez les touches ‘!!’, insérer, supprimer, les flèches pour rappeler et modifier des commandes
antérieures
 Command Prefix Recognition
 Mémorisez les préfixes de commandes pour minimiser la saisie
 CLI Prompt Option
 Modifiez l’invite de commande CLI
 Command Help
 Utilisez « ? » pour afficher les paramètres possibles
 Keyword Completion
 Utilisez la touche <TAB> pour compléter les mots clés automatiquement
 Command History (jusqu'à 30 commandes)
 Affichez une liste des commandes entrées précédemment
 Command Logging (jusqu'à 100 commandes ; informations détaillées)
 Enregistrez les commandes et les résultats des commandes saisies
 Syntax Error Display
 Affichez des indicateurs précisant les erreurs dans la commande et leur localisation
 Alias Command Option
 Substituez du texte à une commande CLI
 More Command
 Fixez le nombre de lignes affichées
CLI (Command Line Interface)
Commandes de gestion de base
 -> show running-directory
 -> write memory
 -> copy working certified
 -> copy flash-synchro
 -> reload working no-rollback-timeout
 -> reload primary at 08:43 july 24

Confirm delayed reload (Y/N): y
 -> show configuration snapshot all
 -> show ip interface
 -> show vlan
 ….
Ports Ethernet
Options de ports CLI
Définition des paramètres de ports
Slot 6 - Idle
Slot 7 - Idle -> interfaces slot[/port[-port2]] speed {auto | 10 | 100 | 1000 | 10000 |
max {100 | 1000}}
Slot 8 - Idle -> interfaces slot[/port] mode {uplink | stacking}
-> interfaces slot[/port[-port2]] autoneg {enable | disable | on | off}
-> interfaces slot[/port[-port2]] crossover {auto | mdix | mdi}
Slot 1 - Pri -> interfaces slot[/port[-port2]] pause {tx | rx | tx-and-rx | disable}
-> interfaces slot[/port[-port2]] duplex {full | half | auto}
Slot 2 - Sec -> interfaces slot[/port[-port2]] admin {up | down}
-> interfaces slot/port alias description
Slot 3 - Idle -> interfaces slot[/port[-port2]] no l2 statistics [cli]
-> interfaces slot[/port[-port2]] max frame bytes
Slot 4 - Idle -> interfaces slot[/port[-port2]] flood multicast {enable | disable}
-> interfaces slot[/port[-port2]] flood [broadcast | multicast | unknown-unicast|all]
Slot 5 - Idle [enable | disable]
-> interfaces violation-recovery-time
-> interfaces violation-recovery-trap
-> interfaces clear-violation-all
• Ports Ethernet
Fixes 10/100/1000 BaseT
• Ports SFP
Connecteurs SFP pour connecteurs
SFP 100/1000 Base-X
• Ports mixtes
Connecteurs mixtes RJ45/SFP pour
10/100/1000 BaseT ou 1000 Base-X
• Ports XFP
Émetteurs/récepteurs Pluggable
(XFP) petit format 10 Gbit/s
• Ports SFP+
Émetteurs/récepteurs Pluggable
Plus (XFP) petit format 10 Gbit/s
Ports Ethernet
Supervision via la CLI
-> show interfaces port
Slot/ Admin Link Violations Alias
Port Status Status
-----+----------+---------+----------+-------------
1/1 enable down none “ sales "
1/2 enable down none " sales "
-> show interfaces 1/7 enable down none " sales "
-> show interfaces capability 1/8 enable down none " sales “
….
-> show interfaces flow control ….
-> show interfaces pause
-> show interfaces e2e-flow-vlan -> show interfaces 1/20
-> show interfaces accounting Slot/Port 1/20 :
Operational Status : up,
-> show interfaces counters Last Time Link Changed : TUE NOV 22 12:19:52 ,
-> show interfaces counters errors Number of Status Change: 1,
-> show interfaces collisions Type : Ethernet,
SFP/XFP : Not Present,
-> show interfaces status MAC address : 00:e0:b1:c5:3a:0b,
-> show interfaces port BandWidth (Megabits) : 1000, Duplex : Full,
Autonegotiation : 1 [ 1000-F 100-F 100-H 10-F 10-H ],
-> show interfaces ifg Long Frame Size(Bytes) : 9216,
-> show interfaces flood rate Rx :
Bytes Received : 233117328, Unicast Frames : 51104,
-> show interfaces traffic Broadcast Frames: 22156, M-cast Frames : 3542048,
-> show interfaces transceiver UnderSize Frames: 0, OverSize Frames: 0,
Lost Frames : 0, Error Frames : 0,
CRC Error Frames: 0, Alignments Err : 0,
Tx :
Bytes Xmitted : 14720188, Unicast Frames : 12,
Broadcast Frames: 1870, M-cast Frames : 227257,
UnderSize Frames: 0, OverSize Frames: 0,
Lost Frames : 0, Collided Frames: 0,
Error Frames : 0
-> show interfaces 1/20 capability

Slot/Port AutoNeg Flow Crossover Speed Duplex
-----------+---------+--------+-----------+----------+----------
1/20 CAP EN/DIS EN/DIS MDI/X/Auto 10/100/1G Full/Half
1/20 DEF EN DIS Auto Auto Auto

Fichier pre_banner.txt
 Ce fichier permet d'afficher un message personnalisé avant connexion de
l'utilisateur.
 Un texte sauvegardé dans le fichier pre_banner.txt du répertoire /flash

s'affiche avant même l'invite de connexion.
 Exemple :
 « Please supply your user name and password at the prompts » (Merci
d'indiquer votre nom d'utilisateur et votre mot de passe à l'invite de
connexion).
 login (nom d'utilisateur) : user123
 password (mot de passe) :*****
WebView
 Supervision et configuration du commutateur à l'aide de WebView
 Intégré dans le logiciel du commutateur
 Prise en charge en fonction du navigateur Web
 Internet Explorer 6.0 et versions ultérieures pour Windows NT, 2000, XP, 2003
 Firefox 2.0 pour Windows et Solaris SunOS 5.10
 Configuration WebView
 -> ip http server ou https server – Activation de l'application WebView (par défaut)
 -> ip http ssl ou https ssl – Mise en œuvre d'une connexion SSL entre le navigateur et le
commutateur (par défaut = désactivée)
 -> ip http port ou https port - Modification du numéro de port pour le serveur Web embarqué
 -> aaa authentication http local – Vérification de la base de données locale pour
authentification HTTP
-> show ip http
Web Management = on
Web Management Force SSL = off
Web Management Http Port = 80
Web Management Https Port = 443
WebView – Connexion
Page d'accueil WebView Page d'accueil du châssis
Présentation de la
page d'aide
OmniVista
Applications avancées
 Prend en charge le protocole SNMP
OmniVista
 Sur IPv4 et IPv6
 Versions
Infrastructure Omnivista
 SNMPv1
2500 Series
 SNMPv2
 SNMPv3
Omnivista ELM
Elements basés sur le Web
Managers
OmniVista - Applications principales
Omnivista  Discovery
Infrastructure OmniVista  Topology
2500 Series
 Access Guardian, UNP, HIC
Omnivista ELM  Performance
Elements basés sur le Web
Manager
 Traps/Events
 VLAN Manager
 Locator
 Policy Mgt
 Resource Manager
 Inventory
Applications OmniVista
Quarantine Manager and
Remediation
Permet un confinement de tous les
équipements
OmniVista
SecureView ACL
Permet la configuration de toutes les Infrastructure
listes ACL Omnivista Services Web
Offre une interface XML et une
Omnivista ELM interface Web GUI pour les fonctions
Elements basés sur le Web de supervision
Manager
PolicyView
Permet la configuration de la QoS
SecureView Switch Access
Permet une gestion de tous les utilisateurs
Access Guardian
Permet une gestion proactive de la sécurité réseau
MÉTHODES D'ACCÈS ET COMPTES UTILISATEUR
Méthodes d'accès
Spécifications
 Le commutateur peut être paramétré pour autoriser ou refuser certains accès à l'aide des
interfaces de gestion disponibles.
 Console, Telnet, HTTP, HTTPS, FTP, Secure Shell et SNMP
 Configuration via la fonction Authenticated Switch Access (ASA)
 Authentification et autorisation
 Base de données locale ou externe
 Spécifications de sécurité du commutateur

 Telnet - 4 sessions simultanées
 FTP - 4 sessions simultanées
 HTTP - 4 sessions simultanées
 SSH + SFTP - 8 sessions simultanées
 Total des sessions (Secure Shell, Telnet, FTP, HTTP et console) - 20 sessions
 SNMP - 50 sessions simultanées
Comptes utilisateur
Comptes Admin et Default
 Deux comptes utilisateur par défaut
 Compte administrateur : « Admin »
 Tous les droits
 Par défaut, accès autorisé uniquement via le port console
 Modification impossible, excepté le mot de passe
 Mot de passe par défaut = « switch »
 Compte par défaut : « Default »
 Compte utilisateur inactif
 Droits par défaut accordés au nouvel utilisateur
 Possibilité de créer de nouveaux utilisateurs avec droits d'accès complets ou

limités
 Gestion du partitionnement
 Limitation des commandes exécutables par l'utilisateur
 Type d'accès : FTP, Telnet, SNMP, Console, WebView
Comptes utilisateur
 Il existe deux types de compte :
 Comptes administrateur réseau

 Ces comptes sont configurés avec des droits utilisateur (parfois appelés fonctionnels).
 Ces droits déterminent si l'utilisateur dispose de droits de lecture ou de
lecture/écriture sur le commutateur et précisent les domaines et familles de
commandes que l'utilisateur est autorisé à exécuter sur le commutateur.
 Comptes utilisateur final ou de connexion client

 Les comptes de connexion client sont configurés avec un profil utilisateur final plutôt
qu'avec des droits fonctionnels.
 Les profils sont configurés de manière distincte et sont affectés par la suite au compte
utilisateur. Le profil spécifie les domaines de commande auxquels l'utilisateur a accès
ainsi que les VLAN et les ports.
Comptes utilisateur
Comptes administrateur réseau
-> user username [password password] [expiration {day | date}] [read-only | read-write
[families... |domains...| all | none]] [no snmp | no auth | sha | md5 | sha+des |
md5+des] [end-user profile name] [console-only {enable | disable}]
-> no user username
 Restriction utilisateur « admin » pour console uniquement

 -> user admin console-only {enable | disable}
 Nombre minimal de caractères du mot de passe

 -> user password-size min 10
 Expiration du mot de passe

 -> user password-expiration 5 (expire sous 5 jours pour tous les utilisateurs)
 -> user user1 password userpass expiration 5 (utilisateur spécifique)
 -> user user1 password userpass expiration 12/01/2006 15:30
Comptes utilisateur
Supervision
-> show user

User name = Customer1,
Password expiration = 10/27/2011 11:01 (30 days from now),
Password allow to be modified date = 9/30/2007 10:59 (3 days from now),
Account lockout = Yes (Automatically unlocked after 19 minute(s) from now),
Password bad attempts = 3,
Read Only for domains = None,
Read/Write for domains = Admin System Physical Layer2 Services policy Security ,
Read/Write for families = ip rip ospf bgp vrrp ip-routing ipx ipmr ipms ,
Snmp allowed = YES,
Snmp authentication = SHA,
Snmp encryption = DES
Console-Only = Disabled
Politique relative aux mots de passe et comptes utilisateur
 Règles applicables aux mots de passe (accès au commutateur local)
 Complexité
 nombre minimal de lettres majuscules
 lettres minuscules
 chiffres
 caractères non alphanumériques
 nom d'utilisateur interdit, etc.
 Historique - 0 à 24 mots de passe dans l'historique
 Longueur min. du mot de passe – 0 à 14 caractères
 Durée min. et max. du mot de passe – 0 à 999 jours
 Commandes d'activation des règles liées au mot de passe

 -> user password-policy min-nonalpha 2
 -> user password-policy cannot-contain-username enable
 -> user password-history 20
 -> user password-expiration 30
 -> user password-min-age 7
Politique relative aux mots de passe et aux comptes utilisateur
 Paramètres de verrouillage du compte – communs à tous les comptes
 Nombre d'échecs de connexion - configurable
 Fenêtre d'observation – période au terme de laquelle le compteur d'échecs
est réinitialisé
 Verrouillage
 Seuil – nombre de tentatives avant verrouillage du compte
 Durée – nombre de minutes devant s'écouler avant une nouvelle tentative utilisateur
 Commandes d'activation du verrouillage de mot de passe :

 -> user lockout-window 30
 -> user lockout-threshold 3
 -> user lockout-duration 60
 Commandes d'activation du verrouillage manuel d'un utilisateur :

 -> user lockout j_smith
 -> user unlock j_smith
Comptes utilisateur
Comptes utilisateur final
 Création d'un profil utilisateur final
-> end-user profile myprofile read-write physical
 Configuration d'un ensemble de ports associés à un profil utilisateur final
-> end-user profile myprofile port-list <slot/port>
 Configuration d'un ensemble de VLAN associés à un profil utilisateur final
-> end-user profile myprofile vlan-range <.-.>
 Association d'un profil et d'un utilisateur
-> user User2 end-user profile myprofile
 Affichage d'informations relatives aux profils utilisateur final
-> show end-user profile
Si un profil est supprimé mais que le Par défaut, les nouveaux profils ne
nom de profil est toujours associé à permettent pas d'accéder à tous les
un utilisateur, l'utilisateur ne peut ports ou VLAN.
pas se connecter au commutateur.
Comptes utilisateur
Personnalisation de session utilisateur
 -> session login-attempt
 Nombre d'échecs de connexion au commutateur autorisés avant interruption
de la connexion TCP.
 -> session login-timeout
 Durée accordée à l'utilisateur pour se connecter au commutateur avant
interruption de la connexion TCP.
 -> session banner
 Nom de fichier de la bannière (CLI, FTP et/ou HTTP)
 -> session timeout
 Délai d'inactivité pour une interface FTP, CLI ou HTTP (y compris WebView)
 -> session prompt
 Configuration de l'invite CLI par défaut pour les sessions Telnet et console
 -> user profile save
 Sauvegarde des paramètres de compte utilisateur pour les alias, les invites
et les paramètres d'écran page après page.
Accès commutateur authentifié (ASA)
Méthodes d'authentification
 Authenticated Switch Access (ASA)
 Méthode d'authentification des utilisateurs qui veulent gérer le commutateur
à l'aide de la console, de Telnet, FTP, SNMP, Secure Shell ou HTTP
 Base de données utilisateur local

 Serveur tiers
 RADIUS, LDAP, TACACS+, ACE/Server
(authentification seulement)
1
2
4
3
Telnet/HTTP/SNMP/SSH/FTP
Serveur
• L'accès via le port de console (local) est toujours activé. AAA
• Par défaut, l'accès distant est désactivé.
Accès commutateur authentifié
CLI
Serveur local
 Accès utilisateur accordé pour gérer le commutateur de secours 3
 Authentification locale
 aaa authentication <management interface> local
 Authentification externe
 aaa authentication <management interface> server1 server2 server3 local
Console
Telnet Serveur AAA
FTP principal Serveur AAA
Serveur AAA de secours 2
HTTP de secours 1
SNMP
SSH
par défaut
 Le commutateur utilise le premier serveur disponible dans la liste

 Les serveurs sont interrogés dans l'ordre où ils sont énumérés
 Jusqu'à trois serveurs de secours peuvent être spécifiés (y compris local)
Configuration du serveur RADIUS
 Serveurs d’authentification
 -> aaa radius-server rad host {hostname | ip_address} [hostname2|ip_address2]] key secret
auth-port auth_port acct-port acct_port

 Ces données informent le commutateur de la localisation du serveur RADIUS.
 -> aaa authentication telnet rad
 Le serveur RADIUS « rad » est vérifié pour authentification telnet.
 Serveurs de comptabilisation
 Suivi des ressources réseau (temps, paquets, octets, etc.) et de l'activité de l'utilisateur (connexions et déconnexions
de l'utilisateur, nombre de tentatives de connexion, durée des sessions, etc.)
 Localisation possible partout dans le réseau
 -> aaa accounting session rad
 Le commutateur reçoit l'ordre d'envoyer les données de comptabilisation au serveur RADIUS « rad ».
Si l'adresse Loopback0 d'interface est configurée, elle est utilisée pour le champ IP source.
Dans le cas contraire, la première adresse IP de la pile IP est utilisée.
Vérification de la configuration d'accès au commutateur
-> show aaa authentication
Service type = Default
1rst authentication server = rad
2nd authentication server = local
Service type = Console
Authentication = Use Default,
Service type = Telnet
Service type = Ftp
Service type = Http
Authentication = denied
Service type = Snmp
Service type = Ssh
NTP
 OmniSwitch peut agir en tant que client , serveur ou
peer NTP
 Pris en charge sur OmniSwitch 6400, 6850, 6855, 9000, Serveurs de la strate supérieure
9000E
 Serveur NTP
 Authentification NTP
 Services de diffusion NTP
 Le serveur NTP est interopérable avec un client/serveur

SNTP Serveur
de gestion
 64 associations prises en charge
 Optimise la précision des fichiers journaux réseau pour

accélérer le diagnostic des pannes réseau.
 Synchronise avec précision les applications et les
Commutateur Ethernet Serveur de la strate
opérations réseau importantes, c'est-à-dire : inférieure
Postes de
 Précision des fichiers journaux, audit et supervision travail
 Diagnostic des pannes réseau et corrections
 Sécurité d'accès et authentification
Implémentation du serveur NTP conforme

 Désignation d'un serveur NTP sur un client (3 max.) au protocole NTP version 3 de la RFC1305.
-> ntp server 1.1.1.1
Serveur NTP - CLI
-> show ntp status
Scénario type :
-> show ntp server status
Current time:
18:14:36.600 (UTC),
Tue, Mar 16 2011
Diffusion NTP IP address
Host mode
= 192.168.100.1,
= client,
Last NTP update: -, Peer mode = server,
Server reference: 0.0.0.0, Prefer = no,
Client mode: disabled, Version = 4,
Broadcast client mode: disabled, Key = 0,
Broadcast delay (microseconds): 4000, Stratum = 16,
Server qualification: synchronized, Minpoll = 6 (64 seconds),
Stratum: 16, Maxpoll = 10 (1024 seconds),
Maximum Associations Allowed: 32, Delay = 0.016 seconds,
Authentification : disabled, Offset = 1.517 seconds,
Source IP Configuration: default Dispersion = 0.969 seconds
Root distance = 0.000,
Les diffusions ont lieu Precision = -6,
toutes les 64 secondes Reference IP = 0.0.0.0,
Status = configured : reachable :
ip directed-broadcast enable synchronization peer,
ntp broadcast n.n.n.255 Uptime count = 1910 seconds,
192.168.100.0/16 Reachability = f,
Unreachable count = 0,
Stats reset count = 2 seconds,
Packets sent = 12,
Packets received = 11,
-> show ntp server client-list Duplicate packets = 0,
IP Address Ver Key Bogus origin = 0,
-----------------+---+-------+ Bad authentication = 0,
192.168.100.253 4 0 Bad dispersion = 0,
Last Event = peer changed to reachable,
-> show ntp client

Current time: Tue, Mar 16 2011 18:24:13.566
(UTC),
Last NTP update: Tue, Mar 16 2011 18:17:36.116 (UTC),
Server reference: 192.168.100.1,
ntp client disable Client mode: enabled,
ntp broadcast-client enable Broadcast client mode: enabled,
ntp client enable Broadcast delay (microseconds): 4000,
Server qualification: unsynchronized
Remarques : Le serveur peut être désactivé uniquement par l'interface comme suit : ntp interface n.n.n.n disable
OMNISWITCH AOS R6/R7/R8 LAN
Premiers pas avec le système d’exploitation AOS
Objectif
 Vous allez vous familiariser avec le code d’un OmniSwitch ; le
fonctionnement des répertoires WORKING et CERTIFIED ; le système
d’exploitation, y compris la structure des répertoires, la configuration et
la CLI ; la prise en charge des clés USB ; l’accès distant, l’interface
Webview et les différents droits d’accès d’un utilisateur admin
Table des matières

1 DONNEES MATERIELLES ET FONCTIONNEMENT ................................................. 3
1.1. Récupération des données du commutateur ...................................................... 3
1.2. Configuration de ports Ethernet .................................................................... 3
1.3. Test ....................................................................................................... 4
2 Répertoires Working et Certified ........................................................... 4
2.1. Répertoires Working et Certified ................................................................... 4
2.2. Test ....................................................................................................... 5
3 Système d'exploitation ....................................................................... 6
3.1. Éditeur de lignes de commandes et historique ................................................... 6
3.2. Structure des répertoires ............................................................................. 6
3.3 Éléments clés de configuration ...................................................................... 7
3.3. 7
3.3.1. Running Configuration ..................................................................................... 7
3.3.2. Répertoire WORKING ....................................................................................... 7
2
Getting started with AOS Operating system
3.3.3. Répertoire CERTIFIED ...................................................................................... 8

3.4 Fonction Snapshot / Configuration texte .......................................................... 9
4 USB Flash Drive .............................................................................. 11
4.1 Utilisation du port USB .............................................................................. 11
5 Accès distant WebView ..................................................................... 11
5 11
5.1 Étapes de connexion à une adresse IP virtuelle sur le commutateur ....................... 11
5.2 Fonction Secure Socket Layer ..................................................................... 12
5.3 Test ..................................................................................................... 13
6 Accès commutateur authentifié .......................................................... 13
6 13
6.1. Accès Telnet .......................................................................................... 13
7 Accès sécurisé au commutateur .......................................................... 14
7.1 Utilisateurs créés par défaut ...................................................................... 15
7.2 Création/Suppression d'utilisateurs............................................................... 15
7.3 Gestion du partitionnement ....................................................................... 17
7 18
7.1. Profils d'utilisateur final ............................................................................ 18
7.2. Expiration du mot de passe ........................................................................ 18
3
Mise en œuvre
Pour les sections suivantes, un seul commutateur OmniSwitch est utilisé
1 DONNEES MATERIELLES ET FONCTIONNEMENT
1.1. Récupération des données du commutateur

Ce cas pratique a pour objectif de vous permettre de vous familiariser avec le code, les informations du
châssis et les NI, y compris les versions de code et les niveaux de révision.
Il est important de connaître les versions de code et les numéros de série des CMM et des NI du commutateur. Ces
données peuvent être utiles en cas d'opérations de dépannage, lors de la gestion du support client ou pour la mise à
niveau matérielle ou logicielle
- Vous allez apprendre à récupérer les données de code et de module d'un commutateur.
Ouvrez la console série du commutateur 6450-A ou B avec les informations d'identification suivantes :
Login: admin
Password: switch
- Entrez les commandes suivantes :

1. -> show hardware info – Information on CPU, Memory, U-boot.
2. -> show microcode – Code descriptions and versions.
3. -> show history – Recently issued commands to the switch
4. -> show system – Basic system information for the switch.
5. -> show session config - Session manager configuration information
6. -> show chassis – Chassis type and part numbers.
7. -> show cmm – Processor and fabric board information.
8. -> show module – Networking interface information.
9. -> show power – Power supply information.
10. -> show fan – Fan Information.
11. -> show temperature – Temperature and temperature threshold.
12.-> show health – Health statistics for the switch.
1.2. Configuration de ports Ethernet

4
Vous pouvez autoriser les ports Ethernet à déterminer automatiquement le débit et le mode duplex ou
décider de les configurer manuellement. Pour afficher ou modifier la configuration des ports Ethernet et
pour récupérer les statistiques de trames et données des compteurs d'erreurs, procédez comme suit.
-> show interfaces slot/port – Tells whether the port is active or not as well as traffic statistics.
-> interfaces slot/port duplex [half,full,auto] – Sets the duplex mode.
-> interfaces slot/port speed [10,100,1000,auto] – Sets the speed.
-> interfaces slot/port admin [up,down] – enable or disable a port.
-> show interfaces status – Display line interface settings.
-> show interfaces slot/port accounting – Gathers frame statistics.
-> show interfaces slot/port counters – Gathers error and frame counts.
-> show interfaces slot/port autoneg – Autonegotiation.
Utilisez la touche « ? » pour tester d'autres commandes.
1.3. Test
- Quelles commandes faut-il utiliser pour obtenir les informations suivantes ?
Version UBOOT-miniboot -> _______________________________
Version de code -> __________________________________
Date de mise à niveau -> _______________________________
Référence de châssis -> __________________________________
Adresse MAC de châssis -> ____________________________
Références d'interfaces réseau (NI) -> ________________________________
2 Répertoires Working et Certified

Ce cas pratique a pour objectif de vous permettre de vous familiariser avec le fonctionnement des
répertoires WORKING et CERTIFIED d'un commutateur OmniSwitch, y compris la détermination du répertoire
à partir duquel le commutateur doit démarrer.
La solution OmniSwitch permet à l'utilisateur de conserver deux configurations distinctes, stockées sur le
commutateur. Ces configurations sont stockées dans les répertoires WORKING et CERTIFIED. Le
commutateur peut démarrer à partir de l'une ou l'autre de ces configurations.
Vérifiez que la console est connectée au commutateur à l'aide des paramètres suivants :
BPS – 9600
Data Bits – 8
Parity – None
Stop Bits – 1
Flow Control - None
2.1. Répertoires Working et Certified

- Une fois que vous y êtes invité, connectez-vous au commutateur et entrez les commandes suivantes :
login: admin
password: switch
-> exit
login: admin
password: switch
-> show system
- Après reconnexion, vérifiez le répertoire à partir duquel le commutateur a redémarré. Il peut s'agir soit du
répertoire CERTIFIED, soit du répertoire WORKING. Le commutateur démarre à partir du répertoire
CERTIFIED lorsque les configurations contenues dans répertoires WORKING et CERTIFIED diffèrent. Si les
configurations sont identiques, y compris le code et le fichier boot.cfg, le commutateur démarre à partir
5
du répertoire WORKING. L'information s'affiche sous les données « Running Configuration ».

- Entrez la commande suivante :
Flash Between CMMs : NOT SYNCHRONIZED,
Running Configuration : NOT SYNCHRONIZED,
NIs Reload On Takeover : ALL NIs (RUNNING Directories OUT-OF-SYNC)
- Vérifions à présent la version du code exécutée sur le commutateur ainsi que les fichiers stockés dans les
deux répertoires WORKING et CERTIFIED. Ces thèmes seront détaillés ultérieurement.
-> ls /flash/working
-> ls /flash/certified
- Le commutateur peut être forcé à démarrer à partir du répertoire WORKING, même lorsque les
configurations sont différentes. Si des changements ont été effectués mais n'ont pas été enregistrés, vous
serez invité à confirmer la réinitialisation.
-> reload working no rollback-timeout
Confirm Activate (Y/N) : y
- Cette opération entraîne le redémarrage du commutateur. Cependant, cette fois, le redémarrage

s'effectue à partir du répertoire WORKING. Le paramètre « no rollback » indique au commutateur qu'il doit
continuer de fonctionner à partir du répertoire WORKING plutôt que de redémarrer au terme d'une
période déterminée.
- Une fois que le commutateur s'initialise, vérifiez qu'il a démarré à partir du répertoire WORKING.
->show running-directory
Nis Reload On Takeover : ALL NIs (RUNNING Directories OUT-OF-SYNC)
- Pour vérifier la version de code exécuté par le commutateur, entrez la commande suivante :
-> show microcode
-----------------+-------------------------+---------+-----------------------------------
Jbase.img 6.1.1.403.R01 10520989 Alcatel-Lucent Base Software
Jos.img 6.1.1.403.R01 1828255 Alcatel-Lucent OS
Jadvrout.img 6.1.1.403.R01 1359435 Alcatel-Lucent Advanced Routing
- Notez la version de code exécuté par votre commutateur.

_____________________________________ par ex. – 6.1.1.403.R01)
2.2. Test
- Quelle commande faut-il utiliser pour redémarrer un commutateur avec la configuration par défaut ?
- Quelle commande faut-il utiliser pour définir la version du code d'exploitation exécuté sur un
commutateur ?
- Comment vous déconnectez-vous d'une session de console ?
6
3 Système d'exploitation
Ce cas pratique va permettre de vous familiariser avec le système d'exploitation OmniSwitch, y compris la
structure des répertoires, la configuration et la CLI.
Ce cas pratique présente les commandes nécessaires pour naviguer dans la structure des répertoires du
commutateur. Il introduit également l'interface CLI, la fonction d'édition des lignes de commandes ainsi que
la sauvegarde et l'application des fichiers de configuration.
3.1. Éditeur de lignes de commandes et historique

L'interface CLI offre un ensemble d'options supplémentaires : affichage de la dernière commande entrée,
modification des commandes, navigation à travers les commandes antérieures, re-saisie d'une commande
déjà entrée précédemment.
Le « ?’ » peut être utilisé pour obtenir la liste des commandes possibles. Lorsqu'il est
entré à la suite des premières lettres d'une commande, il permet également d'obtenir
une liste des paramètres disponibles.
- Saisissez ce qui suit pour afficher les dernières commandes saisies :

-> !!
- Vous pouvez désormais modifier la commande si nécessaire. Vous pouvez également utiliser les flèches
pour naviguer à travers les commandes précédentes.
- Vous pouvez enfin afficher une liste de commandes entrées précédemment, copier l'une de ces
commandes sur l'interface CLI, la modifier si nécessaire et l'entrer de nouveau.

-> show history
-> !# (‘#’ = command number)
- Vous pouvez désormais modifier la commande si nécessaire et l'entrer de nouveau.

- Vous pouvez rappeler la dernière commande commençant par un préfixe. Rappelez la dernière commande
commençant par « show ».
-> !show
3.2. Structure des répertoires

Il est important de bien comprendre la structure des répertoires d'un commutateur OmniSwitch. Des
répertoires distincts stockent différentes configurations sur le commutateur. Il existe deux répertoires
principaux : flash/Working et flash/Certified. Chacun d'eux comprend une configuration du commutateur.
Le commutateur utilise les commandes UNIX standards pour créer, supprimer, déplacer et copier des
fichiers et des répertoires.
pwd - afficher le répertoire actuel
cd – modifier le répertoire
mkdir – créer un nouveau répertoire
ls – énumérer le contenu d'un répertoire
mv – déplacer un fichier
cp – copier un fichier
rm – supprimer un fichier
7

-> ls
-> ls -l
-> pwd
-> cd /flash/working
-> ls –l (view file date/times/size including boot.cfg)
-> pwd
-> cd ..
-> cd certified
-> pwd
-> cd /flash
-> pwd
Attention à ne pas déplacer ni supprimer de fichiers importants !
La commande « copy working certified » ne doit être utilisée que si la configuration dans
le répertoire WORKING est identifiée comme correcte (ou valide).
3.3 Éléments clés de configuration

On distingue trois versions distinctes d'une même configuration sur un commutateur OmniSwitch. Il s'agit
des versions WORKING, CERTIFIED et Running. Lors de la phase d'initialisation (et en fonction des
configurations), le commutateur démarre à partir de l'un des deux répertoires WORKING ou CERTIFIED. Une
fois l'initialisation effectuée à partir de l'un de ces deux répertoires, c'est cette configuration qui devient la
configuration en cours, dite « Running Configuration ».
3.3.
3.3.1. Running Configuration

- Nous allons à présent créer trois nouveaux VLAN : VLAN 2, VLAN 3 et VLAN 99.

-> vlan 2
-> vlan 3
-> vlan 99
-> show vlan
- Les commandes précédentes ont permis de créer trois VLAN portant chacun un numéro distinct. La saisie
des commandes entraîne des changements à la configuration dite « Running Configuration ». Ces
changements ont été effectués instantanément mais n'ont pas été écrits de manière permanente. Pour le
démontrer, réinitialisons le commutateur avec la commande suivante :
- Lorsque le commutateur redémarre, reconnectez-vous et vérifiez les VLAN que vous avez créés.
-> show vlan
- Vous constatez que les VLAN que vous avez définis n'existent pas. Pourquoi ? Parce-que les changements
ont été effectués sur la configuration « Running » mais n'ont pas été enregistrés. Renouvelons maintenant
l'opération mais, cette fois, sauvegardons les changements effectués dans le répertoire WORKING.
3.3.2. Répertoire WORKING

Le fichier de configuration et le code sont stockés sur le répertoire WORKING du commutateur. Ce
répertoire peut être lu lors de l'initialisation du commutateur et la configuration stockée dans le fichier
« boot.cfg » est appliquée.
8
- Entrez de nouveau les commandes suivantes :

-> vlan 2
-> vlan 3
-> vlan 99
-> show vlan
- Le fichier de configuration lu par le commutateur lors de l'initialisation est appelé « boot.cfg ». Le fichier
« boot.cfg » peut exister dans l'un ou l'autre des répertoires WORKING ou CERTIFIED.
-> write memory
File /flash/working/boot.cfg replaced.
This file may be overwritten if “takeover” is executed before “certify”
- La commande ci-dessus permet d'écrire la configuration en cours (« Running Configuration ») sur le fichier
« boot.cfg » dans le répertoire WORKING. Désormais, si le commutateur est réinitialisé à partir du
répertoire WORKING, la configuration sera sauvegardée. À présent, redémarrons le commutateur en
lançant une commande de réinitialisation à partir de la configuration stockée dans le répertoire WORKING.
- Lorsque le commutateur redémarre, reconnectez-vous et entrez la commande pour afficher les VLAN.
-> show vlan
- Vous constatez que les VLAN sont toujours présents parce qu'ils ont été sauvegardés dans le fichier
« boot.cfg » du répertoire WORKING et que le commutateur a redémarré à partir de ce répertoire.
- Le fichier « boot.cfg » contient la configuration du commutateur qui est lue lors de son initialisation. Nous
étudierons ce fichier dans la section suivante.
- En utilisant le paramètre « no rollback-timeout » avec la commande de téléchargement, le commutateur
applique la configuration de manière permanente. Le paramètre « rollback-timeout » peut être utilisé
pour forcer le commutateur à redémarrer automatiquement au terme d'un délai donné. La commande
suivante force la réinitialisation du commutateur à partir du répertoire WORKING, puis de nouveau au
bout d'une minute.
-> reload working rollback-timeout 1
3.3.3. Répertoire CERTIFIED

Le répertoire CERTIFIED peut être utilisé pour stocker une configuration de sauvegarde sur le commutateur.
Lors de son initialisation, le commutateur compare les configurations des deux répertoires WORKING et
CERTIFIED. S'ils sont identiques, il démarre à partir du répertoire WORKING. S'ils diffèrent, il démarre à
partir du répertoire CERTIFIED. Redémarrons le commutateur sans lui dire de démarrer spécifiquement à
partir du répertoire WORKING.

-> reload
Si une pile de commutateurs est utilisée, la commande à saisir est la suivante :

reload all
- Lors du démarrage du commutateur, vérifiez les VLAN.

-> show vlan
- Vous remarquez que les VLAN n'apparaissent plus, parce que le commutateur s'est réinitialisé à partir du
répertoire CERTIFIED. Pour afficher le répertoire à partir duquel le commutateur a démarré, procédez
9
comme suit.
Running configuration : CERTIFIED,
Certify/Restore Status : CERTIFIED NEEDED
- Le commutateur a démarré à partir du répertoire CERTIFIED parce que les changements sauvegardés dans
le répertoire WORKING n'avaient pas été sauvegardés dans le répertoire CERTIFIED, entraînant ainsi une
différence entre les deux répertoires.
- Les changements ne peuvent pas être écrits directement dans le répertoire CERTIFIED. Ils doivent être
copiés dans le répertoire CERTIFIED à partir du répertoire WORKING. Redémarrons une dernière fois le
commutateur à partir du répertoire WORKING.
-> reload from working no rollback-timeout
- Lorsque le commutateur redémarre, reconnectez-vous et entrez la commande permettant d'afficher le

répertoire utilisé ainsi que l'état « Certify/Restore Status ».
Certify/Restore Status : CERTIFIED NEEDED
- L'état « Certify/Restore Status » affiche l'information « CERTIFY NEEDED ». Cette donnée signale que le
contenu du répertoire WORKING n'a pas été copié dans le répertoire CERTIFIED. Entrez la commande pour
copier la configuration du répertoire WORKING dans le répertoire CERTIFIED.
- La commande ci-dessus certifie le répertoire WORKING. Vous disposez désormais d'une configuration de
secours stockée dans le répertoire CERTIFIED. Entrez la commande permettant de vérifier l'état
« Certify/Restore » : l'état « CERTIFIED » s'affiche.
3.4 Fonction Snapshot / Configuration texte

La fonction Snapshot (instantané) permet de créer un fichier texte basé sur la configuration en cours
(Running Configuration). Vous pouvez ensuite télécharger ce fichier à partir du commutateur, le manipuler
et l'appliquer à d'autres commutateurs.
La commande « more » permet d'afficher le résultat sur un écran à la fois.
Elle est utile lorsque le résultat d'une commande est très long.
10

-> show configuration snapshot all
-> write terminal
- Les commandes ci-dessus affichent la configuration en cours à l'écran. Vous pouvez effectuer une capture
de votre configuration vers un fichier texte. Vous pouvez utiliser l'une ou l'autre des commandes.
-> configuration snapshot all snapall
- La commande ci-dessus crée un instantané de l'ensemble de la configuration du commutateur et effectue

une copie sur un fichier « snapall » dans le répertoire en cours.
Par défaut, tous les fichiers Snapshot sont placés dans le répertoire root /flash.

-> view snapall
- La commande ci-dessus appelle l'éditeur vi mais vous autorise uniquement à visualiser le fichier. Notez la
syntaxe du fichier ASCII. Utilisez les touches « j » et « k » pour naviguer respectivement vers le haut et
vers le bas.
Si vous entrez « vi » au lieu de « view », vous pourrez utiliser l'éditeur vi pour modifier
le fichier. Fermez l'affichage du fichier Snapshot. Si vous utilisez vi, tapez « <esc> :q! »
pour quitter la session vi.

-> :q
- Vous pouvez aussi utiliser la commande « more » pour visualiser le fichier.

-> more snapall
- Vous n'avez pas besoin de créer un instantané de l'ensemble de la configuration du commutateur. Pour
créer un instantané de la seule configuration VLAN, procédez comme suit.
Type the following:
-> vlan 5-7
-> show vlan
-> configuration snapshot vlan snapvlan
- Seule la configuration VLAN est copiée sur un fichier « snapvlan » dans le répertoire en cours. Vous
pouvez spécifier d'autres options pour la création d'instantanés. Entrez la commande suivante pour voir les
autres paramètres et faites un test en créant d'autres instantanés.
-> configuration snapshot ?
- Vous pouvez contrôler la syntaxe d'un instantané de configuration avant de l'appliquer.

-> configuration syntax-check snapvlan verbose
- Une fois la syntaxe vérifiée, vous pouvez appliquer l'instantané au commutateur. Supprimons certains
VLAN existants et réappliquons-les ensuite à l'aide d'un instantané des VLAN.
-> no vlan 5-7
-> show vlan
- Vous constatez que les VLAN ont été supprimés. Appliquez l'instantané des VLAN préalablement
sauvegardé.
-> configuration apply snapvlan
-> show vlan
- Le fichier Snapshot utilisé dans la commande sera réappliqué et les VLAN 5, 6 et 7 seront recréés. Cette
commande peut être utilisée pour appliquer un instantané d'un autre commutateur pour faciliter la
11
configuration.
4 USB Flash Drive

Vous pouvez connecter une clé Flash USB certifiée Alcatel-Lucent au CMM et l'utiliser pour transférer des
images depuis/vers la mémoire Flash du commutateur. Cette procédure permet de mettre à niveau le code du
commutateur ou de sauvegarder des fichiers. Les opérations suivantes sont également prises en charge : mise à
niveau automatique du code et démarrage à partir de la clé Flash USB en cas de restauration après incident.
4.1 Utilisation du port USB

- Nous étudierons comment copier un fichier à partir du commutateur vers la clé USB.
- Connectez une clé USB au port USB du commutateur OmniSwitch.
Vérifiez auprès du formateur qu'une clé USB est disponible, ainsi que la présence d'un port USB sur
l'OmniSwitch
- Saisissez les commandes suivantes pour récupérer et transférer des fichiers du commutateur au clé flash
USB.
-> usb enable
-> cp /flash/working/boot.cfg /uflash/boot.cfg
- Vérifiez ensuite que les fichiers ont été transférés sur votre clé USB.
-> cd /uflash
-> ls
5 Accès distant WebView
5
Par défaut, l'accès distant n'est pas autorisé sur le commutateur OmniSwitch. Il s'agit d'une mesure de sécurité
destinée à empêcher les accès non autorisés. Pour autoriser l'accès distant, y compris Telnet et WebView
(HTTP), le commutateur doit être dûment configuré.
- Supprimez la configuration des précédents exercices et redémarrez le commutateur à partir du répertoire
WORKING
-> rm /flash/working/boot.cfg
- Une fois le commutateur redémarré, sauvegardez la configuration dans le fichier « boot.cfg ».

-> write memory
5.1 Étapes de connexion à une adresse IP virtuelle sur le commutateur

- Créez une adresse IP de routeur virtuel pour le VLAN 1 avec un masque réseau de classe C.
-> ip interface VLAN1 address 10.0.1.1/24 vlan 1 (utilisez votre connexion console)
- Si vous n’avez pas de second PC, débranchez votre connexion et connectez vous avec le port Ethernet
directement sur le port 1/1 du commutateur. Modifiez les paramètres de la carte réseau de votre PC avec
les paramètres suivants :
12
IP Address: 10.0.1.2
Netmask: 255.255.255.0
Def. Gateway: 10.0.1.1
- Si vous avez un second PC, configurez sa carte réseau avec les paramètres ci-dessus et débranchez vous de
votre connexion console.
- Vérifiez que vous disposez de la connectivité IP en émettant une requête ping via le PC lié au
commutateur. Une fois la connectivité IP établie, entrez la commande pour afficher le statut « Web
Management » (gestion Web) en cours.
-> show http
Web Management = on
Web Management Force SSL = off
- Lancez un navigateur Web et entrez l'adresse IP (10.0.1.1) du commutateur dans l'adresse URL.
Si un message s'affiche dans votre navigateur indiquant que la gestion Web est désactivée,
procédez comme suit pour activer la gestion « Web Management ».
-> ip http server
- Essayez de vous connecter en utilisant admin/switch. Vous n'êtes toujours pas en mesure de vous
connecter et de configurer le commutateur avec WebView.
- Vous devriez recevoir un message signalant que le nom d'utilisateur et/ou le mot de passe ne sont pas
valides. Affichez les paramètres d'authentification AAA actuels.
- Dans la section HTTP, il est indiqué que l'accès HTTP est refusé. Par défaut, tout accès distant est
désactivé. Activons à présent l'accès distant.
-> aaa authentication http local
- Cette opération configure le commutateur afin qu'il vérifie la base de données locale pour chaque type de
connexion.
Vous pouvez également entrer la commande « aaa authentication default local ». La base de
données locale sera vérifiée par le commutateur pour tous les types d'accès (FTP, TELNET, etc.).
- Réessayez de vous connecter à distance via votre navigateur. Vous devriez à présent avoir accès au
commutateur.
5.2 Fonction Secure Socket Layer

La fonction Secure Socket Layer de WebView offre un accès sécurisé au commutateur via le chiffrement du
HTML, du navigateur Web au commutateur. Rappelez-vous que le commutateur peut gérer le processus SSL
à tout moment.
- La commande suivante force la communication SSL entre le commutateur et le navigateur. Le HTML non
chiffré n'est pas accepté.
-> ip http ssl
-> show http
Web Management = off
Web Management Force SSL = on
13
- Connectez-vous en utilisant l'adresse « https://{IP Address} » dans votre navigateur Web.

La communication est désormais chiffrée à l'aide de la fonction SSL.
- À présent, examinez l'interface WebView :
- Sous Networking --- IP (options verticales sur la gauche), glissez sur IP (en haut, horizontalement).
Cliquez ensuite sur Global. Quelles sont les routages IP privilégiés ?
- Sous « Networking --- IP », glissez sur « IP » et « Interfaces ». Cliquez ensuite sur « Configured ».
- Sous « System -- Interfaces », cliquez sur « General ». Notez l'adresse MAC du port auquel votre PC est
connecté. Consultez également les données « Statistics » (Input et Output).
5.3 Test
- Quelle commande doit-on utiliser pour définir une adresse IP 10.10.10.1/24 destinée au VLAN 10 sur un
commutateur OmniSwitch?
- Quelles sont les opérations à effectuer sur un commutateur OmniSwitch avant de démarrer une session
WebView ?
- Dans WebView, comment définit-on une temporisation d'inactivité (Inactivy Timer) de gestion Web (Web
Management) à 4 minutes par défaut ?
6 Accès commutateur authentifié

L'accès ASA (Authenticated Swich Access) permet de limiter le type d'utilisateurs autorisés à configurer le
commutateur à distance. Les tentatives de connexion au commutateur peuvent être refusées par la base de
données locale ou par une base de données distante, comme RADIUS ou LDAP. L'accès ASA s'applique aux
ports modems, console, HTTP, SSH, SNMP, FTP et TELNET.
6
6.1. Accès Telnet
- Entrez les commandes suivantes sur le commutateur pour le configurer afin qu'il vérifie la base de données
locale en cas de tentative de connexion TELNET.
-> aaa authentication telnet local
- Vérifiez que vous possédez une connectivité IP avec le commutateur distant.

- À partir de votre PC, entrez la commande suivante :
telnet 10.0.1.1 (adresse IP de votre commutateur)
- Loggez-vous en tant qu'admin

login: admin
password: *****
- Vérifiez que la session TELNET est lancée.

Entrez la commande suivante :
-> who
Comment peut-on identifier la console et les sessions Telnet ?

-
- Vous êtes désormais autorisé à accéder au commutateur à l'aide d'une connexion TELNET. Déconnectez-
vous du commutateur distant.
14
- L'accès TELNET peut être désactivé si nécessaire. Ouvrez une connexion à la console sur le commutateur
distant et suivez la procédure ci-dessous pour contrôler l'état « Remote access status », puis désactivez
l'accès.
- Vous constatez que l'authentification TELNET est effectuée localement ou par la base de données interne
du commutateur. Aucune authentification externe (RADIUS, LDAP) n'est effectuée à ce stade.
1rst authentication server = local
Service type = Ftp
Service type = Http
Service type = Snmp
Service type = Ssh
- À présent, désactivons l'accès TELNET et essayons de nous reconnecter. Depuis la connexion de console,
procédez comme suit :
-> no aaa authentication telnet
Authentication = Denied,
Service type = Ftp
Service type = Http
Service type = Snmp
Service type = Ssh
- Tentez une nouvelle connexion TELNET vers le commutateur distant.

- Vous constatez que vous n'y êtes plus autorisé. Testez cette fonction avec FTP et HTTP.
7 Accès sécurisé au commutateur

Ce cas pratique a pour objectif de vous permettre de découvrir les fonctions de sécurité du commutateur
OmniSwitch. Grâce à ces fonctions, vous pouvez créer des utilisateurs bénéficiant de différents droits
d'accès et capacités de configuration.
La sécurité est un élément clé d'un commutateur OmniSwitch. Dans cet exercice, nous verrons comment
créer des utilisateurs et manipuler les droits de lecture et d'écriture sur le commutateur.

15
WORKING
Vous devrez peut-être également supprimer le fichier « userTable5 » du répertoire réseau avant de
redémarrer le commutateur.
Ce fichier contient tous les utilisateurs existant dans la base de données du commutateur.
-> rm network/UserTable5


-> write memory
7.1 Utilisateurs créés par défaut

-> show user
- Les deux utilisateurs suivants doivent au minimum être affichés : « admin » et « default ». Étudiez les
droits de lecture et d'écriture pour chaque utilisateur et chaque domaine, ainsi que les droits SNMP.
Admin – Utilisateur disposant par défaut de tous les droits. L'utilisateur Admin est autorisé à configurer le
commutateur et à créer des utilisateurs supplémentaires.
Default – Ce compte ne peut pas être utilisé pour se connecter au commutateur. Ces droits sont appliqués à
l'ensemble des nouveaux utilisateurs créés sur le commutateur. Par défaut, les nouveaux utilisateurs n'ont
pas de droits. Toutefois, les droits de l'utilisateur « default » peuvent être modifiés si nécessaire.
-> show user
User name = admin
Password expiration = None,
Read-Only for domains = None,
Read/Write for domains = All ,
SNMP allowed = NO
User name = default

Read/Write for domains = None ,
Snmp Allowed = NO
- Comme vous pouvez le constater, les nouveaux utilisateurs n'ont aucun droit d'administration par défaut
(dans la section suivante, nous verrons comment créer de nouveaux utilisateurs et configurer leurs droits).
7.2 Création/Suppression d'utilisateurs

- Si les comptes utilisateur « userread » et « userwrite » ont déjà été créés, utilisez les commandes
suivantes pour les supprimer avant de poursuivre.
-> no user userread
-> no user userwrite
-> write memory
- À présent, nous allons créer deux nouveaux utilisateurs appelés « userread » et « userwrite », auxquels
nous affecterons des mots de passe. Puis, nous sauvegarderons la configuration.
-> user userread password userread
(Vous avez créé un nouvel utilisateur mais il ne dispose pour le moment d'aucun droit. Cet utilisateur ne
dispose d'aucun droit parce que les droits utilisateur par défaut sont associés à tous les nouveaux
utilisateurs et qu'aucun droit n'est associé par défaut à l'utilisateur. Si vous n'associez aucun droit à un
utilisateur, ce dernier ne pourra même pas se connecter.)
-> user userread read-only ip
-> user userwrite password userwrite
16
-> user userwrite read-write ip

-> write memory
- Essayez à présent de vous reconnecter avec l'un des profils utilisateur créés. Essayez ensuite d'entrer les
quatre commandes suivantes : show vlan, show ip interface, ip interface… et reload.
-> exit
login: userread
password: userread
-> show vlan
-> show ip interface
-> ip interface vlan-1-20 address 192.168.20.1/24 vlan 1
-> reload all
- L'une de ces quatre commandes a-t-elle fonctionné ? Testez différentes commandes pour comprendre le
type d'accès que vous ouvrent vos droits.
-> show vlan
ERROR: Authorization failed. No functional privileges on this command
- Connectez-vous en tant qu'utilisateur « userwrite » et réessayez les trois mêmes commandes. Qu'avez-
vous appris ?
- À présent, reconnectez-vous en tant qu'utilisateur « admin » et affichez les nouveaux utilisateurs.
-> exit
login: admin
password: *****
-> show user
- Vous verrez s'afficher les droits que vous avez affectés aux profils « userread » et « userwrite ».
User name = userread
ReadOnly for domains = ,
Read only for families = ip ,
Read/Write for domains = None,
SNMP allowed = NO
User name = userwrite

Read/Write for domains = ,
Read/Write for families = ip ,
SNMP allowed = NO
- Modifions à présent les droits associés à l'utilisateur « userread » et observons les changements.
-> user userread read-only all
-> show user userread
-> write memory
- Vous constatez que cet utilisateur dispose à présent d'un accès en lecture.
User name = userread
Read-Only for domains = All,
Read/Write for domains = None ,
SNMP allowed = NO
- Connectez-vous en tant qu'utilisateur « userread » et entrez les commandes suivantes. Vous constatez que
vous pouvez à présent visualiser les informations.
-> exit
login: userread
password: ********
-> show vlan
-> show user
-> show chassis
17
- Voyons à présent si cet utilisateur peut effectuer des modifications sur le commutateur.
-> vlan 2
- Un message d'erreur vous informe que vous n'êtes pas autorisé à lancer cette commande. En tant
qu'utilisateur « userread », vous disposez uniquement de droits de lecture, pas de droits d'écriture.
-> vlan 2
- Reconnectez-vous sous le profil Admin et modifiez les droits « userwrite » pour pouvoir effectuer des
changements sur le commutateur.
-> exit
login: admin
password: *****
-> user userwrite read-write all
-> show user userwrite
-> write memory
- Vous constatez que cet utilisateur dispose à présent des droits en écriture.
-> show user userwrite
User name = userwrite
SNMP allowed = NO
- Connectez-vous en tant qu'utilisateur « userwrite » et entrez la commande de création d'un VLAN. Vous
pouvez désormais créer des VLAN car vous disposez de tous les droits en écriture.
-> exit
login: userwrite
password: *********
-> vlan 2
7.3 Gestion du partitionnement

Vous pouvez accorder des droits aux utilisateurs basés sur des commandes spécifiques ou des groupes de
commandes (domaines). C'est ce que l'on appelle la gestion de partitions ou « Partition Management ».
- Modifions à présent les droits utilisateur « userread » et accordons un droit d'exécution des commandes
dans le seul domaine de couche L2.
-> user userread read-only none
-> user userread read-only domain-layer2
-> write memory
- Ce processus accorde à l'utilisateur des droits de lecture seule (read-only) pour les commandes dans le
domaine de couche L2 (Layer 2 domain).
User name = userread,
Read-Only for domains = Layer 2,
SNMP allowed = NO
- Connectez-vous avec les droits « userread » et procédez comme suit :

login: userread
password: ********
-> show vlan
18
- Vous pouvez exécuter les commandes VLAN parce qu'elles se trouvent dans le domaine de couche L2.
Toutefois, la commande « running-directory » échoue car vous n'avez pas accès au domaine « admin ».
- Une liste des domaines et des commandes associées est disponible dans le guide utilisateur. Les mêmes
droits de domaine s'appliquent à l'accès en écriture.
7
7.1. Profils d'utilisateur final
Le profil d'utilisateur final est semblable à la gestion de partitions, avec la possibilité supplémentaire de
limiter les VLAN et ports auxquels un utilisateur peut accéder.
- Commençons par créer quelques VLAN et un nouvel utilisateur appelé « customer1 ».
-> vlan 100
-> vlan 200
-> vlan 300
-> user customer1 password customer1
- Créons à présent un profil d'utilisateur final avec un accès en lecture/écriture mais limitons ce profil aux
VLAN 100-200.
-> end-user profile profile1 read-write all
-> end-user profile profile1 vlan-range 100-200
-> end-user profile profile1 port-list 1/1-12
- Associez à présent l'utilisateur au profil et sauvegardez la configuration.

-> user customer1 end-user-profile profile1
-> write memory
- Déconnectez-vous et reconnectez-vous sous le compte utilisateur que vous venez de créer. Exécutez
ensuite les commandes énumérées ci-dessous. Vous constatez que vous n'avez pas accès au VLAN 300
parce qu'il ne fait partie du profil utilisateur associé au « customer 1 ».
-> exit
login: customer1
password: *********
-> show vlan
-> vlan 300 port default [slot /port] (port within the port-list as specified in the profile)
7.2. Expiration du mot de passe

L'administrateur peut fixer une date d'expiration pour les mots de passe. Il peut définir la durée de validité
d'un mot de passe (en jours) ou désactiver le mot de passe à des date et heure précises.
- Modifions la date d'expiration du mot de passe et définissons une durée de validité de cinq jours pour le
« customer1 ».
- Reconnectez-vous en tant qu'admin.
-> user customer1 expiration 5
-> write memory
- Reconnectez-vous en tant que customer1.

- Le commutateur vous informe que votre mot de passe expirera sous cinq jours.
Installation et mise à niveau du code
Objectif
 Vous allez vous familiariser avec les fichiers image stockés dans le
commutateur et la procédure de mise à niveau du code
Table des matières

1 VERSION ACTUELLE DU CODE ................................................................... 2
1.1. Obtenir la version du code du commutateur...................................................... 2
2 Transfert de fichiers à l'aide du FTP ....................................................... 3
2.1. Configuration d'une session FTP ..................................................................... 3
2.2. Mise à niveau de la version du code ................................................................ 4
2.3. Test ....................................................................................................... 4
2
Installing and Upgrading Code
Mise en œuvre
Demandez à votre formateur où se trouve le code du commutateur avant de poursuivre.
- Un seul commutateur OmniSwitch sera utilisé pour les sections suivantes.
Client 5 6450A
6450B
Client 6
1/1
1/1
5 6
Client 9
1/2 1/2 Client 10
1 VERSION ACTUELLE DU CODE
1.1. Obtenir la version du code du commutateur

Il existe deux manières de copier le code sur le commutateur à l'aide de la CLI : le zmodem et le FTP. Ces
deux méthodes peuvent être appliquées lorsque le commutateur est pleinement opérationnel. Le FTP peut
également être utilisé depuis n'importe quelle interface de routeur virtuel du commutateur. Le FTP est la
méthode la plus courante pour transférer des fichiers vers le commutateur, et la seule méthode étudiée
dans ce cas pratique.
Si vous souhaitez davantage d'informations sur le transfert de fichiers à l'aide de zmodem ou

du FTP, consultez le manuel d'utilisation ou demandez à votre formateur.
- Ouvrez une session sur la console du commutateur 6450-A ou B avec les informations d'identification
suivantes :
Login: admin
Password: switch
- Avant de procéder à des mises à niveau, vérifiez les versions actuelles du code sur le commutateur.
-> show microcode loaded – Version currently loaded
-> show microcode working – Version in WORKING directory
-> show microcode certified – Version in CERTIFIED directory
- Ces commandes décrivent chaque fichier image et indiquent leur version actuelle dans les différents
répertoires.
-> show microcode working
-----------------+---------------+--------+-----------------------------------
Gbase.img 6.6.4.425.R01 17499295 Alcatel-Lucent Base Software
Gos.img 6.6.4.425.R01 1864653 Alcatel-Lucent OS
Geni.img 6.6.4.425.R01 5470896 Alcatel-Lucent NI software
Gsecu.img 6.6.4.425.R01 607273 Alcatel-Lucent Security Management
3
Gdiag.img 6.6.4.425.R01 1599514 Alcatel-Lucent Diagnostic Software
Les répertoires WORKING et CERTIFIED ont-ils un contenu identique ? Pourquoi ?
2 Transfert de fichiers à l'aide du FTP

WORKING

-> write memory
2.1. Configuration d'une session FTP

- Pour transférer des fichiers vers le commutateur à l’aide du FTP, une connectivité IP doit être établie.
- Connectez votre PC à un port Ethernet du commutateur OmniSwitch.
Demandez à votre formateur comment ouvrir et configurer un client virtuel avec le labo
distant.
- Sur le commutateur 6450-A ou B, entrez les commandes suivantes :

-> interfaces 1/1 admin up
-> ip interface int_v1 address 192.168.10.# vlan 1 (Replace # with your switch number)
- Attribuez une adresse IP dans le même sous-réseau à votre PC et vérifiez qu'une connectivité IP est établie
en envoyant une requête ping au commutateur depuis le PC.
Pour transférer les fichiers à l'aide du FTP, vous devez tout d'abord configurer le commutateur de
manière à ce qu'il accepte les connexions FTP.

-> aaa authentication ftp local
- Demandez à votre formateur de vous montrer comment obtenir le code pour mettre à niveau le
commutateur si nécessaire.
- Utilisez un programme FTP ou la ligne de commande pour FTP du PC vers le commutateur.
- Une fois connecté, saisissez la commande suivante pour afficher le répertoire actuel :
-> pwd
Sur quel répertoire la connexion FTP est-elle établie ?

-
4
2.2. Mise à niveau de la version du code
- Téléchargez les fichiers image du PC vers le commutateur

- Comparez la version du code dans les répertoires WORKING et CERTIFIED.
-> show microcode working
-> show microcode certified
- Redémarrez le commutateur en le forçant à se charger depuis le répertoire WORKING désormais mis à

niveau.
- Une fois que le commutateur est redémarré et que tout fonctionne correctement, utilisez la commande
ci-dessous pour copier le répertoire WORKING vers le répertoire CERTIFIED.
2.3. Test
Quelle est la commande utilisée pour autoriser l'accès du FTP au commutateur ?
Quelle est la commande utilisée pour qu'un nouveau fichier image soit disponible au redémarrage ?
Gestion VLAN - Objectifs de la formation
 Grâce à cette formation, vous :
 Comprendrez la mise en œuvre et les
fonctions VLAN des commutateurs basés sur
AOS
 Découvrirez comment :
 déployer un VLAN statique ou dynamique afin de
segmenter un réseau
 configurer le VLAN Tagging sur les liens Ethernet High
Availability
 gérer un client DHCP
 mettre en œuvre et contrôler le protocole MVRP AOS
Operating
System
Extensive Enhanced
Manageability Security
Réseaux VLAN - Présentation
 VLAN - LAN virtuel
 Domaine de diffusion
 Gestion de réseau simplifiée
 Réseau plus sécurisé
 Les ports deviennent membres d’un VLAN par :

 Configuration statique
 Mobilité/Authentification
 802.1q (VLAN Tagging)
VLANs - Évolution vers des LANs virtuels
Modèle orienté commutateur avec VLANs (perspective logique)
Rouge
VLAN
VLAN
Jaune
Bleu
VLAN
Appartenance au VLAN - Périphérique d’accès
 Comment les ports sont-ils affectés à un VLAN ?
 VLAN par port (Statique)
 VLAN par groupe de mobilité (Dynamique)
 VLAN authentifié (Dynamique + Sécurité)
 VLAN 802.1Q (Tagging)
 VLAN mobile Tag

Appartenance VLAN statique
 VLAN statique
 Le VLAN est affecté au port de données, quel que soit l'utilisateur connecté (aussi
appelé VLAN par défaut).
 La segmentation des VLAN est effectuée en fonction de la topologie, de la géographie,
etc.
VLAN 1
Routeur virtuel
1/2
VLAN 2
-> Port VLAN 2 par défaut 1/2 VLAN
-> Port VLAN 6 par défaut 1/4

-> Port VLAN 6 par défaut 1/6
VLAN 4
VLAN 5
1/4
VLAN 6
1/6
Appartenance VLAN dynamique
 VLAN dynamiques
 L'affectation du VLAN dépend du terminal ou de l'utilisateur :
 Orienté terminal: le VLAN dépendra des critères de trafic (MAC@, etc.)
 Orienté utilisateur: VLAN authentifié (IEEE 802.1X pour une sécurité renforcée)
VLAN 1
Routeur virtuel
VLAN 2
VLAN
VLAN 4
VLAN 5
VLAN 6
Règles applicables aux ports
Terminaux Appletalk
Protocole/Réseau IPX
 Les règles d'affectation sont

définies pour chaque port
192.168.10.0/24
0005d3 :123456
Types de règles
Terminaux Appletalk
Protocole/Réseau IPX  Adresse MAC
Simple
Plage
 Protocole
IP
IPX
DECNET
APPLETALK
Spécifié par Ether-type
Spécifié par DSAP et SSAP
Spécifié par SNAP
 Adresse de couche
192.168.10.0/24 réseau
Sous-réseau IP
Numéro de réseau IPX
0005d3 :123456
Appartenance VLAN dynamique - Règles DHCP
 Appartenance au VLAN DHCP
 Règles Ports DHCP
 Génération de requêtes DHCP par les terminaux
sur ces ports
2 Le relais BootP fournit la requête
au serveur DHCP
 Règles d'adressage MAC/MAC DHCP 1 Le client ayant besoin d'une adresse IP apparaît
 Génération de requêtes DCHP par des terminaux
dans le VLAN DHCP par défaut
avec des adresses MAC spécifiées
Relais BootP
 Règles génériques DHCP Relais BootP
 Tout paquet DHCP (une règle par commutateur)
 Les trames de requêtes DHCP ne sont

transmises que lorsqu'une appartenance
au VLAN est définie.
 Sans relais BootP interne, les trames DHCP
sont uniquement transmises aux ports
Relais BootP
compris dans le VLAN.
3 Après réception de l'adresse IP,
 Avec un relais BootP interne, les trames
la participation peut s'effectuer dans
DHCP sont transmises à l'entité relais.
les VLAN autorisés
Appartenance VLAN dynamique - Règles liées (Binding)
 Un terminal doit répondre à plusieurs critères pour être affecté à un VLAN.
 Tout non-respect de l'un de ces critères est considéré comme une « violation » et le
terminal ne peut alors être affecté à aucun VLAN.
 Si l'adresse IP d'un utilisateur change en cours de connexion,
 L’utilisateur sera déconnecté
 un Trap SNMP sera généré 192.168.10.2 192.168.10.3
AAAAAA:AAAAAA BBBBBB:BBBBBB
 Règles de « binding » autorisées
 MAC + IP + Port
 MAC + Port
 Port + Protocole
3/1 3/2
192.168.10.4
3/3 DDDDDD:DDDDDD
Exemple : VLAN 1:2

Règle 1 : 3/1, 192.168.10.2, AAAAAA:AAAAAA
Règle 1 : 3/2, 192.168.10.3, BBBBBB:BBBBBB
Règle 1 : 3/3, 192.168.10.4, CCCCCC:CCCCCC
-> vlan vid binding [PORT-PROTOCOL | MAC-PORT | MAC-IP-PORT]

VLAN authentifiés 802.1x
 Applicable aux utilisateurs connectés à des ports authentifiés
 Authentification des utilisateurs via un client 802.1x
 Authentification basée sur RADIUS, LDAP ou TACACS+
 Connexion réussie
 L’adresse MAC du client est associé au VLAN correspondant.
Exécution commutateur
Agent d'authentification
Hôte
utilisant
le client VLAN
802.1x par défaut Serveur RADIUS, TACACS+
ou LDAP
Supplicant
Utilisateur
VLAN
cible
Réseaux VLAN
CLI
 Définition d'un VLAN et de son interface de routage
-> vlan 2
-> ip interface training_lab address 192.168.10.1 vlan 2
 Affectation de ports à un VLAN

-> vlan 2 port default <slot>/<port>
 Commandes optionnelles
 -> vlan 4 enable
 -> vlan 4 stp disable
 -> vlan 4 name Engineering
 Encadrez la chaîne de caractère avec des guillemets si le nom du VLAN comprend plusieurs termes séparés par
des espaces.
 -> vlan 10-15 100-105 200 name “Training Network”
 -> vlan 10 mtu-ip 1000
 Configuration de la taille maximum de paquets MTU (Maximum Transmission Unit) autorisée pour tous les ports
associés au VLAN 10
 Contrôle
-> show vlan 4
-> show vlan port
VLAN avec port statique
Exemple
VLAN VLAN
Données Voix Serveur DHCP
Téléphone IP
VLAN Données VLAN Voix
VLAN 2 VLAN 3
@IP dynamique @IP dynamique
-> vlan 2 name Data -> show ip interface

Total 6 interfaces
-> vlan 2 port default 1/1 Name IP Address Subnet Mask Status Forward Device
--------------+-------------+----------------+--------+--------+--------
-> ip interface Data address 10.1.20.1 mask 255.255.255.0 vlan 2 Data 10.1.20.1 255.255.255.0 DOWN NO vlan 2
-> vlan 3 name Voice -> show vlan 2

Name : Data,
-> vlan 3 port default 1/14 Administrative State : enabled,
Operational State : disabled,
-> ip interface Voice address 10.1.30.1 mask 255.255.255.0 vlan 3 1x1 Spanning Tree State : enabled,
Flat Spanning Tree State : enabled,
Authentication : disabled,
Port de routeur IP : on,
-> show vlan IP MTU : 1500,
stree IPX Router Port : none,
mble src Mobile Tag : off,
vlan type admin oper 1x1 flat auth ip ipx tag lrn Source Learning : enabled
name
----+-----+------+------+------+------+----+-----+-----+-----+-----+--------- -> show vlan 2 port
port type status
1 std on on on on off on NA off on VLAN 1
---------+---------+--------------
2 std on on on on off on NA off on Data 1/1 default active
Règles de VLAN
CLI
 Activation d'un port mobile
-> vlan port mobile <slot>/<port>
 Affectation d'une règle à un VLAN
-> vlan 2 <rule>
 Définition d'une règle de protocole IP ou IPX pour le VLAN 2
-> vlan 2 protocol ?
 snap ipx-snap ipx-novell ipx-llc ipx-e2 ip-snap ip-e2 ethertype dsapssap decnet appletalk
 Définition d'une règle d'adresse IP réseau pour le VLAN 25
-> vlan 25 ip 21.0.0.0
-> vlan 25 ip 21.1.0.0 255.255.0.0
 Définition d'une règle de « binding » MAC-IP-port
-> vlan 2 binding [PORT-PROTOCOL | MAC-PORT | MAC-IP-PORT]
->VLAN 2 binding mac-ip-port 00:00:20:11:4a:29 192.168.100.1 4/1
 Contrôle
-> show vlan 4
-> show vlan port
-> show vlan rules
-> show vlan 4 rules
-> show vlan port mobile
Règles de mobilité VLAN
Exemple
VLAN VLAN
Données Voix Serveur DHCP
Téléphone IP
VLAN Données VLAN Voix
VLAN 2 VLAN 3
@IP dynamique @IP dynamique

-> vlan 2 name Data Total 6 interfaces
Name IP Address Subnet Mask Status Forward Device
-> vlan 2 ip 10.1.20.0 255.255.255.0
----------+--------------+----------------+---------+----------+--------
-> vlan port mobile 1/1 Data 10.1.20.1 255.255.255.0 UP YES vlan 2
Voix 10.1.30.1 255.255.255.0 UP YES vlan 3
-> ip interface Data address 10.1.20.1 mask 255.255.255.0 vlan 2
-> vlan 3 name Voice -> show vlan 2
Name : Data,
-> vlan 3 mac-range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff
Administrative State : enabled,
-> vlan port mobile 1/14 Operational State : enabled,
1x1 Spanning Tree State : enabled,
-> ip interface Voice address 10.1.30.1 mask 255.255.255.0 vlan 3
IP Router Port : on,
IP MTU : 1500,
sw1> show vlan rules IPX Router Port : none,
type vlan rule Mobile Tag : off,
-----------------+------+------------------------------------------- Source Learning : enabled
ip-net 2 10.1.1.0, 255.255.255.0
ip-net 2 10.1.20.0, 255.255.255.0 -> show vlan 2 port
mac-range 3 00:80:9f:00:00:00, 00:80:9f:ff:ff:ff port type status
---------+---------+--------------
1/1 mobile active
Type de règles/Préséance
 Lors de la réception d'une trame, le processus « Source Learning » compare
cette trame aux règles VLAN (VLAN Policies) dans l'ordre suivant :
 1. Type de trame
 2. MAC DHCP
 3. Plage d'adresses MAC DHCP
 4. Port DHCP
 5. DHCP générique
 6. MAC-Port-IP
 7. MAC-Port Binding
 8. Port-Protocole Binding
 9. Adresse MAC
 10. Plage d'adresses MAC
 11. Adresse réseau
 12. Protocole
 13. Défaut (pas de correspondance -> port VLAN par défaut)
Mobilité VLAN
Comportement par défaut
 Gestion VLAN par défaut
 VLAN par défaut
-> vlan port slot/port default vlan {enable | disable}
 Activé -> l'utilisateur associe le VLAN par défaut lorsqu'aucune règle ne correspond (par défaut)
 Désactivé -> le trafic utilisateur est refusé lorsqu'aucune règle ne correspond
 Restauration du VLAN par défaut

-> vlan port slot/port default vlan restore {enable | disable}
 Activé -> l'utilisateur rejoint le VLAN par défaut lorsque le trafic expire (par défaut)
 Désactivé -> l'utilisateur demeure membre du VLAN même après expiration du trafic
Appartenance au VLAN
802.1Q
 Comment les ports sont-ils affectés aux VLAN ?
 VLAN par port (Statique)
 VLAN par groupe de mobilité (Dynamique)
 VLAN authentifié (Dynamique + Sécurité)
 VLAN 802.1Q (Tagging)
 VLAN Mobile Tag

VLAN
IEEE 802.1Q
 Agrégation de nombreux VLAN via des liaisons Ethernet
 Combine le trafic provenant de VLAN multiples sur une liaison unique
 Encapsulation des trames reliées par pont dans une trame IEEE 802.1Q standard
 Activation sur ports fixes
 Balisage (Tag) du trafic pour le VLAN de destination
Trames balisées
802.1Q
 Tag VLAN  802.1P
 Modification de l'en-tête MAC 802.3  Champ trois bits dans l'en-tête 802.1Q
 4 096 Tags VLAN uniques (adresses)  Jusqu'à 8 priorités distinctes possibles
 VLAN ID == GID == VLAN Tag  Fonctionnalité devant être intégrée dans le
Hardware
VLAN ID (12 bits)

802.1p (3 bits)
« MAC 802.3 modifiée »
DA SA Ethertype, Priorité, Tag
4 octets
VLAN - Configuration
-> vlan 2 enable
-> vlan 3 enable
-> vlan 2 802.1q 3/4
-> vlan 3 802.1q 3/4
VLAN 3 VLAN 3
3/4 VLAN 2
3/4
VLAN 2
VLAN 1 VLAN 1
-> show vlan 3 port
-> show 802.1q 3/4
VLAN - Tag mobile
 Affectation dynamique des ports mobiles à plus d’un VLAN simultanément
 Activation sur les ports mobiles

-> vlan 3 mobile-tag enable
 Autorise les ports mobiles à recevoir des paquets taggés 802.1Q
 Permet la classification des paquets de ports mobiles basée sur 802.1Q VLAN ID tag 3
 Prend la priorité sur l'ensemble des règles VLAN
OmniPCXEnterprise
Serveur de
communication
VLAN Voix
Paquets taggés
VLAN Données
Avec tag=3
VLAN par défaut

Balise mobile VLAN versus balise 802.1Q
Tag mobile VLAN Tag 802.1Q

 Permet aux ports mobiles de recevoir des  Non prise en charge sur les ports mobiles
paquets taggés 802.1Q  Activée sur les ports fixes ; trafic de port
 Activée sur le VLAN destiné à recevoir le taggé pour le VLAN de destination.
trafic de port mobile taggé  Affecte statiquement des ports fixes
 Déclenche l’affectation dynamique du trafic (balises) à un ou plusieurs VLAN
de port mobile taggé à un ou plusieurs VLAN
IEEE 802.1ak - MVRP
 Fonctionnement du MVRP proche de celui du GVRP
 Contrôle et signale les entrées dynamiques d'enregistrement VLAN sur le
réseau bridgé
 Protocole réseau de couche 2 basé sur les normes
 Mise en œuvre des protocoles MRP et MVRP

 Multiple Vlan Registration Protocol (MVRP)
 Nouvelle déclaration lors d'une modification de topologie

(uniquement les VLAN concernés)
 Purge des attributs appris lors d'une modification de topologie
MVRP IEEE 802.1ak – Description
 Les déclarations et les enregistrements
•.1q
suivent le chemin défini par la topologie
STP
 Lorsqu'un port reçoit une MVRP PDU
 il devient membre du VLAN indiqué VLAN10 VLAN10
 il partage toutes les données de la PDU avec
l'ensemble des commutateurs participant au
MVRP dans le réseau de commutation en
VLAN11 VLAN11
diffusant/transmettant les données vers d'autres
ports Forwarding de cette instance STP
•VLAN statique •VLAN dynamique (GVRP/ MVRP)
 Le MVRP envoie une PDU qui inclut l'état

de l'ensemble des 4094 VLAN sur un port
 Les annonces des VLAN MVRP peut être

déclenchées par des VLAN de type
« Group Mobility »
•TCN, VLAN11
 Le MVRP inclut également la

transmission d'une TCN pour les réseaux
VLAN individuels. VLAN10 VLAN11
IEEE 802.1ak MVRP
Configuration CLI
 -> bridge mode flat
 -> mvrp {enable | disable}
 Active/désactive globalement le MVRP sur un commutateur
 -> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} { enable | disable}
 Active/désactive le MVRP sur un ou des ports ou agrégats spécifiques du commutateur
 -> mvrp transparent-switching {enable | disable}

 Active/désactive la commutation transparente sur le commutateur. Lorsque la commutation transparente est
activée, le commutateur diffuse des informations MVRP sur d'autres commutateurs mais ne participe pas au
protocole MVRP
 -> mvrp maximum vlan <vlanlimit>

 Définit le nombre maximal de VLAN dynamiques pouvant être créés par le MVRP
 -> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} registration {normal | fixed |
forbidden}
 Normal : l'enregistrement et le désenregistrement des VLAN sont autorisés
 Les VLAN peuvent être mappés soit dynamiquement (par le biais du MVRP), soit statiquement (par le biais de l'application de gestion),
sur ce port
 Fixed : Seul le mappage statique des VLAN est autorisé sur le port mais le désenregistrement des VLAN dynamiques
ou statiques créés précédemment n'est pas autorisé
 Forbidden : l'enregistrement ou le désenregistrement de VLAN dynamiques n'est pas autorisé sur le port. Tous les
VLAN dynamiques créés précédemment seront désenregistrés.
IEEE 802.1ak MVRP
Configuration CLI
 -> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} applicant {participant | non-
participant | active}
 Le mode Applicant définit si oui ou non des échanges MVRP PDU sont autorisés sur un port en fonction de l'état du
Spanning Tree.
 Normal participant : La machine d'état participe normalement aux échanges du protocole MRP pour les ports en
mode Forwarding uniquement
 Non-participant: La machine d'état n'envoie aucun message MRP
 Active: La machine d'état participe normalement aux échanges du protocole MRP à la fois pour les ports en mode
Forwarding et les ports en mode Blocking. Ce mode est un mode propriétaire Alcatel-Lucent.
 -> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} periodic-transmission

{enable|disable}
 Active le statut de transmission périodique sur un port ou un agrégat de ports
 -> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} restrict-vlan-registration vlan
<vlan-list>
 Empêche le processus MVRP d'enregistrer dynamiquement les VLAN spécifiés sur le commutateur
IEEE 802.1ak MVRP
Supervision CLI
-> show mvrp ?
timer statistics port linkagg configuration
-> show mvrp [linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>] ?

disabled enabled last-pdu-origin statistics timer vlan-restrictions
-> show mvrp {linkagg <agg_num> | port <slot/port>} configuration
-> show mvrp configuration

MVRP Enabled : yes, -> show mvrp port 1/15 statistics
Transparent Switching Enabled : no, Port 1/15:
New Received : 0,
Maximum VLAN Limit : 256 Join In Received : 0,
Join Empty Received : 0,
Leave Received : 0,
-> show mvrp [linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>] statistics In Received : 0,
Empty Received : 0,
Leave All Received : 0,
-> mvrp [linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>] clear-statistics New Transmitted : 0,
Join In Transmitted : 0,
Join Empty Transmitted : 0,
Leave Transmitted : 0,
In Transmitted : 0,
Empty Transmitted : 0,
LeaveAll Transmitted : 0,
Failed Registrations : 0,
Total Mrp PDU Received : 0,
Total Mrp PDU Transmitted : 0,
Total Mrp Msgs Received : 0,
Total Mrp Msgs Transmitted : 0,
Invalid Msgs Received : 0
Réseaux VLAN
Sommaire
1 OBJECTIF ....................................................................................... 2
2 VLANs ........................................................................................... 2
3 Equipement/Matériel Requis ................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Configuration VLAN ........................................................................... 3
6.1. Création de VLAN supplémentaires ................................................................. 6
6.2. Mobilité .................................................................................................. 8
7 Résumé ....................................................................................... 11
8 Test ........................................................................................... 11
2
Réseaux VLAN
1 OBJECTIF
Ce lab est conçu pour vous familiariser avec les VLANs sur les OmniSwitch.
2 VLANs
Les VLANs offrent la capacité de séparer le réseau en de multiples domaines de broadcast. Celà
peut être fait statiquement ou dynamiquement en créant des policies. De plus, les ports des
routeurs peuvent être assignés à des VLANs afin d’autoriser le traffic à être commuté au niveau
3.
3 Equipement/Matériel Requis
Un OmniSwitch (n’importe quel modèle)
2 PCs ou plus.
4 Commandes associées
vlan, show vlan, show vlan [vid], ip interface,
show vlan [vid] ports, vlan [vid] ip, vlan [vid] mac
5 Plates-formes supportées
Toutes
3
Réseaux VLAN
6 Configuration VLAN
Client 7 Client 3
A Exercice sur labo distant
1/22 Réseaux VLAN
1/1
3
1/2
Client 8 Client 4
A 4 4 OS 6850E
1/22
1/1
4
1/2
Avant de poursuivre, supprimez la configuration existante du répertoire WORKING et redémarrez le

commutateur, ou utilisez le script de réinitialisation du labo distant.
- Saisissez les commandes suivantes :
- Dans sa configuration par défaut, le commutateur ne possède qu'un VLAN : le VLAN 1. Il s'agit du VLAN par
défaut et tous les ports sont initialement associés à ce VLAN. Vous NE POUVEZ PAS supprimer ce VLAN
mais vous pouvez le désactiver si vous le souhaitez.
- Exécutons la commande permettant d'afficher les VLAN qui existent sur un commutateur et les
informations relatives à un VLAN unique.
-> show vlan
stree mble src
vlan type admin oper 1x1 flat auth ip tag lrn name
-----+-----+------+------+------+------+----+-----+-----+------+----------
1 std on off on on off on off on VLAN 1
- Consultez les guides de l'utilisateur pour obtenir des données détaillées sur le contenu des colonnes
suivantes :
vlan – Le numéro ID du VLAN

type - Le type de VLAN (std, vstk, gvrp or ipmv)
admin – Statut administratif
oper – Statut opérationnel (Tout port actif associé au VLAN)
1X1 – Statut Spanning Tree 1x1 – (on/off)
flat – Statut Flat Spanning Tree – (802.1s activé?)
auth – Statut Authenticated VLAN
ip – Statut IP (Une adresse IP a-t-elle été associée au VLAN ?)
ipx – Statut IPX (Une adresse IPX a-t-elle été associée au VLAN ?)
mble tag – Tag mobilité (on/off)
name – Nom du VLAN
- Pour afficher les données relatives à un VLAN spécifique :

-> show vlan 1
4
Réseaux VLAN
Name : VLAN 1,
Administrative State: enabled,
Operational State : disabled,
1x1 Spanning Tree State : enabled,
IP Router Port : off,
IPX Router Port : none,
Mobile Tag : off,
Source Learning : enabled
Router Vlan : no
Notes : L'état « Administrative State » du VLAN est activé tandis que l'état « Operational
State » est désactivé. Un VLAN qui ne comprend aucun membre est considéré comme ne
fonctionnant pas.
- Vous pouvez également dresser la liste des ports et des VLAN qui leur sont associés. Remarque : à ce
stade, vous ne disposez d'aucun port actif permettant d'activer l'exploitation du VLAN.
-> show vlan port (or 'show vlan 1 port' to display just vlan 1 ports)
vlan port type status
------+-------+---------+-------------
1 1/1 default inactive
- Pour afficher l'affectation d'un VLAN à un ou plusieurs ports spécifiques, entrez la commande suivante :
-> show vlan port 1/1
vlan type status
--------+---------+--------------
1 default inactive
Pour obtenir la connectivité IP sur une interface VLAN (non nécessaire pour la connectivité vers d'autres
clients/serveurs au sein d'un VLAN), vous devez affecter une adresse IP à un port de routeur virtuel et
l'associer au VLAN. Vous pouvez ensuite utiliser cette adresse IP pour la connectivité IP et pour la
commutation de couche L3. Pour cela, il vous faut tout d'abord créer l'adresse IP et l'associer à un VLAN.
- Entrez les commandes qui suivent, sachant que « int_1 » est l'alias du VLAN et que « 192.168.10.X »
correspond à l'adresse IP d'interface. Remplacez X par la référence de votre commutateur. L'exemple qui suit
s'applique au commutateur 3 :
-> ip interface int_1 address 192.168.10.3/24
Total 3 interfaces
--------------------+---------------+---------------+------+-------+--------
5
Réseaux VLAN
Loopback 127.0.0.1 255.0.0.0 UP NO Loopback

dhcp-client 0.0.0.0 0.0.0.0 DOWN NO vlan 1
int_1 192.168.10.3 255.255.255.0 DOWN NO unbound
Notes : il est possible de regrouper les deux dernières commandes en une seule comme suit :
-> ip interface int_1 address 192.168.10.3/24 vlan 1
Total 3 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.3 255.255.255.0 DOWN NO vlan 1
Observez le contenu du champ « Status ». La valeur « DOWN » indique qu'aucun port actif ou équipement n'a
été associé au VLAN auquel le routeur virtuel a été affecté. Lorsqu'une interface de routeur virtuel se trouve
à l'état « DOWN », la connexion à cette interface est impossible ; elle ne peut pas répondre aux requêtes
PING ni être informée des mises à niveau de routage. Toutefois, le domaine de diffusion de la couche L2 n'est
pas affecté.
Activons à présent un port dans le VLAN 1 pour modifier la valeur d'état et la passer à « UP » avec la
procédure suivant.
- Connectez le PC1 à un port Ethernet du commutateur. Rappelez-vous que tous les ports par défaut sont
membres du VLAN 1 : vous pouvez donc utiliser le port de votre choix.
- Sur le labo distant, activez l'interface associée :
- À présent, entrez la commande suivante :

-> show vlan 1 port
port type status
---------+---------+--------------
1/1 default forwarding
1/2 default inactive
Tous les ports appartenant actuellement au VLAN 1, cette procédure le rend actif.
- Exécutez la commande suivante pour vérifier l'état de l'interface IP.

Total 3 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.3 255.255.255.0 UP YES vlan 1
À présent que le VLAN possède un port actif, modifions les données IP du PC1 et envoyons une requête PING à
l'interface de routage associée au VLAN 1.
6
Réseaux VLAN
- Modifiez les données IP du client 3 :

PC1 - IP Address - 192.168.10.103
PC1 - Mask – 255.255.255.0
PC1 - Default Gateway – 192.168.10.3 (Adresse IP du routeur virtuel du VLAN 1).
- Envoyez une requête ping à l'adresse IP du routeur virtuel du VLAN 1. Vous disposez à présent de la
connectivité IP.
6.1. Création de VLAN supplémentaires
Actuellement, un seul VLAN est créé sur le commutateur. Les étapes suivantes indiquent comment créer un
second VLAN, activer l'IP sur le VLAN, déplacer des ports dans le VLAN et transférer des paquets IP entre
VLAN.
- Créez tout d'abord un nouveau VLAN et affectez-lui une adresse IP comme précédemment :
-> vlan 20
-> ip interface int_20 address 192.168.20.3/24
-> ip interface int_20 vlan 20
Comment regrouper les deux commandes en une seule ?

-
- Étudions ce que vous avez configuré :

Total 4 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.3 255.255.255.0 UP YES vlan 1
int_20 192.168.20.3 255.255.255.0 DOWN NO vlan 20
-> show vlan

stree mble src
vlan type admin oper 1x1 flat auth ip ipx tag lrn name
-----+------+------+------+------+------+----+-----+-----+-----+-----+----------
20 std on off on on off on NA off on VLAN 20
Vous allez à présent affecter un port au VLAN 20, connecter un client 7 à ce port et modifier son adresse IP
pour permettre la communication vers l'interface du routeur virtuel. Rappelez-vous que tous les ports
appartiennent au VLAN 1 par défaut et que vous devez donc déplacer un port vers le VLAN 20.

-> vlan 20 port default 1/2 (1/2 = slot/port the PC is connected to)
Vérifiez que vous avez connecté le PC2 à l'emplacement et au port définis ci-dessus.
- Modifiez les données IP du PC2 pour qu'elles correspondent à ce qui suit :
PC2 - IP Address – 192.168.20.107

PC2 - Mask – 255.255.255.0
7
Réseaux VLAN
PC2 - Default Gateway – 192.168.20.3 (Adresse IP du routeur virtuel du VLAN 20 pour

votre poste)
- Vérifiez ce que vous avez fait :

-> show vlan 20 port
port type status
---------+---------+--------------
-> show vlan 1 port

port type status
---------+---------+--------------

Total 4 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.3 255.255.255.0 UP YES vlan 1
int_20 192.168.20.3 255.255.255.0 UP NO vlan 20
-> show vlan

stree mble src
-----+------+------+------+------+------+----+-----+-----+-----+-----+----------
20 std on off on on off on NA off on VLAN 20
Le schéma suivant représente la configuration actuelle. Par défaut, le commutateur achemine les paquets
entre les VLAN 1 et VLAN 20 à l'aide des interfaces Virtual IP que vous avez créées.
Routeur virtuel Routeur virtuel

VLAN 1 = 3 VLAN 20 =
192.168.10.3 192.168.20.3
VLAN 1 VLAN 20
Adresse IP = 192.168.10.103 Adresse IP = 192.168.20.107
Passerelle par défaut = 192.168.10.3 Passerelle par défaut = 192.168.20.3
Client 3 Port du VLAN 1 Client 7 Port du VLAN 20
Effectuez la procédure suivante pour tester la connectivité :
- À partir du client 7, envoyez une requête ping au port du routeur virtuel du VLAN 20 (ex. envoyez une
requête ping au 192.168.20.1)
Notes : Cette requête doit aboutir étant donné que le port se trouve sur la même plage de
sous-réseaux IP.
- À partir du client 7, envoyez une requête ping au port du routeur virtuel du VLAN 1 (ex. ping
192.168.10.1)
Notes : Cette requête doit aboutir puisque vous avez associé la passerelle par défaut du PC2 à
l'interface de routeur virtuel du VLAN 20. Le commutateur achemine alors les paquets vers
l'interface int_1.
8
Réseaux VLAN
- À partir du client 7, envoyez une requête ping au client 3. (Par exemple, ping 192.168.10.103)
Notes : Cette requête doit aboutir puisque vous avez associé la passerelle par défaut à
l'interface de routeur virtuel du VLAN 20. Le commutateur achemine alors le paquet contenant
la requête dans une seule direction et renvoie la réponse au VLAN 20.
- Effectuez les mêmes étapes à partir du client 3, c'est-à-dire 1) envoyez une requête ping au routeur
virtuel du VLAN 1, 2) envoyez une requête ping au routeur virtuel du VLAN 20 et 3) envoyez une requête
ping au client 7.
Vous devez recevoir des réponses positives à chacune des requêtes ping envoyées. Si ce n'est pas le cas,
vérifiez votre adresse IP (et la passerelle) à la fois sur le PC et sur le commutateur.
- Pour contrôler les associations VLAN, procédez comme suit. Entrez les commandes suivantes :
-> show vlan
-> show vlan 1
-> show vlan 1 port
-> show vlan 20
6.2. Mobilité
Vous venez de voir comment associer des ports aux VLAN de manière statique. Dans cette section, vous
apprendrez à configurer la mobilité pour associer dynamiquement des MAC en fonction du trafic reçu.
Tout d'abord, commencez par déplacer le port auquel le PC2 est connecté vers le VLAN 1 par défaut.
-> vlan 1 port default 1/2 (or the port you configured earlier)
-> show vlan 1 port

port type status
---------+---------+--------------

-> show vlan port 1/2
vlan type status
--------+---------+--------------
1 default forwarding
9
Réseaux VLAN
À présent, le port auquel le PC2 est connecté a été réattribué au VLAN 1.

Vous ne pouvez plus envoyer de requêtes ping émanant du PC2 vers l'interface du routeur puisque le PC se
trouve désormais dans le VLAN 1 et que vous disposez d'une adresse IP qui appartient à l'interface du VLAN 20
(int_20).
Pour déplacer des ports de manière dynamique d'un VLAN à l'autre, les deux conditions suivantes sont
nécessaires : 1) le port doit avoir été configuré comme étant mobile ; 2) le trafic envoyé doit respecter une
règle. Rendre un port mobile lui donne la capacité de déplacer dynamiquement un client ou un MAC d'un
VLAN à un autre en fonction du trafic reçu.

-> vlan port mobile 1/2
-> show vlan port mobile 1/2

Mobility : on,
Config Default Vlan: 1,
Default Vlan Enabled: on,
Default Vlan Restore: on,
Authentication : off,
Ignore BPDUs : off
Ingress Filtering : off
Une fois le port configuré en tant que port mobile, vous devez créer une règle à laquelle le client 7
correspondra. Les règles sont appliquées aux VLAN et les terminaux (MAC) deviennent membres d'un VLAN
lorsqu'ils respectent une règle.
- Saisissez la commande suivante :

-> show vlan rules
Legend: type: * = binding rule
type vlan rule

-----------------+------+-------------------------------------------------------
Vous constatez que, pour le moment, aucune règle n'existe. Vous allez maintenant créer une règle à laquelle
le client 7 correspondra.
- Saisissez la commande suivante :

-> vlan 20 ip 192.168.20.0 255.255.255.0
- Vous venez de créer une règle d'adressage IP. Cette règle précise qu'un terminal envoyant du trafic vers
une adresse IP source dans le sous-réseau 192.168.20.0/24 devient membre du VLAN 20.
-> show vlan rules
Legend: type: * = binding rule
type vlan rule

-----------------+------+-------------------------------------------------------
ip-net 20 192.168.20.0, 255.255.255.0
- Vérifiez l'association VLAN pour le PC2.

port type status
---------+---------+--------------
À ce stade, le port auquel le client 7 est connecté n'est pas encore membre car aucun trafic n'a été envoyé
pour déplacer dynamiquement le port. Créez à présent du trafic qui corresponde à la règle nouvellement
10
Réseaux VLAN
créée en suivant la procédure suivante.
- À partir du client 7, envoyez une requête ping à l'adresse IP de routeur virtuel associée au VLAN 20.
Notes : Vous devez obtenir des réponses positives, le PC ayant été déplacé dynamiquement
vers le VLAN 20 puisqu’il envoie du trafic depuis une adresse IP source 192.168.20.0/24, qui
correspond à la règle du VLAN 20.

port type status
---------+---------+--------------
1/2 mobile forwarding
-> show mac-address-table

Legend: Mac Address: * = address not valid
Domain Vlan/SrvcId Mac Address Type Protocol Operation Interface

--------+--------------+---------------------+----------------+------------+--------------+---------
VLAN 1 e8:03:9a:29:25:80 learned 806 bridging 1/2
VLAN 20 e8:03:9a:29:25:80 learned 806 bridging 1/2
Total number of Valid MAC addresses above = 2
Les commandes ci-dessus montrent que le port a bien été associé au VLAN 20 et que l'adresse MAC du
client 7 est connue du VLAN 20.
Pourquoi l’adresse MAC de votre PC est-elle dans les deux VLAN ?

-
L'adresse MAC de votre PC se trouve dans les deux VLAN car elle était, à l'origine, l'adresse MAC source connue
du VLAN 1. Après 300 secondes (délai par défaut), votre adresse MAC disparaît du VLAN 1 et demeure
uniquement dans le VLAN 20.
- La règle d'adressage réseau IP est une des méthodes de déplacement dynamique des terminaux. Avec les
commandes suivantes, testez la création d'une règle d'adressage MAC et d'une règle de protocole IP.
-> vlan 30
-> vlan 30 mac <client 7's mac address>
-> vlan 40
-> vlan 40 protocol ip-e2
En connectant vos PC (client 3, client 7) à des ports mobiles, vous déterminez la

préséance des règles d'adressage IP, MAC et de protocole. Qu'avez-vous appris ?
1.
2.
3.
11
Réseaux VLAN
7 Résumé
Les VLANs sont un concept important à comprendre lorsque vous configurez un OmniSwitch. Ils
ont la capacité de séparer le réseau en de multiples domaines de broadcast. Cela peut être fait
statiquement ou dynamiquement. De plus, afin que des équipements de différents VLANs
puissent communiquer, ils doivent être routé. Une interface virtuelle du routeur peut être
associé à chaque VLAN afin de permettre le routage du traffic.
8 Test
1. Quel est l'objectif d'un VLAN ?
2. Désignez deux méthodes de ce cas pratique utilisées pour associer un port à un VLAN.
3. Quel type de règle(s) a été utilisé pour déplacer dynamiquement un port dans un VLAN ?
4. Faut-il nécessairement qu'un protocole de routage soit configuré pour router le trafic entre les VLAN
d'un même commutateur ?
5. Pour qu'un VLAN achemine le trafic, que faut-il créer sur le commutateur ?
6. À quel VLAN un port appartient-il par défaut ?
7. Quelle est la commande permettant de déplacer un port vers un VLAN par défaut différent ?
8. Quelles sont les deux commandes permettant de vérifier à quel VLAN un port est associé ?
VLANS ET TAG 802.1Q
Sommaire
1 Objectif ......................................................................................... 2
2 802.1Q .......................................................................................... 2
3 Equipement/Matériel requis ................................................................. 2
6 Supprimer la configuration et initialiser l’interface IP du VLAN 1 ..................... 3
7 Etapes du lab .................................................................................. 3
7.1. Création d'un VLAN supplémentaire ................................................................ 4
7.2. Configuration de l’IEEE 802.1Q ...................................................................... 4
8 Résumé ......................................................................................... 6
9 Questions ....................................................................................... 6
2
802.1Q
1 Objectif
Ce lab est conçu afin de vous familiariser avec le IEEE802.1Q. Deux OmniSwitch doivent être
utilisés afin de comprendre le principe ; n’importe quelle combinaison de commutateurs va
fonctionner.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER EN COORDINATION AVEC UN AUTRE GROUPE!
2 802.1Q
Dans un environnement de niveau 2, le VLAN par défaut d’un port est utilize pour commuter le
traffic via une connection physique entre commutateurs. Dans un environnement IEEE 802.1Q, le
VLAN par défaut pour un port est commuté, tous les autres VLANs seront marqués avec le tag
IEEE 802.1Q.
3 Equipement/Matériel requis
Deux OmniSwitches de n’importe quel type (OS9xxx, OS685x, OS6450 ou OS6250)
Deux PCs
vlan <vid> 802.1q slot/port, vlan <vid> no 802.1q,
show 802.1q slot/port
Toutes
3
802.1Q
6 Supprimer la configuration et initialiser l’interface IP du VLAN 1
- Avant de commencer cet exercice, supprimez le fichier « boot.cfg » du répertoire Working de tous les
commutateurs et redémarrez ces derniers pour que les exercices précédents n'affectent pas les résultats
(sur labo distant, réinitialisez le pod) :
-> rm /flash/working/boot.cfg (R6 & R7)
-> reload working no rollback-timeout (R6)
-> reload from working no rollback-timeout (R7)
- Sur chaque commutateur, créez une interface de routeur virtuel pour le VLAN 1 avec une adresse IP dans
le sous-réseau 192.168.10.X/24, où X représente le numéro du commutateur utilisé.
-> ip interface “int_1” address 192.168.10.x/24 vlan 1 (R6 & R7)
- Connectez un PC au port VLAN 1 de chaque commutateur. Dans ce type de configuration par défaut, tous
les ports appartiennent au VLAN 1. N'oubliez pas de configurer vos PC pour le sous-réseau VLAN 1, c'est-à-
dire de leur attribuer des adresses IP dans le sous-réseau 192.168.10.0/24. Activer le port 1/1 dédié au PC
pour chaque commutateur.
-> interfaces 1/1 admin up (R6)
-> interfaces 1/1 admin-state enable (R7)
- Interconnectez vos commutateurs à l'aide du port 3. N'oubliez pas d'activer le port sur le labo distant :
-> interfaces 1/3 admin up (R6)
-> interfaces 1/3 admin-state enable (R7)
7 Etapes du lab
192.168.10.101 192.168.10.102
Client 1 Client 2
A A
EMP 1/1 EMP 1/1
2 3
1/3 1/3
VLAN 1 : 192.168.10.1 VLAN 1 : 192.168.10.2
802.1Q VLAN 11 : 192.168.11.1
VLAN 12 : 192.168.12.1
802.1Q VLAN 11 : 192.168.11.2
VLAN 12 : 192.168.12.2
A A
1/3 1/22 1/22 1/3
2 3 OS 6900T
4 4 4 4 OS 6850E
1/1 1/1 VLAN 1 : 192.168.10.4
VLAN 1 : 192.168.10.3
VLAN 11 : 192.168.11.3 VLAN 11 : 192.168.11.4
VLAN 12 : 192.168.12.3 VLAN 12 : 192.168.12.4
Client 3 Client 4
192.168.10.103 192.168.10.104
4
802.1Q
- Pour afficher les adresses IP sur vos commutateurs, saisissez la commande suivante :
Total 3 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.3 255.255.255.0 UP YES vlan 1
- Vérifiez que les deux PC peuvent envoyer une requête ping à leurs interfaces de routeur respectives.
- Vérifiez qu'une connexion physique existe entre les deux commutateurs et que les deux PC peuvent
envoyer une requête ping aux deux routeurs et l'un à l'autre.
- Affichez le tableau d'adresses MAC pour visualiser les adresses MAC apprises, ainsi que les ports sur
lesquels elles ont été apprises :
-> show mac-learning (R7)
-> show mac-address-table (R6)
Legend: Mac Address: * = address not valid
Domain Vlan/SrvcId Mac Address Type Protocol Operation Interface

--------+--------------+---------------------+----------------+------------+--------------+-------------
VLAN 1 00:0f:1f:a8:7b:80 learned --- bridging 1/3
VLAN 1 00:0b:db:a7:4d:c4 learned --- bridging 1/24
VLAN 1 00:d0:95:e4:2b:48 learned --- bridging 1/24
VLAN 1 00:d0:95:e4:2b:60 learned --- bridging 1/24
Total number of Valid MAC addresses above = 4
7.1. Création d'un VLAN supplémentaire
- Vous devez vous connecter au PC de votre voisin à l'aide du VLAN 1. Il s'agit du VLAN bridgé. Créez
maintenant deux VLAN supplémentaires sur chaque commutateur. Ces VLAN seront taggués via la même
liaison physique à l'aide du taggage 802.1Q. Saisissez les commandes suivantes sur chaque commutateur :
(remplacez X par votre numéro de commutateur)
-> vlan 11-12
-> ip interface int_11 address 192.168.11.X/24 vlan 11
-> ip interface int_12 address 192.168.12.X/24 vlan 12
switch1-> show ip interface
Total 5 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
int_11 192.168.11.1 255.255.255.0 DOWN NO vlan 11
int_12 192.168.12.1 255.255.255.0 DOWN NO vlan 12
Pourquoi les deux interfaces sont-elles inactives ?
7.2. Configuration de l’IEEE 802.1Q
Les interfaces IP de nos VLAN 11 et 12 sont inactives car aucun des deux VLAN n'a de membres.
5
802.1Q
Notes : Si un VLAN n'a aucun membre, l'interface IP est inactive et ne sera pas annoncée au
système autonome AS (Autonomous System) de couche 3.
En règle générale, trois liaisons physiques sont nécessaires pour obtenir une connectivité de couche 2 entre
les deux commutateurs pour l'ensemble des trois VLAN. Nous allons cependant configurer le taggage 802.1Q
de manière à transporter les données provenant des trois VLAN sur une seule liaison physique.
- Entrez les commandes suivantes (hypothèse de départ : connexion voisine = emplacement 1/ port 3)
-> vlan 11-12 802.1q 1/3 (R6)
-> vlan 11-12 member port 1/3 tagged (R7)
-> show vlan 11 port (R6)
-> show vlan 11 members (R7)
port type status
---------+---------+--------------
1/3 qtagged forwarding

port type status
---------+---------+--------------
-> show vlan port 1/3 (R6)

-> show vlan members port 1/3
vlan type status
--------+---------+--------------
11 qtagged forwarding
12 qtagged forwarding
-> show 802.1q 1/3 (R6)

Acceptable Frame Type : Any Frame Type
Force Tag Internal : NA
Tagged VLANS Internal Description
-------------+------------------------------------------+
11 TAG PORT 1/3 VLAN 11
12 TAG PORT 1/3 VLAN 12
Notes : Il n'existe pas de commande équivalente dans la version 7. On constate que le

port 3/ emplacement 1 transporte des données tagguées pour les VLAN 11 et 12 et assure un
pont au VLAN 1.
A noter qu’un port physique DOIT systématiquement posséder au moins une liaison VLAN (le VLAN par défaut
du port) par pont.
- Envoyez une requête ping aux interfaces de routeur voisines des VLAN 11 et 12.
- Voyez ce qu'il se passe si vous modifiez l'adresse IP de votre PC et la déplacez vers le VLAN 11 ou 12, et si
vous envoyez ensuite une requête ping à toutes les interfaces IP. Avant d'effectuer cette démarche sur
votre commutateur, n'oubliez pas de déplacer le port auquel votre PC est connecté dans le VLAN
approprié :
-> vlan 11 port default 1/1 (port PC is connected to)
- En plus de l'envoi d'une requête ping et de l'utilisation de tracert sur votre PC, vous pouvez utiliser les
commandes suivantes sur le commutateur pour vérifier le fonctionnement :
-> show vlan port (R6)
-> show vlan members (R7)
6
802.1Q
Vous pouvez désormais envoyer une requête ping à n'importe quelle adresse de notre exemple de réseau,
puisque chaque commutateur taggue les données passant sur la liaison entre les deux commutateurs, ce qui
permet d'envoyer chaque paquet sur la même liaison physique tout en conservant le bon VLAN lors du
transfert vers le commutateur distant. Comment votre PC est-il en train de communiquer ? Les paquets sont-
ils bridgés ? Routés ? Les deux ? Comment le savez-vous ?
8 Résumé
Ce lab vous a présenté la fonction 802.1Q sur les OmniSwitch. Le 802.1Q est utilisé pour
supporter de nombreux domaines de broadcast, ou VLANs, à travers le même lien physique. Ceci
est accompli en ajoutant de nouvelles informations au paquet connu sous le nom de tag de
VLAN. Ce tag détermine à quel VLAN appartient le paquet.
9 Questions
1. Quel est l'objectif de la configuration de l’IEEE 802.1Q ?
2. Était-il nécessaire de configurer l’IEEE 802.1Q pour le VLAN 1 ? Pourquoi ?
3. Faut-il déplacer un port dans les VLAN 11 ou 12 avant d'envoyer une requête ping à l'une des
interfaces ? Pourquoi ?
4. Indiquez dans quelle situation une liaison de base par pont a été utilisée dans ce cas pratique.
5. Indiquez dans quelle situation un taggage 802.1Q a été réalisé dans ce cas pratique.
6. Indiquez dans quelle situation un routage a été utilisé dans ce cas pratique.
Multiple VLAN Registration Protocol (MVRP)
Objectif
 L’objectif de ce cas pratique est de vous familiariser avec la fonction
MVRP et de vous apprendre comment la configurer à l’aide de la CLI.
Table des matières

1 Activation du MVRP ........................................................................... 2
2 Configuration du nombre maximal de VLAN ............................................... 3
2
Multiple VLAN Registration Protocol
1 Activation du MVRP
Le MVRP est principalement utilisé pour nettoyer le trafic broadcast inutile et le trafic unicast inconnu, et
créer et gérer dynamiquement les VLAN.
Le MVRP doit être activé de manière globale sur un commutateur pour que ce dernier puisse commencer à
transférer des trames MVRP.
Pour activer le MVRP, le commutateur doit être en mode « Spanning-Tree Flat ».
- Sur le commutateur 6850E-A ou B, entrez les commandes suivantes :
6850E-A/B -> mvrp enable
ERROR: STP Mode is 1X1
6850E-A/B -> show mvrp ?

TIMER STATISTICS PORT LINKAGG CONFIGURATION
6850E-A/B -> show mvrp configuration

MVRP Enabled : no,
Transparent Switching Enabled : no,
Maximum VLAN Limit : 256
- Activez maintenant le mode « Flat», puis le MVRP :

6850E-A/B -> bridge mode flat
6850E-A/B -> mvrp enable
6850E-A/B -> show mvrp configuration
MVRP Enabled : yes,
Transparent Switching Enabled : no,
Maximum VLAN Limit : 256
- Sur le commutateur 6900-A ou B, activez le MVRP :

6900-A/B -> mvrp enable
Le MVRP peut être activé sur des ports, qu'il soit activé de manière globale ou non. Toutefois,
pour que le port devienne un participant actif, le MVRP doit être activé de manière globale sur
le commutateur. Par défaut, le MVRP est désactivé sur les ports. Pour activer le MVRP sur un
port défini, utilisez la commande « mvrp port »
- Activez le MVRP sur des ports trunk des deux commutateurs :

6850E-A/B -> mvrp port 1/3 enable
6850E-A/B -> interfaces 1/3 admin up
- Sur le commutateur 6900-A ou B, entrez les commandes suivantes :

6900-A/B -> mvrp port 1/3 enable
6900-A/B -> interfaces 1/3 admin-state enable
3
Remarques : Le MVRP ne peut être configuré que sur des ports fixes, 802.1 Q ou agrégats. Il ne
peut pas être configuré sur des ports miroirs, agrégats, mobiles, VPLS Access et VLAN Stacking
User.
2 Configuration du nombre maximal de VLAN

Un commutateur peut créer des VLAN dynamiques en utilisant le MVRP. Par défaut, le nombre maximal de
VLAN dynamiques pouvant être créés en utilisant le MVRP est de 256. Si le nombre limite de VLAN défini est
inférieur au nombre actuel de VLAN appris dynamiquement, la nouvelle configuration ne sera appliquée
qu'une fois le MVRP désactivé puis réactivé sur le commutateur. Si cette opération n'est pas effectuée, les
VLAN appris plus tôt sont conservés.
- Pour modifier le nombre maximal de VLAN dynamiques que le commutateur est autorisé à créer, utilisez
la commande « mvrp maximum vlan » comme indiqué :
- Sur le commutateur 6850E-A ou B, entrez la commande suivante :
6850E-A/B -> mvrp maximum vlan 150
- Sur le commutateur 6900-A ou B, entrez la commande suivante :

6900-A/B -> mvrp maximum-vlan 150
- Création de VLAN dynamiques

6850E-A/B -> vlan 777
6850E-A/B -> vlan 777 802.1q 1/3
6850E-A/B -> vlan 555
6850E-A/B -> vlan 555 802.1q 1/3
- Regardons maintenant les informations du commutateur 1 ou 2 (6900) :

6900-A/B -> show mvrp port 1/3 statistics
Port 1/3:
New Received : 4,
Join In Received : 0,
Join Empty Received : 4,
Leave Received : 1,
In Received : 0,
Empty Received : 31888,
Leave All Received : 0,
New Transmitted : 0,
Join In Transmitted : 0,
Join Empty Transmitted : 20,
Leave Transmitted : 0,
In Transmitted : 0,
Empty Transmitted : 81880,
LeaveAll Transmitted : 1,
Failed Registrations : 9,
Total Mrp PDU Received : 9,
Total Mrp PDU Transmitted : 20,
Total Mrp Msgs Received : 25,
Total Mrp Msgs Transmitted : 120,
Invalid Msgs Received : 0
- Affichez la configuration du port :

6900-A/B -> show mvrp port 1/3 enable
Registrar Mode : normal,
Applicant Mode : active,
Join Timer (msec) : 600,
Leave Timer (msec) : 1800,
LeaveAll Timer (msec) : 30000,
Periodic Timer (sec) : 1,
Periodic Tx status : disabled
6900-A/B -> show mvrp port 1/3 last-pdu-origin

Port Last-PDU Origin
-------+--------------------
4
1/3 00:d0:95:fc:9f:51
- Notez que les VLAN 555 et 777 ont été créés automatiquement :
6900-A/B -> show vlan
stree mble src
-----+------+------+------+------+------+----+-----+-----+-----+-----+----------
555 mvrp on on off on off off NA off on VLAN 555
777 mvrp on off off on off off NA off on VLAN 777
- Et que les ports ont été taggués dynamiquement :

6900-A/B -> show vlan port 1/3
vlan type status
--------+---------+--------------
555 dynamic forwarding
777 dynamic forwarding
OmniSwitch AOS R6/R7
Configuration de l'alimentation PoE (Power over Ethernet)

Objectifs du module
 Ce module couvrira:
 Comment configurer et superviser les
paramètres de gestion Power Over
Ethernet
High
Availability
AOS
Operating
System
Extensive Enhanced
OmniSwitch 6250/6400/6450/6850E/6855/9000
Power Over Ethernet
 Spécifications
 IEEE 802.3af et/ou IEEE 802.3at DTE Power via MDI
 Longueur de câble prise en charge : 100 m
 Alimentation en ligne par défaut par port
 Nombre total de ports compatibles PoE par commutateur
 OmniSwitch utilise une alimentation PoE dynamique

 Délivre ce qui est nécessaire, jusqu'au budget total
 Va au-delà de la classification (c’est optionnel dans la norme
IEEE 802.3af)
 Permet un déploiement d'alimentation électrique moins onéreux
OmniSwitch 6250/6400/6450/6850E/6855/9000
Power Over Ethernet
 Alimentation des équipements par le PoE

 PSE : Power Sourcing Equipment (équipement source d’alimentation
électrique), c'est-à-dire l'OmniSwitch 6850-P24
 PD : Powered Device (équipement alimenté), c'est à dire l'Alcatel-Lucent IP
Touch 4068 EE
 Classification optionnelle
 La classe d'un PD est déterminée par le PSE au moyen d'une résistance

fixe se trouvant dans le PD
 Résistance = matériel
 La norme IEEE 802.3af spécifie 4 classes de puissance maximale

 Non-classé, Classe 0 : sortie 15,4 W max. @ PSE, entrée 12,95 W @ PD
 Classe 1 : sortie 4 W max. @ PSE, entrée 3,84 W @ PD
 Classe 2 : sortie 7 W max. @ PSE, entrée 6,49 W @ PD
 Classe 3 : sortie 15,4 W max. @ PSE, entrée 13 W @ PD
 La norme IEEE 802.3at spécifie une classe supplémentaire pour les PD

de type 2.
 Classe 4 : sortie 34,2 W max. @ PSE, entrée 25,5 W @ PD
OmniSwitch 6250/6400/6450/6850E/6855/9000
Caractéristiques des alimentations Power over Ethernet
 Modèles PoE
 OmniSwitch 6250-P24
 Alimentations 225 W CA
 Budget d'alimentation PoE 180 W - 3 à 30 W par port
 OmniSwitch 6400-P24 & P48 Adaptateur
 Alimentation 360 ou 510 W CA secteur
 Budget d'alimentation PoE 240 ou 390 W
 OmniSwitch 6450-P10 & P10L
 Alimentation interne et budget d'alimentation PoE 120 W
 OmniSwitch 6450-P24 & P48
 PS interne et PS de secours externe (550 ou 900 W)
 Budget d'alimentation PoE 390/780 W
 OmniSwitch 6850-EP24, P24L, P24X, P48, P48L, et
P48X Deux alim. 360 W Une alim. 510 W dans
 Alimentations 360 W CA et 510 W CA dans un boîtier un boîtier
 3-18 W par port
 OmniSwitch 6855-14, OmniSwitch 6855-24
 PS externe pour PoE : 66 W (6855-14) ou 160 W (6855-24)
 4 ports compatibles PoE, 3-15,4 W par port / 20 W sur 3 ports
 OmniSwitch 9000 OS-GNI-P24
 Alimentation PoE fournie par un boîtier d'alimentation
externe
 Nombre maximum de modules par châssis
 4 (OS9600) ; 8 (OS9700) ; 16 (OS9800)
 Puissance totale configurable disponible par port et par
emplacement
 3-18W (par défaut à 15,4 W)
Boîtier d'alimentation PoE
OS-IP-SHELF
OmniSwitch 6250/6400/6450
Spécifications Power over Ethernet
OmniSwitch 6250 OmniSwitch 6400 OmniSwitch 6450-10 OmniSwitch 6450
Normes IEEE prises en IEEE 802.3af, 802.3at IEEE 802.3af IEEE 802.3af, 802.3at IEEE 802.3af, 802.3at
charge
Statut admin PoE par Activé
déf.
Statut opér. PoE par déf. Désactivé (la PoE doit être activée commutateur par commutateur (commande « lanpower start »)
Plateformes prenant en OS6250-P24 OS 6400-P24 & P48 OS 6850-P10 OS 6450-P24
charge la PoE
OS 6850-P10L OS 6450-P48
Longueur de câble prise 100 mètres (environ)
en charge
Nbre total de ports 24 24 ou 48 8 24 ou 48
compatibles PoE par
commutateur
Puissance par déf. de 240 W (PS 360 W) 120 W 390 W (PS de secours 530 W)
l'alim. en ligne
390 W (PS 510 W) 780 W (PS de secours 900 W)
disponible par
commutateur
Puissance par déf. de Ports 1-6, 23/24 ou 25/26 : 15,4 W
l'alim. en ligne 30 W
disponible
Ports (7-24) : 16 W
Plage de puissances de Ports 1-6, 23/24 ou 25/26 : 3- 3–18 W Ports 1-8 : 3-30 W 3-30 W
l'alim. en ligne autorisée 30 W
par port
Ports (7-24) : 3 - 16 W
Alimentation PoE 225 W 390 W (510 W PS) 120 W 390 W (PS 530 W)
240 W (360 W PS) 780 W (PS 900 W)
OmniSwitch 6850E/6855/9000
Spécifications Power over Ethernet
OmniSwitch 6850E OmniSwitch 6855 OmniSwitch 9000
Normes IEEE prises en charge IEEE 802.3af
Statut admin PoE par déf. Activé
Statut opér. PoE par déf. Désactivé (la PoE doit être activée commutateur par commutateur (commande « lanpower start »)
Plateformes prenant en charge la OS 6850-P24, P24L, P24X, P48, OS 6855-14 OS9600, 9700/9702, 9800
PoE P48L, P48X
OS 6855-24 Module OS9-GNI-P24
Longueur de câble prise en charge 100 mètres (environ)
Nbre total de ports compatibles PoE 24 ou 48 4 premiers ports 96 (OS9600) ; 192 (OS9700) ; 384
par commutateur (OS9800)
Puissance par déf. de l'alim. en 240 W (PS 360 W)
ligne disponible pour chaque
390 W (PS 510 W)
emplacement
Plage de puissances de l'alim. en 37-240 (PS 360 W) 260 W
ligne autorisée pour chaque
37–390 (PS 510 W)
emplacement
Puissance par déf. d'alim. en ligne 15,4 W 15,4 W
disponible
Plage de puissance d'alim. en ligne 3–18 W 3-20 W 3–18 W
autorisée par port
Alimentation PoE 390 W (PS 510 W) 80 W (OS6855-C24) 240 W de PoE avec PS 360 W
240 W (PS 360 W) 66 W (OS6855-C14) 390 W de PoE avec PS 510 W
OmniSwitch 6250/6400/6450/6850E/6855/9000
Gestion de l'alimentation PoE
 Affichage de l'état de l'alimentation PoE
-> show power

Slot PS Wattage Type Status Location
----+----+---------+------+-----------+----------
1 1 360 AC UP External
1 2 360 AC UP External
1 3 -- -- -- --
 Configuration de l'état opérationnel de la PoE
-> lanpower start 1

 Réactivation/ désactivation de l'alimentation d’un port
-> lanpower start / stop 1/3

 Configuration de la puissance maximale de l'alimentation en ligne
-> lanpower 1/9 power 18000

OmniSwitch 6250/6400/6450/6850E/6855/9000
 Configuration de l'état opérationnel de la PoE sur un port

 Désactivée par défaut
-> lanpower start 1/2
 Configuration des niveaux de priorité du port

 low (bas), high (haut) et critical (critique)
 Le niveau de priorité par défaut d’un port est « low ».
 Low : En cas de problème de gestion de l’alimentation électrique,
l’alimentation en ligne des ports « low » est interrompue en premier.
 High : Cette valeur est destinée au(x) port(s) sur le(s)quel(s) des
périphériques importants, mais non essentiels à la mission, sont connectés.
Si d’autres ports du châssis ont été définis sur « critical », l’alimentation
directe des ports « high » passe au second rang des priorités.
 Critical : En cas de problème de gestion de l’alimentation électrique,
l'alimentation en ligne des ports « critical » est maintenue aussi longtemps
que possible.
-> lanpower 1/22 priority critical
OmniSwitch 6250/6400/6450/6850E/6855/9000
 Configuration de la méthode de détection du condensateur

 Incompatible avec la norme IEEE 802.3af
 Elle ne doit être activée que pour prendre en charge les téléphones IP
-> lanpower 1 capacitor-detection enable
 Configuration de la priorité des déconnexions

 Utilisée par le logiciel du système pour déterminer si l'alimentation sera
accordée ou refusée à un nouveau PD lorsque le nombre de watts restant
dans le budget d'alimentation est insuffisant pour un périphérique
supplémentaire
-> lanpower 1 priority-disconnect enable
OmniSwitch 6250/6400/6450/6850E/6855/9000
Supervision de l'alimentation PoE
sw1> show lanpower 1
Port Maximum(mW) Actual Used(mW) Status Priority On/Off

----+-----------+---------------+-----------+---------+------
1 15400 0 Powered Off Low ON
7 15400 0 Powered On Low ON
--------------------------------------------------------------------
16 15400 0 Powered Off Low OFF
17 15400 0 Powered On Low ON
--------------------------------------------------------------------
23 15400 0 Undefined Low ON
24 15400 0 Undefined Low ON
Slot 1 Max Watts 240

0 Watts Total Power Budget Remaining
240 Watts Total Power Budget Available
1 Power Supplies Available
OmniSwitch AOS R6/R7/R8
Protocole LLDP
Objectifs du module
 La configuration des paramètres du
protocole LLDP
 IEEE 802.1AB – Link Layer Discovery Protocol
(LLDP)
High
Availability
AOS
Operating
System
Extensive Enhanced
Protocole LLDP
 IEEE 802.1AB – Link Layer Discovery Protocol (LLDP)
 Éléments de gestion et protocole multi-constructeur standard et extensibles utilisés dans la découverte
des topologies réseau et l'échange de la configuration et des capacités des périphériques
 L'inventaire précis de la topologie physique et des équipements simplifie la gestion et la

maintenance
 Protocole de découverte L2
 Échange d'informations avec les équipements voisins pour créer une base de données des équipements
adjacents port équipement infos
2/22 Commutateur xxxx
port équipement infos 2/1 Téléphone IP xxxx
1/1 Téléphone IP xxxx 2/12 Téléphone IP xxxx
1/2 PC xxxx 2/13 PBX-IP xxxx
1/3 Commutateur xxxx
Je suis un OXE
commutateur
Je suis un
commutateur
Je suis un
PBX-IP
Je suis un
Je suis un Je suis un
commutateur
commutateur commutateur
Je suis un
Je suis un commutateur
commutateur
Je suis un PC
Je suis un PC Je suis un
téléphone IP
Je suis un
téléphone IP
LLDP
Configuration et supervision
 Active un flux LLDP PDU sur un port, un slot ou tous les ports d'un commutateur
-> lldp {slot/port | slot | chassis} lldpdu {tx | rx | tx-and-rx | disable}
Envoyé/reçu même sur des ports STP en mode Block
 Active la notification LLDP Le LLDP est activé par

-> lldp {slot/port | slot | chassis} notification {enable | disable} défaut de manière globale
 PDU LLDP périodiques -> show lldp 1/9 remote-system

Remote LLDP Agents on Local Slot/Port 1/9:
 Champs obligatoires
 Chassis ID Chassis 00:e0:b1:99:bb:5a, Port 1009:
Remote ID = 2,
 Port ID and description Chassis Subtype = 4 (MAC Address),
 System name Port Subtype = 7 (Locally assigned),
 System description Port Description = Alcatel-Lucent 1/9,
System Name = vxTarget,
 System capabilities System Description = 6.4.3.488.R01 Development, March 24, 2011.,
 Management address Capabilities Supported = Bridge Router,
Capabilities Enabled = Bridge Router,
Management IP Address = 1.1.1.1,
Remote port default vlan = 1,
Vlan ID = 1,
Vlan Name = VLAN 1,
Protocol vlan Id = 0 (Flags = 0),
Protocol Identity = 88cc,
Remote port MAC/PHY AutoNeg = Supported Enabled Capability 0xf000,
Mau Type = 1000BaseTFD - Four-pair Category 5 UTP full duplex mode
LLDP
Vérification du fonctionnement
 Affichage des informations du LLDP

-> show lldp system-statistics
-> show lldp [slot|slot/port] statistics
-> show lldp local-system
-> show lldp [slot/port | slot] local-port
-> show lldp local-management-address
-> show lldp config
-> show lldp 1/9 config

----------+-------------------------------------------+---------------------+----------
| Admin | Notify | Std TLV | Mgmt | 802.1 | 802.3 | MED
Slot/Port| Status | Trap | Mask | Address | TLV | Mask | Mask
----------+----------+----------+----------+----------+----------+----------+----------
1/9 Rx + Tx Enabled 0xf0 Enabled Enabled 0x80 0xd0
Link Layer Discovery Protocol (LLDP)
LLDP-PDU
Norme : IEEE 802.1AB
En-tête Ethernet Link Layer Discovery Protocol Protocol Data Unit (LLDP-PDU)
Port mac Chassis ID Port ID Time To Optional Optional End Of

01:80:c2:00:00:0e
addr.
88:cc TLV TLV Live TLV TLV
…
TLV LLDPPDU TLV
Adresse de Adresse Type Eth.

destination source pour LLDP M M M O O M
Format TLV (Type Length Value) de base
TLV TLV information

En-tête TLV TLV information string
Type string length
7 bits 9 bits 0 – 511 octets
 LLDP-PDU
 Champs optionnels d'extension
 802.1: Vlan name, port vlan
 802.3: MAC Phy
 MED: Power and Capability
 Inventory Management
 Network Policy
LLDP-Media Endpoint Devices (LLDP-MED)
Fonctionnalités
Network
Policy
Location ID
Extended
Power-via-MDI
Inventory
LLDP-MED
 Fournit des extensions spécifiques à la VoIP au protocole LLDP de base

 Format TLV (Type, Length, Value) pour
 Découverte de la localisation des équipements pour permettre la création de bases de
données de localisation, notamment la prise en charge du service d'appel d'urgence
 Services automatiques de localisation pour E-911
 Découverte de la stratégie LAN (VLAN, priorité de couche 2, QoS de couche 3)
 Gestion complète et automatisée de l’alimentation électrique des équipements PoE
 Gestion de la fonction Inventory
Admin
1 2
Policy: Unkn Policy: Defin

Tagged: No Tagged: Yes
VLAN ID :0 VLAN ID :10
L2 priority:5 L2 priority:7
DSCP: 4611 DSCP: 46
Téléphone IP
Configuration
Stratégies réseau LLDP
 Définir si des LLDP-MED TLV sont inclus dans les LLDPDU transmises
-> lldp {slot/port | slot | chassis} tlv med {power | capability | network policy}
{enable | disable}
 Configurer une stratégie réseau (Network Policy) locale sur le commutateur

pour un type d'application spécifique
-> lldp network-policy policy_id - [ policy_id2] application { voice | voice-signaling |
guest-voice | guest-voice-signaling | softphone-voice | video-conferencing | streaming-video |
video-signaling } vlan { untagged | priority-tag | vlan-id } [ l2-priority 802.1p_value ] [
dscp dscp_value ]
 Associer une stratégie réseau existante à un port, un slot ou

un châssis
-> lldp {slot/port | slot | chassis} med network-policy policy_id - [policy_id2]
LLDP-MED
Exemple
-> show lldp remote-system
Chassis 80:4e:53:c6:00:00, Port 00:80:9f:8e:a4:ab:
Remote ID = 3,
Chassis Subtype = 4 (MAC Address),
Port Subtype = 3 (MAC address),
Port Description = (null),
System Name = (null),
System Description = (null),
Capabilities Supported = Telephone,
Capabilities Enabled = Telephone,
MED Device Type = Endpoint Class III,
MED Capabilities = Capabilities | Power via MDI-PD(33),
MED Extension TLVs Present = Network Policy| Inventory,
MED Power Type = PD Device,
MED Power Source = PSE,
MED Power Priority = Low,
MED Power Value = 5.6 W,
Remote port MAC/PHY AutoNeg = Supported Enabled Capability 0xc036,
Mau Type = 1000BaseTFD - Four-pair Category 5 UTP full duplex mode
-> show lldp remote-system med inventory
Chassis 80:4e:53:c6:00:00, Port 00:80:9f:8e:a4:ab:

Remote ID = 3,
Hardware Revision = "3GV23021JCDA060921",
Firmware Revision = "NOE 4.20.60",
Software Revision = "NOE 4.20.60",
Numéro de série = "FCN00913901069",
Manufacturer Name = "Alcatel-Lucent Enterprise",
Model Name = "IP Touch 4038 EE",
Asset Id = "00:80:9f:8e:a4:ab"
Mobilité VLAN
avec une stratégie réseau LLDP-MED
 Téléphone IP ALU et OmniSwitch
autorisant, avec la stratégie
réseau LLDP, l'annonce des vlan 10
vlan port mobile 1/10
 ID VLAN vlan 10 mobile-tag enable
lldp 1/10 tlv med network-policy enable
 802.1p
lldp network-policy 1 application voice vlan 10 l2-priority 7 dscp 46
 DSCP lldp 1/10 med network-policy 1
Fonction d'attribution de VLAN LLDP-

MED IP Touch activée par défaut
1
Serveur de 3
communication
VLAN Voix
VLAN 10
Admin
Objectif
 Configurer les paramètres LLDP sur la gamme de produits OmniSwitch.
Table des matières

1 LINK LAYER DISCOVERY PROTOCOL (LLDP) .................................................. 2
2
Mise en œuvre
- Deux commutateurs OmniSwitch seront utilisés dans les sections suivantes.
Client 5 6450A 6450B

Client 6
1/1 1/11 1/11 1/1
5 6
Client 9
1/2 1/2 Client
10
1 LINK LAYER DISCOVERY PROTOCOL (LLDP)
Le LLDP (Link Layer Discovery Protocol) est une norme émergente qui offre une solution aux problèmes de
configuration provoqués par les réseaux en expansion. Le LLDP prend en charge le logiciel de gestion réseau
utilisé pour la gestion complète du réseau. Le LLDP est mis en œuvre conformément à la norme
IEEE 802.1AB.
Les informations échangées, transmises sous forme de LLDPDU, sont au format TLV (Type, Length, Value).
Les informations à la disposition du logiciel de gestion de réseau doivent être aussi récentes que possible ;
les informations des équipements distants sont donc mises à jour régulièrement.
Le LLDP est activé par défaut.
- Pour activer la transmission et la réception de LLDPDU sur un port, entrez les commandes suivantes sur les
deux commutateurs :
-> lldp 1/11 lldpdu tx-and-rx
- Pour contrôler le statut de la notification par port en cas de modification d'un équipement distant associé
à un port, utilisez la commande suivante :
-> lldp 1/11 notification enable
Le statut administratif de la LLDPDU doit être défini sur « receive » avant d'utiliser cette
commande.
- Pour contrôler les TLV de gestion par port à intégrer dans les LLDPDU, utilisez la commande suivante :
-> lldp 1/11 tlv management port-description enable
- Vérifiez les statistiques LLDP par port en entrant la commande suivante :

-> show lldp statistics
----------+--------------------------------------+---------------------+----------
3
| LLDPDU | TLV | Device

Slot/Port | Tx Rx Errors Discards | Unknown Discards | Ageouts
----------+--------+----------+----------+----------+----------+----------+-------
1/11 52 0 0 0 0 0 0
- Pour vérifier les informations du système distant, utilisez la commande suivante :

Remote LLDP Agents on Local Slot/Port: 1/11,

Chassis ID Subtype = 4 (MAC Address),
Chassis ID = 00:d0:95:e9:c9:2e,
Port ID Subtype = 7 (Locally assigned),
Port ID = 2048,
Port Description = (null),
System Name = (null),
System Description = (null),
Capabilities Supported = none supported,
Capabilities Enabled = none enabled,
Notez le résultat de cette commande.
- Pour afficher les informations du système local, entrez la commande suivante :

-> show lldp local-system
Local LLDP Agent System Data:
Chassis ID Subtype = 4 (MAC Address),
Chassis ID = 00:d0:95:e9:c9:2e,
System Name = vxTarget,
System Description = Alcatel-Lucent 6450 10 PORT COPPER GE 6.6.3.177.
R01 Development, February 10, 2012.,
Capabilities Supported = Bridge, Router,
Capabilities Enabled = Bridge, Router,
LLDPDU Transmit Interval = 30 seconds,
TTL Hold Multiplier = 4,
LLDPDU Transmit Delay = 2 seconds,
Reinitialization Delay = 2 seconds,
MIB Notification Interval = 5 seconds
Fast Start Count = 3,
Management Address Type = 1 (IPv4),
Management IP Address = 10.255.13.44,
- Les commandes ci-dessous spécifient le commutateur qui contrôlera les TLV de gestion par port à intégrer
dans les LLDPDU. Elles permettront d'obtenir des informations supplémentaires, telles que la description
du système, le nom, les capacités et l'adresse IP de gestion des équipements voisins.
- Entrez les commandes suivantes sur les deux commutateurs :
-> lldp 1/11 tlv management system-name enable
-> lldp 1/11 tlv management system-description enable
-> lldp 1/11 tlv management system-capabilities enable
-> lldp 1/11 tlv management management-address enable
- Pour afficher les informations du système distant, entrez la commande suivante sur le commutateur
distant :
Remote LLDP nearest-bridge Agents on Local Port 1/11:
Chassis e8:e7:32:56:46:f8, Port 1009:

Remote ID = 1,
Chassis Subtype = 4 (MAC Address),
Port Subtype = 7 (Locally assigned),
Port Description = Alcatel-Lucent 1/11,
4
System Name = switch14,

System Description = Alcatel-Lucent 6450 10 PORT COPPER GE POE 6.6.3.413.R01 Service
Release, August 16, 2012.,
Capabilities Supported = Bridge Router Network address,
Capabilities Enabled = Bridge Router Network address,
Management IP Address = 10.255.13.44
Comparez le résultat de cette commande avec celui de la même commande saisie auparavant.
- Pour afficher les informations de configuration LLDP générale des ports LLDP, entrez la commande
suivante :
-> show lldp config
----------+-------------------------------------------+-----------------+-------
| Admin | Notify | Std TLV | Mgmt | 802.1 | 802.3| MED
Slot/Port | Status | Trap | Mask | Address | TLV | Mask | Mask
----------+----------+----------+----------+----------+----------+------+------
1/11 Rx + Tx Disabled 0x00 Enabled Disabled 0x00 0x00
OmniSwitch 6250/6400/6450/6850E/6855
Stacking
Objectifs du module
 Le design d'un stacking de commutateurs
OS6400, OS6450, 6855/6850E et 6250
 Description d’un stacking de commutateurs
OmniSwitch 6400, 6450, 6855/6850E et 6250
AOS
OmniSwitch 6250/6400/6450/6850E
Stacking
OmniSwitch 6250/6400/6450/6850E – Empilement (Stacking)
 Tous les modèles d'une même famille sont empilables

 Uniquement 6250 ou 6400 ou 6450 ou 6850E Gestion
distribuée
Boucle de
pile
ou 6855-U24X et résiliente 20G full
duplex
 2 liaisons de stacking dédiées sur Commutation
continue
chaque modèle intelligente
 Jusqu'à 2 ou 8 châssis dans une pile

 384 ports Gigabits Retour
arrière
 16 ports 10 Gig code/config
 Les modèles PoE et non-PoE peuvent
être combinés 802.3ad
802.1w
Composants
OSPF
remplaçables ECMP
 Châssis virtuel, IP unique pour la gestion à chaud VRRP
 Modules principal, secondaire, inactif et pass-through dans la pile

 Chaque module de la pile peut agir comme module principal
 Les ID des modules de la pile sont définis à l'aide de la CLI et affichés sur
le panneau -> more boot.slot.cfg
boot slot 1
Stacking de commutateurs OmniSwitch
 OS6250 - Modèle d'entreprise
 2 liaisons de stacking 2,5 Gb dédiées sur chaque
 OmniSwitch 6400/6850E
modèle  2 liaisons de stacking 10 Gb dédiées
 Jusqu'à 8 châssis dans une pile  Jusqu'à 8 châssis dans une pile
 384 ports Fast Ethernet et 32 Gb dans un espace de 8U  384 ports GigE
 PoE et non-PoE  16 ports 10 GigE
 Châssis virtuel, IP unique pour la gestion  Les modèles PoE et non-PoE peuvent être combinés
 Éléments principal, secondaire, inactif et pass-
 Les ID des modules de la pile sont définis à l'aide
through dans la pile
de la CLI et affichés sur le panneau
 Numéro d'élément de pile identifié par les LED des
ports en appuyant sur PB
 Chaque module de la pile peut agir comme module
principal
 ALU fourni les câbles HDMI nécessaires au stacking
 OmniSwitch 6450
 2 liaisons de stacking 5 Gb dédiées sur 6450-10
 2 unités maximum dans une pile de 6450-10
Stacking
 2 liaisons de stacking 10 Gb dédiées sur les
commutateurs 6450-24/48/U24
5G Full Duplex  Jusqu'à 8 unités dans une pile de 6450-24/48/U24
Stacking de commutateurs OmniSwitch 6855
 Deux ports SFP+ 10 G, situés à l'arrière de -> interfaces 1/25 mode stacking
l'unité, peuvent être utilisés pour le stacking WED Nov 04 09:08:29 : HSM-CHASSIS (101) info message:
ou les uplinks +++ Ni 1 Port 25,26 are set to stackable for next boot:OK
 OmniSwitch 6855-U24X UNIQUEMENT !

 Ne peut pas être combiné à un autre modèle, quel
qu'il soit
 Stacking OS6855-U24X SFP+ 10G

 Jusqu'à 4 unités dans une configuration de pile avec
boucle
 Stacking par le biais de câbles en cuivre SFP+ fixés
en direct :
 iSFP-10G-C30CM  30 cm
 iSFP-10G-C3M  3m
 iSFP-10G-C10M,  10m
 Deux ports de stacking 10G
 Prise en charge d'une distance allant jusqu'à 10 km
entre deux unités d'une pile et jusqu'à 40 km pour Ports de stacking SFP+/
4 unités dans une configuration de pile avec uplinks
boucle : Deux ports SFP+ 10G
 iSFP-10G-SR SFP+ : jusqu'à 300 m
 iSFP-10G-LR SFP+ : jusqu'à 10 km
Câble en cuivre SFP+

fixé en direct
OmniSwitch 6250/6400/6450/6850E
Méthodes de stacking
 Pile de huit commutateurs en stacking  Pile de huit commutateurs en stacking
croisé (*) droit (*)
 Port de stacking A sur port de stacking B  Port de stacking A sur port de stacking A
 Connexion redondante du câble de stacking entre le  Port de stacking B sur port de stacking B
commutateur supérieur et le commutateur  Connexion redondante du câble de stacking entre
inférieur le commutateur supérieur et le commutateur
 Nécessaire pour une redondance effective à travers inférieur
la pile  Nécessaire pour une redondance effective à travers
la pile
OmniSwitch
Rôles des CMM dans une pile
 Dans un châssis virtuel, un commutateur peut assumer 4 rôles différents.
Si un commutateur assume le rôle suivant :
 Principal
 Le CMM principal prend en charge toutes les fonctions du châssis (gestion, mise à niveau du Firmware, SNMP,
diagnostic du commutateur, retour arrière...) et agit comme contrôleur « principal » de la pile.
 Secondaire
 Le CMM secondaire est le CMM de secours de la pile. Il est prêt à assumer le rôle de CMM principal si le commutateur
principal se déconnecte ou est défaillant.
 Inactif (Idle)
 Le CMM inactif est considéré comme une NI (Network Interface) dans un châssis.
 Ce commutateur est prêt à assumer le rôle de CMM secondaire en cas de perte du commutateur principal.
 Pass-through
 En cas de duplication du Slot-Id, le rôle Pass-through est attribué au commutateur démarré en second.
 Ce commutateur ne fait pas partie de la pile, mais il ne bloque pas le trafic qui le traverse
(pas d'interruption de la pile).
 Son Slot-Id doit être redéfini, et le CMM doit être redémarré pour devenir « Idle ».
 Le processus « Stack Manager » (présent sur tous les CMM) est le premier à
être lancé pour définir le rôle des CMM lors du démarrage d'une pile.
Stacking OmniSwitch
Configuration des « Slot-Id » (ID d’emplacement)
 Un commutateur utilise un Slot-Id unique dans la pile virtuelle. Ce Slot-Id peut
être :
 Attribué dynamiquement en l'absence du fichier « boot.slot.cfg » (ou en cas de
conception clé en main).
 Tous les commutateurs sont interconnectés et démarrent dans un délai de 15 s (méthode @

MAC).
 Le commutateur ayant l'adresse MAC la plus basse reçoit le Slot-Id 1 et le rôle de CMM principal.
 Le commutateur connecté au commutateur principal sur le port A de la pile reçoit le Slot-Id 2 et devient le CMM secondaire.
 Le commutateur connecté au commutateur secondaire sur le port A de la pile reçoit le Slot-Id 3 et devient un CMM « Idle » et...
 Les commutateurs sont interconnectés, mais un délai de 15 s s'écoule entre chaque démarrage
de commutateur (méthode du temps de disponibilité du châssis)
 Le premier commutateur démarré reçoit le Slot-Id 1 et le rôle de CMM principal.

 Le deuxième commutateur démarré (mais connecté au commutateur principal) reçoit le Slot-Id 2 et devient le CMM secondaire.
 Le troisième commutateur démarré, connecté à l'un des précédents, reçoit le Slot-Id 3 et devient un CMM « Idle »...
 Lorsqu'ils sont attribués manuellement, les Slot-Id sont gérés commutateur par
commutateur
 Tous les commutateurs démarrent simultanément, le commutateur ayant le Slot-Id 1 devient le
CMM principal...
OmniSwitch
Supervision du stacking
 Contrôle du statut de la pile
show stack topology

Link A Link A Link B Link B
NI Role State Saved Link A Remote Remote Link B Remote Remote
Slot State NI Port State NI Port
----+-----------+--------+------+-------+-------+-------+-------+-------+-------
1 PRIMARY RUNNING 1 UP 1001 StackB UP 1003 StackA
1001 PASS-THRU DUP-SLOT 1 UP 1002 StackB UP 1 StackA
 Dans cet exemple, tous les commutateurs ont démarré simultanément.
Ils ont tous leur Slot-Id défini sur « 1 » dans leur fichier « boot.slot.cfg »
respectif.
 Le premier de la liste possède l'adresse MAC la plus basse et reçoit le rôle de CMM
principal.
 Le commutateur principal attribue « 1001, 1002 et 1003 » aux autres
commutateurs.
 Ce statut peut être vérifié avec la LED d'emplacement située sur le panneau
avant des commutateurs.
 Les chiffres « 1, 2 et 3 » clignotent alors que la LED d'emplacement « 1 » du CMM principal
est allumée de manière fixe.
OmniSwitch
Modification du rôle Pass-through
 Modifiez le rôle Pass-through des commutateurs en changeant leur

Slot-Id avec la commande
 stack set slot <current_slot> saved-slot <new_slot>
 Le nouveau Slot-Id sera stocké dans la mémoire flash et appliqué au prochain

démarrage.
 Il est également possible d'effacer le Slot-Id via la commande

 stack clear slot <slot_number>
 L'emplacement redevient celui de la configuration d'usine par défaut
(fichier vide)
 Au prochain démarrage, le Slot-Id sera attribué automatiquement.
OmniSwitch
Correction du mode Pass-through
 Modifications
-> stack set slot 1001 saved-slot 2 1

1003
 Résultat avant le redémarrage de la pile

show stack topology
----+-----------+--------+------+-------+-------+-------+-------+-------+-------
reload all(1)
Confirm Reload All (Y/N) : Y
OmniSwitch
Redémarrage de la pile ou du CMM
 Réinitialisation de toute la pile en une seule fois (rappelez-vous que la pile
doit être synchronisée !)
 "reload all"
 Au prochain démarrage, le commutateur ayant le Slot-Id le plus bas devient le CMM principal, le
suivant devient le CMM secondaire... Mais les CMM peuvent démarrer depuis le répertoire Certified s'il
existe une différence entre les répertoires Working et Certified
 "reload working no-rollback timeout "

 Au prochain démarrage, le commutateur ayant le Slot-Id le plus bas devient le CMM principal, le
suivant devient le CMM secondaire... Les CMM démarrent depuis le répertoire Working (qu'il soit
différent ou non du répertoire Certified)
 Démarrez la pile manuellement (éteindre/allumer)
 Basculement des rôles principal et secondaire des CMM
 La fonction « takeover » doit être utilisée (sur le CMM principal ou secondaire)

 Le CMM principal se réinitialise et le CMM secondaire devient le CMM principal.
 Le commutateur « Idle » ayant le Slot-Id le plus bas suivant devient le CMM secondaire (même sans
liaison de stacking directe).
 L'ancien CMM principal devient un CMM « Idle ».
 Une synchronisation doit être effectuée avant le « takeover »(3)
 Les fonctions de gestion du commutateur sont maintenues pendant le

basculement.
OmniSwitch
Ajout d'un nouveau commutateur à une pile existante
 Recommandations
 Ne tentez jamais de faire fonctionner plus de huit commutateurs dans une
seule pile.
 Vérifiez que tous les commutateurs utilisent la même version logicielle
 « copy flash-synchro » doit être utilisé
 Évitez de dupliquer les numéros d'emplacement enregistré
 Mécanisme par défaut

 En cas d'ajout d'un commutateur avec un Slot-Id identique à celui d’un autre
CMM de la pile, le CMM principal le détecte automatiquement :
FRI JAN 13 14:05:26 : STACK-MANAGER (27) warning message:
+++ == SM == Duplicate slots: 1 - Remote must relinquish its slot number
FRI JAN 13 14:05:27 : STACK-MANAGER (27) warning message:
+++ == SM == An element(253) enters passthru mode (duplicate slot)
 Modifiez le Slot-Id et redémarrez le commutateur

 « reload pass-through NI-Id »
OmniSwitch
Possibilités de commandes CMM/NI
 Après modifications et redémarrage de la pile

show stack topology
----+-----------+--------+------+-------+-------+-------+-------+-------+-------
2 SECONDARY RUNNING 2 UP 3 StackB UP 1 StackA
3 IDLE RUNNING 3 UP 4 StackB UP 2 StackA
4 IDLE RUNNING 4 UP 1 StackB UP 3 StackA
 La connexion est uniquement autorisée sur le CMM principal (droits

d'accès illimités) et secondaire (aucune configuration autorisée).
 Commandes CLI sur le CMM secondaire

 « takeover »
 « show running directory » (pour afficher le rôle du CMM mais sans informations de
synchronisation de pile)
 « show chassis » (pour afficher les différents commutateurs présents dans la pile)
INFO : This is an IDLE unit and no commands are allowed!

 Il est impossible de se connecter à des commutateurs « Idle » (ou en mode
pass-through)
OmniSwitch
Synchronisation de la pile - Exemple
 Une nouvelle commande de configuration est émise sur le commutateur

principal. Les modifications sont tout d'abord enregistrées dans la RAM
du commutateur principal.
Working Certified
CMM
principal
Config. courante
(Running)
Working Certified CMM

secondaire
Working Certified Commutateur

emplacement 8
OmniSwitch
 -> write-memory
Working Certified
CMM
principal
Config. courante
(Running)

secondaire

emplacement 8
OmniSwitch
 -> copy working certified
Working Certified
CMM
principal
Config. courante
(Running)

secondaire

emplacement 8
OmniSwitch
 -> copy flash-synchro
Working Certified
CMM
principal
Config. courante
(Running)

secondaire

emplacement 8
OmniSwitch
 -> copy flash-synchro – automatic certification
Working Certified
CMM
principal
Config. courante
(Running)
secondaire

emplacement 8
OmniSwitch
 La pile est désormais synchronisée
 -> write memory flash-synchro

Working Certified
CMM
principal
Config. courante
(Running)
secondaire

emplacement 8
OmniSwitch
Architecture du système
 -> show running-directory
Current CMM Slot :A
Certify/Restore Status : : CERTIFIED
 « Flash Between CMMs » indique le statut de la synchronisation entre

les commutateurs
Conservation de l'adresse MAC
(MAC Retention)
Châssis virtuel
Conservation de l'adresse MAC (MAC Retention)
 Conservation de l'adresse MAC

 OmniSwitch 6250/6400/6850E
 Permet au système d'être insensible aux défaillances du CMM principal
 Commutation continue intelligente des éléments de la pile
 Diminution du temps d'interruption des services en cas de défaillance du CMM principal
Principal
Secondaire
X
• Si le module principal de la pile 1 est défaillant (coupure

d'alimentation ou panne matérielle), alors
• Le CMM secondaire devient le nouveau CMM principal
• Il utilise l'adresse MAC de l'ancien CMM principal de la pile
• La conservation de l'adresse MAC de base est acceptable
Châssis virtuel
 Sans conservation de l'adresse MAC
 Services interrompus
 STP Pile de 4 Défaillance du Pile de 3
CMM principal
 Convergence de spanning tree
 LACP 00:D0:95:E6:DD:E4
 Tous les ports LACP sont démontés et Principal
redémarrés
 IP
X
 Des paquets ARP gratuits sont envoyés,
les tables HW mises à jour, Sec. X
le trafic routé entrant est interrompu 00:D0:95:E6:DD:E4
Principal
 Avec conservation de l'adresse MAC
 Le nouveau CMM principal utilise l'adresse Idle
MAC de l'ancien
Sec.
 Configurable par l'utilisateur (désactivé par
défaut).
Idle
 Un trap est envoyé pour avertir
l'administrateur d'un éventuel doublon des Idle
adresses MAC
 L'utilisateur est autorisé à libérer
explicitement l'adresse MAC de base
conservée
Configuration de la CLI
 Activation de la conservation de l'adresse MAC

-> mac-retention status enable
 Activation de la génération d’un trap signalant un doublon d'adresse MAC
-> mac-retention dup-mac-trap enable
 Validation de l'adresse MAC actuellement utilisée comme adresse MAC de

base du CMM principal
-> mac release
-> show mac-retention status

MAC RETENTION STATUS
====================================
Admin State : Enabled
Trap admin state : Enabled
Current MAC address : 00:0a:0b:0c:0d:0e
MAC address source : Retained
Topology Status : Ring present
CHASSIS VIRTUEL (STACKING)
Sommaire
1 Objectif ......................................................................................... 2
2 Informations matérielles et opération ..................................................... 2
3 Equipements/matériel requis ............................................................... 2
4 Commandes utilisées ......................................................................... 2
6 Configuration d’un châssis virtuel de deux OS 6450 ..................................... 3
6.1. Sélection du module de gestion primaire ......................................................... 3
6.2. Configuration du châssis virtuel ..................................................................... 3
6.3. Utilisation de l'adresse MAC du châssis ............................................................ 5
6.4. Utilisation des informations sur le slot enregistré ............................................... 5
6.5. Utilisation du temps de disponibilité du commutateur ......................................... 5
6.6. Collecte d'informations sur le châssis virtuel ..................................................... 6
6.7. Opérations de maintenance .......................................................................... 8
6.8. Synchronisation logicielle ............................................................................ 9
7 Test de résilience ........................................................................... 12
7.1. Perte de câble de stacking ......................................................................... 12
7.2. Perte du CMM principal ............................................................................. 12
8 Suppression de la configuration de la pile ............................................... 13
9 Résumé ....................................................................................... 13
10 Questions ..................................................................................... 13
2
Châssis virtuel (Stacking)
1 Objectif
Ce Lab a pour but de vous familiariser avec le concept de châssis virtuel. En plus de fonctionner comme un
commutateur autonome, les 6450 peuvent également être liés ensemble afin de fonctionner comme un
commutateur unique connu sous le nom de stack. Avec un stack, les utilisateurs peuvent facilement étendre
leur capacité de commutation en ajoutant tout simplement des commutateurs au stack. De plus, les stacks
fournissent une résilience accrue ainsi que des fonctions de redondance.
2 Informations matérielles et opération
Les termes module, commutateur, slot et éléments sont utilisés afin d’identifier un commutateur unique
dans le stack. Les termes Chassis Management Module (CMM) et module de management font référence aux
commutateurs qui ont un rôle primaire ou secondaire dans un stack. Les 6450 ayant un rôle idle dans le stack
servent principalement d’interface réseau additionnel et on y fera référence en tant que Network Interface
(NI).
Notes
Vous ne pouvez pas mélanger des commutateurs OS6450, OS6850 et OS6250 dans la même stack – tous les
commutateurs d’une stack doivent être de la même famille mais peuvent être des modèles différents de la
même famille.
3 Equipements/matériel requis
2 OmniSwitch 6850 ou 6450 ou 6250

1 PC
4 Commandes utilisées
show hardware info, show chassis, show stack topology

Stack set slot, show cmm, show ni, show power supply, show fan, show temperature
Reload primary, reload secondary
OmniSwitch 6850, 6450 and 6250

3
6 Configuration d’un châssis virtuel de deux OS 6450
Exercice sur labo distant

Client 5 Client 6
1/11 1/11
1/1
5 1/12 1/12
6 1/1
5 6 OS 6450P10
À ce stade, ne branchez pas les câbles de stacking sur l'un des deux commutateurs.
Lors de la configuration du câblage de la pile, gardez à l'esprit que, par défaut, le commutateur connecté au
port de stacking A du commutateur principal aura le rôle de module de gestion secondaire.
Pour éviter un passage en mode pass-through suite à un redémarrage, vérifiez que toutes les valeurs de slot
enregistrées pour les deux commutateurs sont uniques.
Avant de commencer cet exercice, supprimez les éventuelles configurations antérieures des commutateurs pour
éviter qu'un exercice précédent n'affecte les résultats. Supprimez également toutes les pré-configurations de
slot en supprimant le fichier /flash/boot.slot.cfg, puis redémarrez le commutateur. Pour l'exercice sur labo
distant, réinitialisez le pod.
6.1. Sélection du module de gestion primaire
Notes : Une pile de commutateurs destinée à servir de châssis virtuel doit être associée à un mécanisme
permettant de sélectionner de manière dynamique le commutateur de la pile qui assumera le rôle de module
de gestion principal. Il existe trois méthodes de sélection du commutateur principal. Ces méthodes sont les
suivantes :
- temps de disponibilité du châssis
- numéro de slot enregistré
- adresse MAC du châssis
6.2. Configuration du châssis virtuel
Le numéro de slot enregistré est celui que le commutateur occupera après un redémarrage. Il est stocké dans le
fichier boot.slot.cfg du commutateur. Au démarrage, le commutateur lit ce fichier pour connaître le numéro de
slot qui lui a été attribué. Il occupe ensuite ce numéro de slot dans la pile.
Si, dans une configuration en pile, les slots de certains commutateurs n'ont pas été pré-configurés, le numéro de
slot de chaque commutateur est attribué dynamiquement par le logiciel système. Les numéros de slot peuvent
également être attribués manuellement par l'utilisateur. Cette méthode est recommandée pour le stacking.
- Sur le commutateur 6450-A, activez la liaison de stacking, définissez le numéro de slot 1, activez le mode
stacking et rechargez le commutateur :
4
6450-A -> interfaces 1/11-12 admin up

6450-A -> write memory
6450-A -> stack set slot 1 saved-slot 1
6450-A -> stack set slot 1 mode stackable reload
- Procédez de la même manière sur le commutateur 6450-B, mais avec le numéro de slot 2 :
6450-B -> interfaces 1/11-12 admin up
6450-B -> write memory
6450-B -> stack set slot 1 saved-slot 2
6450-B -> stack set slot 1 mode stackable reload
- Après le redémarrage et la synchronisation de la pile, vous constaterez que le précédent commutateur

secondaire est devenu le commutateur principal :
OS6450-A -> show stack topology
NI Role StateSaved Link A Remote Remote Link B Remote Remote
----+-----------+--------+------+-------+-------+-------+-------+-------+------
1 PRIMARY RUNNING 1 UP 2 StackA UP 2 StackB
2 SECONDARY RUNNING 2 UP 1 StackA UP 1 StackB
OS6450-A -> show cmm

CMM in slot 1
Model Name: OS6450-10,
Description: CMM,
Part Number: 903005-90,
Hardware Revision: 08,
Serial Number: P0980885,
Manufacture Date: FEB 27 2013,
Firmware Version: n/a,
Power Consumption: 0,
Power Control Checksum: 0x7090,
CPU Model Type : MV88F6281 Rev 2,
MAC Address: e8:e7:32:78:af:ee,
CMM in slot 2
Description: CMM,
Operational Status: SECONDARY,
Power Control Checksum: 0xe489,
MAC Address: e8:e7:32:78:ae:ac,
- Consultez le fichier /flash/boot.slot.cfg de chaque commutateur :

OS6450-A -> ls
Listing Directory /flash:
drw 2048 Sep 21 2012 certified/

-rw 310 Jan 1 01:19 boot.params
drw 2048 Jan 1 01:03 working/
drw 2048 Jan 1 03:17 switch/
-rw 64000 Jan 1 01:21 swlog1.log
5
-rw 64000 Jan 1 01:01 swlog2.log

-rw 12 Jan 1 01:19 boot.slot.cfg
-rw 1010 Jan 1 01:32 base_cfg
-rw 20 Jan 1 03:17 installed
drw 2048 Jan 1 01:03 network/
59912192 bytes free
OS6450-A -> more boot.slot.cfg

boot slot 1
OS6450-B -> more boot.slot.cfg

boot slot 2
6.3. Utilisation de l'adresse MAC du châssis
Par défaut, le rôle de module de gestion principal sera donné au commutateur dont l’adresse MAC est la plus
basse sur le châssis.
Toutefois, pour que cela se produise, tous les commutateurs de la pile doivent être redémarrés à moins de
15 secondes les uns des autres. De plus, aucune information de slot ne doit être pré-configurée sur les
commutateurs de la pile (/flash/boot.slot.cfg). Du fait de ces deux conditions, la méthode de sélection du
module principal par l'adresse MAC se produit généralement avec de nouveaux commutateurs « prêts à
l'emploi ».
6.4. Utilisation des informations sur le slot enregistré
Le numéro de slot enregistré est celui que le commutateur occupera après un redémarrage. Ces informations
sont stockées dans le fichier boot.slot.cfg du commutateur. Au démarrage, le commutateur lit ce fichier pour
connaître le numéro de slot qui lui a été attribué. Il occupe ensuite ce numéro de slot dans la pile.
Si, dans une configuration en pile, les slots de certains commutateurs n'ont pas été pré-configurés, le numéro de
slot de chaque commutateur est attribué dynamiquement par le logiciel système. Les numéros de slot peuvent
également être attribués manuellement par l'utilisateur. Cette méthode est recommandée pour le stacking.
6.5. Utilisation du temps de disponibilité du commutateur
L'utilisateur peut contourner les méthodes utilisant l'adresse MAC et le slot enregistré pour déterminer le module
de gestion principal de la pile. Il doit pour cela contrôler le temps de disponibilité des commutateurs dans la
pile. Si tous les éléments d'une pile sont éteints, l'utilisateur peut forcer un commutateur particulier à devenir le
module principal en allumant ce commutateur et en attendant au moins 15 secondes avant d'en allumer un
autre. Cette méthode peut être utile si l'utilisateur souhaite qu'un commutateur occupant un emplacement
spécifique, par exemple le commutateur le plus haut de la pile, devienne le module principal.
De même que dans la méthode utilisant l'adresse MAC la plus basse, le numéro de slot 1 est attribué
dynamiquement au module de gestion principal lorsque la pile est démarrée.
Notes : Bien qu'il soit recommandé, pour des raisons de facilité de gestion, que les numéros de
slot soient attribués en commençant par le numéro de slot 1, ce procédé n'est pas obligatoire.
En d'autres termes, une pile de quatre commutateurs peut avoir des numéros de slot 3, 4, 5 et
6. Il est toutefois important que chaque élément d'une pile soit associé à un seul et unique
numéro de slot. N'attribuez pas un même numéro de slot à deux éléments d'une pile, auquel
cas un ou plusieurs commutateurs passeront de force en mode pass-through. Il est également
conseillé de configurer les numéros de slot de haut en bas pour faciliter la gestion.
6
6.6. Collecte d'informations sur le châssis virtuel
- Pour obtenir des informations sur des éléments matériels et logiciels du châssis virtuel, entrez les
commandes suivantes :
OS6450-A -> show hardware info
CPU Type : Marvell Feroceon,
Flash Manufacturer : Micron Technology, Inc.,
Flash size : 134217728 bytes (128 MB),
RAM Manufacturer : Nanya Technology,
RAM size : 268435456 bytes (256 MB),
Miniboot Version : 6.6.3.259.R01,
Product ID Register : 07
Hardware Revision Register : 30
FPGA Revision Register : 6
OS6450-A -> show running-directory

Current CMM Slot : 1,
Certify/Restore Status : CERTIFY NEEDED
Stacks Reload on Takeover: ALL STACKs (SW Activation)
OS6450-A -> show stack status

Redundant cable status : present
Tokens used : 2
Tokens available : 30
OS6450-A -> show chassis

Chassis 1
Description: 8 10/100/1000 + 2 Combo + 2 5G STK/UPLINK,
Number Of Resets: 26
Chassis 2
MAC Address: e8:e7:32:78:ae:ac,
OS6450-A -> show ni

Module in slot 1
7

Firmware Version: ,
CPU Model Type : ARM926 (Rev 1),
MAC Address: e8:e7:32:78:af:f0,
ASIC - Physical 1: MV88F6281 Rev 2,
FPGA - Physical 1: 006/00,
UBOOT Version : n/a,
UBOOT-miniboot Version : 6.6.3.259.R01,
POE SW Version : n/a
Module in slot 2
Firmware Version: ,
Power Control Checksum: 0xe489,
CPU Model Type : ARM926 (Rev 1),
MAC Address: e8:e7:32:78:ae:ae,
ASIC - Physical 1: MV88F6281 Rev 2,
FPGA - Physical 1: 006/00,
UBOOT Version : n/a,
UBOOT-miniboot Version : 6.6.3.259.R01,
POE SW Version : n/a
- En utilisant la commande « reload ni <slot> », il est possible de recharger un commutateur spécifique

d’une pile :
OS6450-A -> reload ni 2
TUE JAN 23 21:41:43 : STACK-MANAGER (27) info message:
+++ == SM == Stack Port B Status Changed: DOWN

+++ == SM == Stack Port A Status Changed: DOWN
+++ == SM == NI 2 down notification sent to LAG
TUE JAN 23 21:41:47 : HSM-CHASSIS (101) info message:

+++ T8: Ni(2) extraction detected
+++ === HSM === Power Supply 3 has been REMOVED

+++ == SM == Stack Port A Status Changed: UP
+++ == SM == Stack Port A MAC Frames TX/RX Enabled

+++ == SM == Stack Port B Status Changed: UP
+++ == SM == Stack Port B MAC Frames TX/RX Enabled
+++ Retaining Module Id for slot 2 unit 0 as 1

+++ T8: Ni(2) insertion detected
TUE JAN 23 21:42:46 : CSM-CHASSIS (103) info message:

+++ == CSM == Primary.CMM is to Flash Synchro with slot 2 .
+++ == CSM == ftp in progress, please wait ...

+++ === HSM === Power Supply 3 has been INSERTED
8
TUE JAN 23 21:43:13 : CVM-CHASSIS (104) info message:

+++ == CVM == Synchro Timer set for 720 seconds
TUE JAN 23 21:43:14 : FTP (82) info message:

+++ Session 0 New Connection, Client Address 127.2.66.1
+++ Get /flash/working/boot.cfg!
+++ Session 0 Ending
+++ Get /flash/switch/snmp.engine!

+++ == CSM == File transfer is completed successfully



+++ T8: Ni(2) extraction detected
+++ === HSM === Power Supply 3 has been REMOVED

+++ == SM == Stack Port A Status Changed: UP
+++ == SM == Stack Port A MAC Frames TX/RX Enabled

+++ == SM == Stack Port B Status Changed: UP
+++ == SM == Stack Port B MAC Frames TX/RX Enabled
+++ Retaining Module Id for slot 2 unit 0 as 1

+++ T8: Ni(2) insertion detected

+++ === HSM === Power Supply 3 has been INSERTED

+++ == CSM == Stack 2 AutoCertify process Completed
+++ == CSM == Flash Synchronization process completed successfully
TUE JAN 23 21:45:16 : INTERFACE (6) info message:

+++ NIs are ready
Successfully sent the I2C read message to NISUP!!
6.7. Opérations de maintenance
Sortie du mode pass-through
Un commutateur passe en mode pass-through après avoir tenté de rejoindre une pile et s'être fait refuser le
statut de module principal, secondaire ou inactif. Lorsqu'un commutateur est en mode pass-through, ses ports
Ethernet sont verrouillés (c'est-à-dire qu'ils ne peuvent pas laisser passer le trafic). Ses connexions par câble de
stacking restent toutefois pleinement fonctionnelles et peuvent laisser passer le trafic vers d'autres
commutateurs de la pile. Le mode pass-through offre donc un mécanisme permettant d'empêcher une rupture
du bus de stacking.
La raison la plus courante du passage d'un ou de plusieurs commutateurs en mode pass-through est l'attribution
d'un même numéro de slot à deux éléments de la pile. Pour éviter un passage en mode pass-through, il est donc
utile de noter les numéros de slot déjà attribués aux éléments de la pile. Les numéros de slot attribués sont
stockés dans le fichier boot.slot.cfg du répertoire « /flash » de chaque commutateur.
9
Si la pile est démarrée et qu'un même numéro de slot a été attribué à deux ou plusieurs commutateurs, le
commutateur ayant l'adresse MAC la plus basse est autorisé à s'activer et fonctionne normalement. Dans le
même temps, les commutateurs auxquels le même numéro de slot a été attribué et ayant une adresse MAC plus
élevée s'activent en mode pass-through.
- Changeons un peu notre configuration : modifions le numéro de slot du commutateur se trouvant

actuellement sur le slot 2 pour le configurer sur le slot 1. Depuis le commutateur principal :
OS6450-A -> stack set slot 2 saved-slot 1
OS6450-A -> reload ni 2
- Lorsque le commutateur a fini de démarrer, vérifiez la topologie de la pile depuis le commutateur

principal :
NI Role StateSaved Link A Remote Remote Link B Remote Remote
----+---------+---------+------+-------+-------+-------+-------+-------+------
1 PRIMARY RUNNING 1 UP 1001 StackA UP 1001 StackB
1001 PASS-THRU DUP-SLOT 1 UP 1 StackA UP 1 StackB
OS6450-A -> show cmm

CMM in slot 1
Description: CMM,
- Si nous avions redémarré les deux commutateurs, celui ayant l'adresse MAC la plus basse aurait été le
commutateur principal. Étant donné que nous avons seulement modifié la configuration du slot 2, cela ne
s'est pas produit. Pour que le commutateur en mode pass-through repasse en mode normal, nous devons
modifier à nouveau le numéro de slot et recharger la pile complète :
OS6450-A -> stack set slot 1001 saved-slot 2
OS6450-A -> reload all
Confirm Reload All (Y/N) : y
Vos commutateurs doivent désormais être revenus en mode normal.
6.8. Synchronisation logicielle
La synchronisation entre le commutateur principal et le commutateur secondaire n'est pas automatique.

Synchroniser signifie copier la configuration et les images du système d'exploitation du commutateur principal
sur le commutateur secondaire. Nous allons créer un VLAN 2 pour modifier le statut de la configuration et
procéder à une synchronisation de la configuration certifiée.
OS6450-A -> vlan 2
OS6450-A -> copy running-config working
File /flash/working/boot.cfg replaced.
This file may be overwritten if « takeover » is executed before « certify »
10
OS6450-A -> copy working certified

MON JAN 01 02:48:38 : CSM-CHASSIS (103) info message:
+++ == CSM == CERTIFYing software process started
+++ == CSM == Setting CERTIFY Timeout for 800 seconds
from /flash/working to /flash/certified

Copying boot.cfg .................... completed
+++ == CSM == Stack 1 Certify process Completed

+++ == CSM == CERTIFY process completed successfully

Stacks Reload on Takeover: ALL STACKs (SW Activation)
OS6450-A -> copy flash-synchro

+++ == CSM == CERTIFYing software process started
+++ == CSM == Setting CERTIFY Timeout for 800 seconds

+++ == CSM == CERTIFY process completed successfully
+++ == CSM == Flash Synchronization process started
+++ == CSM == Primary.CMM is to Flash Synchro with slot 2 .
+++ == CSM == ftp in progress, please wait ...
MON JAN 01 02:49:03 : CVM-CHASSIS (104) info message:

+++ == CVM == Synchro Timer set for 720 seconds
MON JAN 01 02:49:04 : FTP (82) info message:

+++ Get /flash/working/boot.cfg!
+++ Get /flash/network/userTable5!
+++ Get /flash/network/lockoutSetting!

+++ Get /flash/network/policy.cfg!
+++ Get /flash/network/ssh_host_dsa_key!
+++ Get /flash/network/ssh_host_dsa_key.pub!

+++ Get /flash/switch/snmp.engine!
+++ Get /flash/switch/pre_banner.txt!
11

+++ Get /flash/switch/avlan/topA.html!
+++ Get /flash/switch/avlan/topB.html!
+++ Get /flash/switch/avlan/bottomA.html!

+++ Get /flash/switch/avlan/bottomB.html!
+++ Get /flash/switch/dhcpClient.db!

+++ == CSM == File transfer is completed successfully
+++ == CSM == Please wait while module 2 performs Certify process ...

+++ == CSM == Flash Synchronization process completed successfully
- Vérifions le nouveau statut de la configuration :

Stacks Reload on Takeover: PRIMARY ONLY
- Pour synchroniser les paramètres date et heure entre le commutateur principal et le commutateur
secondaire, entrez les commandes suivantes :
OS6450-A -> system time-and-date synchro
OS6450-A -> show system
System:
Description:Alcatel-Lucent OS6450-10 6.6.4.177.R01 GA, May 24, 2013.,
Object ID: 1.3.6.1.4.1.6486.800.1.1.2.1.12.1.1,
Up Time: 0 days 0 hours 7 minutes and 17 seconds,
Contact: Alcatel-Lucent, http://alcatel-lucent.com/wps/portal/enterprise,
Name: switch415,
Location: Unknown,
Services: 72,
Date & Time:TUE JAN 23 2001 22:24:10 (UTC)
Flash Space:
Primary CMM:
Available (bytes): 57632768,
Comments : None
12
7 Test de résilience
La resilience du chassis virtuel va être testé dans le cas de la perte d’un câble de stacking et de la perte de
la CMM principale.
7.1. Perte de câble de stacking
Branchez deux PC sur deux commutateurs (NI) différents de la pile et lancez une requête ping entre les deux PC.
Retirez l'un des câbles redondants (non disponible lors d'un exercice sur labo distant). Perdez-vous des pings ?
Vérifiez le statut des deux commutateurs et la topologie de stacking.
7.2. Perte du CMM principal
Lancez une requête ping entre les deux PC branchés sur des commutateurs différents. Réalisez un basculement
commutateur/CMM pendant le ping entre les PC.
- Connectez-vous au commutateur secondaire actuel :
OS6450-A -> takeover
Confirm Takeover (Y/N) :

+++ == CSM == RELOAD other CMM received
->
MON JAN 01 02:56:33 : STACK-MANAGER (27) info message:
MON JAN 01 02:56:34 : STACK-MANAGER (27) info message:

+++ == SM == Primary change reset connection (old 1, new 2, prev 0)

+++ == CSM == SECONDARY received PRIMARY role - TAKEOVER in progress, set secTakeov
+++ [Count.]erInProgress
vrrpIPCSocketHandler: Msg (64.6)
vrrpCsSendTakeoverAck: sending takeover ack....
MON JAN 01 02:56:36 : CCM-CHASSIS (100) info message:

+++ === CCM === csCcmEoicFunc: send CCM_CSM_EOIC OK

+++ == CSM == CMM take-over ongoing
vrrpCsSendTakeoverAck: takeover ack sent: 8 bytes
login : Target Name: vxTarget

+++ == CSM == CMM take-over completed
Successfully sent the I2C read message to NISUP!!
MON JAN 01 02:56:38 : INTERFACE (6) info message:

+++ NIs are ready

NI Role State
Saved Link A Remote Remote Link B Remote Remote
----+-----------+--------+------+-------+-------+-------+-------+-------+-------
1 SECONDARY RUNNING 1 UP 2 StackB UP 2 StackA
->
13
MON JAN 01 02:58:05 : INTERFACE (6) info message:

+++ NIs are ready
Successfully sent the I2C
8 Suppression de la configuration de la pile
Avant de passer aux autres exercices, il est recommandé de supprimer la configuration de la pile.
- Entrez les commandes suivantes sur le commutateur principal :
OS6450-A -> stack set slot 1 standalone
OS6450-A -> stack set slot 2 standalone
OS6450-A -> rm boot.slot.cfg
- Sur le commutateur secondaire, entrez :

OS6450-B -> rm boot.slot.cfg
- Et de nouveau sur le commutateur principal, entrez :

OS6450-A -> reload from working no rollback-timeout
9 Résumé
Ce lab vous a initié au concept de châssis virtuel sur les OmniSwitch.
10 Questions
1) Quelles commandes faut-il utiliser pour effectuer ce qui suit ?

2) Déterminer le numéro de slot du commutateur principal
3) Faire en sorte que le commutateur secondaire prenne les fonctions du commutateur principal
4) Redémarrer le CMM principal uniquement
5) Connaître le rôle assumé par chacun des commutateurs
6) Recharger tous les modules en une seule fois
7) Déterminer quels câbles de stacking sont branchés à quel commutateur
8) Vérifier si un câble de stacking redondant est actuellement branché
Groupes d'agrégation de liens (Link Aggregation

Groups)
Objectifs du module
 Le fonctionnement de l'agrégation de
liens sur des commutateurs basés sur
AOS
 Comment configurer:
 l'agrégation de liens statique High
Availability
 l'agrégation de liens dynamique
 le contrôle de l'équilibrage de charge AOS
Operating
System
Extensive Enhanced
Groupes d'agrégation de liens
 Qu'est-ce que l'agrégation de liens ?

 Méthode d'agrégation (combinaison) de plus de 2 ports/liens de sorte que le
commutateur les considère comme un seul lien logique
 Avantages d'une agrégation de liens
 Évolutivité
 Fiabilité
 Facilité de migration
 Offre un lien agrégé (plusieurs liens physiques combinés en un seul

lien logique)
Le lien logique peut être attribué de manière statique à n'importe quel VLAN
Le protocole 802.1q peut être configuré sur le lien agrégé logique
 Statique (OmniChannel) ou dynamique (IEEE 802.3ad/LACP)
 Nombre maximum de groupes d'agrégation par commutateur

 32 pour un commutateur autonome ou une pile de commutateurs (V6)
 128 pour un commutateur à châssis (V6) et pour des commutateurs V7 et V8
 s'applique à la fois pour l'OmniChannel ET le 802.3ad
 256 ports d'agrégation de liens maximum par commutateur

 2 ports par groupe - 125 groupes d'agrégation de liens maximum
 Nombre de liens par groupe pris en charge : 2, 4 ou 8

 Liens Ethernet 10 Mbits/s, 100 Mbits/s, 1 Gbits/s ou 10 Gbits/s
 Un port ne peut appartenir qu'à un seul agrégat de liens
 Équilibrage de charge basé sur la L2 SA/DA (en bridging) ou la L3 SA/DA

(en routage) par défaut
Statique vs dynamique
 Différence entre statique et dynamique

 Statique
 Les paramètres de port DOIVENT être exactement les mêmes aux deux extrémités et au
sein du groupe
 même vitesse (par ex. tous à 10 Mbits/s, tous à 100 Mbits/s, tous à 1 Gbit/s ou tous à 10 Gbits/s)
 Fonctionne uniquement entre les Alcatel-Lucent OmniSwitch et OmniStack(nouvelle et
dernière génération)
 Dynamique
 IEEE 802.3ad LACP
 Le LACP négociera les paramètres optimaux pour les deux extrémités en utilisant la
LACPDU (Link Aggregation Control Protocol Data Unit).
 La vitesse des ports doit être identique au sein d'un même groupe d'agrégation de liens
 Pour les deux configurations, l'équilibrage de charge est basé sur :

 la L2 SA/DA (en bridging)
 la L3 SA/DA (en routage) avec hachage en mode « court » (brief hashing mode)
 la L3 SA/DA + ports TCP/UDP (en routage) avec hachage en mode « étendu »
(extended hashing mode)
Les ports appartenant à un même groupe d'agrégation ne doivent pas être configurés de manière
séquentielle et peuvent se trouver sur n'importe quelle interface réseau (NI) ou unité dans une pile
Groupe d'agrégation de liens statique
CLI
 Création d'un groupe d’agrégation statique 8 (activé par défaut)

-> static linkagg 8 size 4 name training admin state enable (R6)
-> linkagg static agg 8 size 4 name training admin-state enable (R7/8)
 Ajout de ports à un groupe d'agrégation statique
-> static agg 1/1 agg num 8 (R6) -> linkagg static port 1/1* agg 8 (R7/8)
-> static agg 1/2 agg num 8 -> linkagg static port 1/2 agg 8
-> static agg 1/3 agg num 8 -> linkagg static port 1/3 agg 8
 Suppression de ports d'un groupe d'agrégation statique
-> static agg no 1/3 (R6) -> no linkagg static port 1/3* (R7/8)
*chassis/slot/port pour V8
Groupes d'agrégation de liens dynamique
CLI
 Création d'un groupe d'agrégation de liens dynamique 1

-> lacp linkagg 1 size 4 admin state enable (R6)
-> lacp linkagg 1 actor admin key 2
-> linkagg lacp agg 1 size 4 admin-state enable (R7/8)

-> linkagg lacp agg 1 actor admin-key 2
 Attribution de ports à un groupe d'agrégation de liens dynamique 1

-> lacp agg 1/1 actor admin key 2 (R6) -> linkagg lacp agg 1/1* actor admin-key 2 (R7/8)
-> lacp agg 1/2 actor admin key 2 -> linkagg lacp agg 1/2 actor admin-key 2
 Les groupes d'agrégation de liens statique et dynamique peuvent être

utilisés pour le taggage VLAN (802.1q)
-> vlan 3 802.1q 1 (R6) -> vlan 3 members linkagg 1 tagged (R7/8)
 *chassis/slot/port pour V8
Contrôle
-> show linkagg
Number Aggregate SNMP Id Size Admin State Oper State Att/Sel Ports
------+----------+--------+-----+-------------+------------+-------------
1 Static 40000001 8 ENABLED UP 2 2
2 Dynamic 40000002 4 ENABLED DOWN 0 0
3 Dynamic 40000003 8 ENABLED DOWN 0 2
4 Static 40000005 2 DISABLED DOWN 0 0
-> show linkagg port 2/1
Dynamic Aggregable Port
SNMP Id : 2001,
Slot/Port : 2/1,
Administrative State : ENABLED,
Operational State : DOWN,
Port State : CONFIGURED,
Link State : DOWN,
Selected Agg Number : NONE,
Primary port : UNKNOWN,
LACP
Actor System Priority : 10,
Actor System Id : [00:d0:95:6a:78:3a],
Actor Admin Key : 8,
Actor Oper Key : 8,
Partner Admin System Priority : 20,
Partner Oper System Priority : 20,
Partner Admin System Id : [00:00:00:00:00:00],
Partner Oper System Id : [00:00:00:00:00:00],
Partner Admin Key : 8,
Partner Oper Key : 0,
Attached Agg Id : 0,
Actor Port : 7,
Actor Port Priority : 15,
Partner Admin Port : 0,
Partner Oper Port : 0,
Partner Admin Port Priority : 0,
Partner Oper Port Priority : 0,
Actor Admin State : act1.tim1.agg1.syn0.col0.dis0.def1.exp0,
Actor Oper State : act1.tim1.agg1.syn0.col0.dis0.def1.exp0,
Partner Admin State : act0.tim0.agg1.syn1.col1.dis1.def1.exp0,
Partner Oper State : act0.tim0.agg1.syn0.col1.dis1.def1.exp0
Contrôle de l'équilibrage de charge
Contrôle du hachage (hash control)
 Deux algorithmes de hachage Mode « court »
disponibles Source N° de lien
 Mode « court » : Addresse
 Ports UDP/TCP non inclus

 Seules les adresses IP source et les adresses Destination
IP de destination sont prises en compte. Adresse
-> hash-control brief

 Mode « étendu » :
 Ports UDP/TCP à inclure dans l'algorithme de
hachage
 Entraîne un équilibrage de charge plus
efficace
-> hash-control extended [ udp-tcp-port |
no] Mode « étendu »
Source
Addresse
N° de lien
 Modes de hachage par défaut
Plateforme Mode de hachage par défaut
9000/9000E Étendu Port UDP/TCP
6400/6850/6855/6860/ Court Destination

6900/10K Addresse
Équilibrage de charge du trafic multicast sur des groupes
d'agrégation de liens
 Le trafic multicast est, par défaut, transféré via le port principal du

groupe d'agrégation de liens
 Option pour permettre le hachage du trafic non-unicast, ce qui
équilibrera la charge du trafic non-unicast sur tous les ports de
l'agrégation de liens
 Si l'option non-ucast n'est pas activée, l'agrégation de liens équilibrera
uniquement la charge des paquets unicast.
-> hash-control {brief | extended [udp-tcp-port] | load-balance non-ucast {enable | disable}}
-> show hash-control

Hash Mode = brief,
Udp-Tcp-Port = disabled
-> show hash-control non-ucast

Non-ucast Hash Status = Disabled
AGRÉGATION DE LIENS
Sommaire
1 Objectif ......................................................................................... 2
2 Agrégation de liens ........................................................................... 2
3 Equipement/matériel requis ................................................................ 2
6 Suppression de la configuration ............................................................. 2
7 Configuration .................................................................................. 3
7.1. Agrégation statique .................................................................................... 3
7.2. Agrégation dynamique ................................................................................ 6
8 Résumé ......................................................................................... 7
9 Questions ....................................................................................... 7
2
Agrégation de liens
1 Objectif
Ce lab a pour but de vous familiariser avec les liens d’agrégation. Deux OmniSwitch sont nécessaires pour ce
lab; utilisez n’importe quelle combinaison de commutateurs.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER AVEC UN AUTRE GROUPE!
2 Agrégation de liens
L’agrégation de liens permet de combiner plusieurs ports physiques en un port logique afin d’ajouter de la
bande passante ainsi que de la redondance; l’agrégation peut être réalisée statiquement en utilisant
OmniChannel ou dynamiquement en utilisant le protocole IEEE 802.3ad (LACP).
3 Equipement/matériel requis
Deux OmniSwitches de n’importe quel type (OS6900, OS6850, OS6450)
Deux PCs
show linkagg, static linkagg, static agg [slot/port],
show linkagg port, lacp linkagg # size #,
lacp agg [slot/port] actor admin key #
Toutes
6 Suppression de la configuration
Avant de commencer ce lab, supprimez le fichier boot.cfg dans le repertoire Working sur tous les
commutateurs et redémarrez afin que les labs precedents n’influent pas sur le résultat de ce lab (ou
alors, faites un reset du pod sur le le remote lab):
-> rm /working/boot.cfg
3
7 Configuration
Labo distant
A Agrégation de liens A
Client 1 EMP Client 2
EMP
192.168.10.101 192.168.10.102
1/1 2/1 2/1 1/1
2 2/2 2/2 3
192.168.10.1 192.168.10.2 Client 4
Client 3
192.168.10.103
A A 192.168.10.104
1/22 1/22
1/1 1/23 1/23 1/1
4 1/24 1/24
5
192.168.10.3 192.168.10.4
Client 5 192.168.10.5 192.168.10.6 Client 6

192.168.10.105 192.168.10.106
1/1
6
1/11
1/12
1/11
6 1/1
1/12
1/8 1/8
2 3 OS 6900T A A
4 5 OS 6850E
6 6 OS 6450
7.1. Agrégation statique
N’interconnectez pas encore vos commutateurs.
- Définissez un agrégat de liens statique ainsi que sa taille sur les DEUX commutateurs, en entrant :
-> static linkagg 5 size 2 (R6)
-> linkagg static agg 5 size 2 (R7)
Dans cet exemple, 5 représente l’identifiant de l’agrégat et 2 est le nombre maximum de ports
dans l’agrégat.
- Vérifiez ce que vous avez fait jusqu'ici. Notez que l'état est défini sur DOWN.
-> show linkagg
Min
Number Aggregate SNMP Id Size Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+----+------------+--------------+-------------
5 Static 40000005 2 1 ENABLED DOWN 0 0
-> show linkagg 5 (R6)
-> show linkagg agg 5 (R7)
Static Aggregate
SNMP Id : 40000005,
Aggregate Number : 5,
SNMP Descriptor : Omnichannel Aggregate Number 5 ref 40000005 size 2,
Name : ,
4
Admin State : ENABLED,

Aggregate Size : 2,
Aggregate Min-Size : 1,
Number of Selected Ports : 0,
Number of Reserved Ports : 0,
Number of Attached Ports : 0,
Primary Port : NONE
- Ajoutez des ports à votre agrégat en entrant : static agg [slot/port] agg num # (R6) or linkagg static port
[slot/port] agg # (R7),
-> static agg 1/23 agg num 5 (R6)
-> static agg 1/24 agg num 5 (R6)
-> linkagg static port 2/1-2 agg 5 (R7)
Dans cet exemple, les ports 1/23 et 1/24 ont été ajoutés à l’agrégat 5 sur le commutateur 6850
et les ports é/1 et 2/2 ont été ajoutés à l’agrégat 5 sur le commutateur 6900.
- Voyons ce que nous avons accompli. (Notez ces informations pour les comparer aux résultats que vous
obtiendrez lorsque vous connecterez vos commutateurs et répéterez ces étapes.)
-> show linkagg
Min
-------+----------+---------+----+----+------------+--------------+-------------
5 Static 40000005 2 1 ENABLED DOWN 0 2

Static Aggregate
SNMP Id : 40000005,
Name : ,
Aggregate Size : 2,
Primary Port : NONE
-> show linkagg port
Slot/Port Aggregate SNMP Id Status Agg Oper Link Prim Standby

---------+---------+-------+----------+----+----+----+----+-------
1/23 Static 1023 SELECTED 5 DOWN DOWN NO NO
1/24 Static 1024 SELECTED 5 DOWN DOWN NO NO
- Connectez maintenant vos commutateurs via les ports de l'agrégat de liens 5, ou affichez l'interface
correspondante sur le labo distant (dans l'exemple ci-dessus, 1/23 du commutateur 1 au 1/23 du
commutateur 2, et 1/24 du commutateur 1 au 1/24 du commutateur 2.))
- En utilisant les commandes apprises précédemment, comparez les résultats :
-> show linkagg
Min
-------+----------+---------+----+----+------------+--------------+-------------
5 Static 40000005 2 1 ENABLED UP 2 2

Static Aggregate
SNMP Id : 40000005,
5
Name : ,
Operational State : UP,
Aggregate Size : 2,
Primary Port : 1/24

Slot/Port Aggregate SNMP Id Status Agg Oper Link Prim Standby
---------+---------+-------+----------+----+----+----+----+-------
1/23 Static 1023 ATTACHED 5 UP UP NO NO
1/24 Static 1024 ATTACHED 5 UP UP YES NO
- Testez votre configuration à l'aide d'un test ping. En d'autres termes, envoyez une requête ping à tous vos
routeurs et PC depuis la session de la console et depuis chaque PC.
- Pour connaître les capacités de redondance, supprimez un lien et contrôlez les résultats de vos tests ping.
- Nous allons maintenant procéder à un exercice de configuration similaire en utilisant la norme IEEE
802.3ad (LACP). Avant de poursuivre, supprimez le groupe d'agrégation de liens statique que vous avez
créé. Vous pouvez soit réinitialiser votre commutateur sur les valeurs d'usine par défaut, soit supprimer ce
groupe manuellement.
- Notez que vous ne pouvez pas supprimer un groupe d'agrégation de liens si des ports lui sont toujours
associés :
-> no static linkagg 5 (R6)
ERROR: LAERR53 Static aggregate not empty deletion failed
-> no linkagg static agg 5 (R7)
ERROR: Static aggregate not empty deletion failed
-> static agg no slot/port (R6)

-> no linkagg static port slot/port (R7)
-> no static linkagg 5
-> no linkagg static agg 5 (R7)
Vérifiez que les groupes d'agrégation de liens sont supprimés sur les deux commutateurs comme décrit ci-
dessus. Il est inutile de débrancher physiquement les connexions pour passer au prochain exercice de ce cas
pratique.
6
7.2. Agrégation dynamique
- Nous définirons tout d'abord un agrégat de liens dynamique, appelé 5 comme précédemment, avec 2 ports
maximum.
-> lacp linkagg 5 size 2 actor admin key 5 (R6)
-> linkagg lacp agg 5 size 2 actor admin-key 5 (R7)
- Contrairement aux agrégats de liens statiques, pour lesquels les ports sont associés physiquement au
numéro d’agrégat de liens, les ports sont associés à un agrégat de liens dynamique à l'aide de la clé
« actor admin key » (clé admin de l'acteur). Bien que dans l'exemple ci-dessus l'« actor admin key » soit
identique au numéro de l’agrégat de liens, cette similitude n'est pas une obligation étant donné que la clé
admin à une signification locale uniquement.
-> show linkagg
Min
-------+----------+---------+----+----+------------+--------------+-------------
5 Dynamic 40000005 2 1 ENABLED DOWN 0 0
- Notez qu'aucun port n'est associé à l’agrégat. À l'aide de l'« actor admin key » attribuée à l'agrégat de
liens, nous allons maintenant associer les ports :
-> lacp agg slot/port actor admin key 5 (R6)
-> linkagg lacp port slot/port actor admin-key 5 (R7)
-> show linkagg
Min
-------+----------+---------+----+----+------------+--------------+-------------
5 Dynamic 40000005 2 1 ENABLED UP 2 2

Dynamic Aggregate
SNMP Id : 40000005,
SNMP Descriptor : Dynamic Aggregate Number 5 ref 40000005 size 2,
Name : ,
Operational State : UP,
Aggregate Size : 2,
Primary Port : 1/23
LACP
MACAddress : [00:d0:95:e4:2b:60],
Actor System Id : [00:00:00:00:00:00],
Actor System Priority : 0,
Actor Admin Key : 5,
Actor Oper Key : 5,
Partner System Id : [00:00:00:00:00:00],
Partner System Priority : 0,
Partner Admin Key : 0,
Partner Oper Key : 5,
Pre-emption : DISABLED,
Pre-empt Value : 30
- Testez votre configuration à l'aide d'un test ping. En d'autres termes, envoyez une requête ping à tous vos
routeurs et PC depuis la session de la console et depuis chaque PC.
- Pour connaître les capacités de redondance, supprimez un lien (ou affichez les interfaces) et contrôlez les
résultats de vos tests ping.
7
8 Résumé
Ce lab vous a initié à l’agrégation de liens sur les OmniSwitch. L’agrégation de liens vous permet
des grouper plusieurs ports physiques dans un lien logique. Ce lien logique peut être utilisé pour
augmenter la bande passante d’une connexion principale.
9 Questions
1. Quelle commande est utilisée pour ajouter un port 5/10 à un agrégat de liens dynamique 7 ?
2. Quelle commande est utilisée pour consulter l'état d'un agrégat de liens particulier ?
3. Les clés « actor admin key » doivent-elles obligatoirement être identiques aux deux extrémités du lien
physique ?
802.1Q ET AGREGATION DE LIENS
Sommaire
1 Objectif ......................................................................................... 2
2 802.1Q et aggregation de liens .............................................................. 2
6 Supprimer la configuration .................................................................. 2
7 Configuration .................................................................................. 3
7.1. Création d’un VLAN supplémentaire ............................................................... 4
7.2. Agrégation de liens - Dynamique .................................................................... 4
7.3. Configuration 802.1Q.................................................................................. 5
8 Résumé ......................................................................................... 6
9 Questions ....................................................................................... 6
2
802.1Q et agrégation de liens
1 Objectif
Ce lab vous permet de vous familiariser avec le 802.1Q sur des liens d’agrégation. Deux OmniSwitch vont être
utilisés; utilisez n’importe quelle combinaison de switch.
2 802.1Q et agrégation de liens

L’agrégation de liens permet de combiner plusieurs ports physique en un lien logique afin d’améliorer la
bande passante; l’agrégation peut être statique avec l’OmniChannel ou dynamique avec le protocol LACP.
802.1Q permet de transporter plusieurs domaines de broadcast ou VLANs sur le même lien en taggant les
paquets avec le numéro de VLAN qui sera ensuite vérifié sur l’autre switch. Réunir ces deux fonctions créé un
lien agrégé 802.1Q, permettant au traffic de plusieurs VLANs d’être transporté sur un lien agrégé.
Deux OmniSwitches de n’importe quel type (OS6900, OS6850, OS6450)
Deux PCs
show linkagg, static linkagg, static agg [slot/port],
lacp agg [slot/port] actor admin key #, show linkagg,
static linkagg, static agg [slot/port],
lacp agg [slot/port] actor admin key #
Toutes
6 Supprimer la configuration
Avant de commencer le lab, supprimez le fichier boot.cfg du repertoire Working sur tous les commutateurs et
redémarrez afin que les labs precedents n’influent pas sur les resultants de ce lab:
-> rm /working/boot.cfg
3
7 Configuration
Labo distant
A 802.1Q et agrégation de liens A
Client 1 Client 2
EMP EMP
192.168.10.101 192.168.10.102
1/1 2/1 2/1 1/1
2 2/2 2/2 3
192.168.10.1 192.168.10.2
Client 3 Client 4
A
192.168.10.103 192.168.10.104
A
1/22 1/22
1/1 1/23 1/23 1/1
4 1/24 1/24
5
192.168.10.3 192.168.10.4
Client 5 192.168.10.5 192.168.10.6 Client 6

192.168.10.105 192.168.10.106
1/11 1/11
1/1
6 1/12 1/12
6 1/1
1/8 1/8
2 3 OS 6900T A A
4 5 OS 6850E
6 6 OS 6450
- Identifiez vos deux commutateurs. Sur chaque commutateur, créez une interface de routeur virtuel pour
le VLAN 1 avec une adresse IP 192.168.10.X/24, où X représente le numéro du commutateur utilisé :
-> ip interface “int_1” address 192.168.10.X/24 vlan 1
- Activer le port 1/1 sur lequel est branché le client:

-> interface 1/1 admin up (R6)
-> interface 1/1 admin-state enable (R7)
Branchez un PC sur un port VLAN 1 de chaque commutateur. N'oubliez pas de configurer vos PC pour le sous-
réseau VLAN 1, c'est-à-dire de leur attribuer des adresses IP dans le sous-réseau 192.168.10.0/24.
Interconnectez vos commutateurs ou affichez les interfaces correspondantes.
4
7.1. Création d’un VLAN supplémentaire
- Vous devez disposer d'une connectivité au PC de votre voisin avec le VLAN 1. Pour le vérifier, entrez une
commande ping sur le PC. Il s'agit du VLAN bridgé.
- Créez maintenant deux VLAN supplémentaires, le VLAN 11 et le VLAN 12, et attribuez-leur des interfaces
IP. Le VLAN 11 utilisera le sous-réseau 192.168.11.0.24 et le VLAN 12 le sous-réseau 192.168.12.0/24.
Entrez les commandes suivantes sur chaque commutateur : (remplacez X par votre numéro de
commutateur)
-> vlan 11-12
-> ip interface int_11 address 192.168.11.X vlan 11

Total 5 interfaces
--------------------+---------------+---------------+------+-------+--------
int_1 192.168.10.2 255.255.255.0 UP YES vlan 1
int_11 192.168.11.2 255.255.255.0 DOWN NO vlan 11
int_12 192.168.12.2 255.255.255.0 DOWN NO vlan 12
À ce stade, vous devez être en mesure d'envoyer une requête ping aux DEUX interfaces IP VLAN 1 depuis l'un
des PC, mais vous NE pouvez PAS envoyer de requête ping à L'UNE des interfaces VLAN 11 ou VLAN 12.
Pourquoi ?
Vous ne pouvez pas envoyer de requête ping à l'une des interfaces VLAN 11 ou VLAN 12 puisque nous n’avons
pas encore de membres dans ces VLAN. Modifiez le VLAN par défaut du PC 2 pour le définir sur VLAN 11 (ainsi
que la configuration IP du PC 2). Vous devez désormais être en mesure d'envoyer une requête ping à
l'interface IP 192.168.11.2 ainsi qu'à l'interface IP 192.168.10.2.
7.2. Agrégation de liens - Dynamique
Bien que nous puissions utiliser aussi bien un agrégat de liens statique que dynamique, nous utiliserons la
configuration dynamique dans ce cas pratique puisqu'il s'agit du standard de l'industrie.
- Nous définirons tout d'abord un agrégat de liens appelé 5, prenant en charge 2 ports maximum, comme
réalisé précédemment dans l'exercice du cas pratique Agrégation de liens :
-> lacp linkagg 5 size 2 actor admin key 5 (R6)
-> linkagg lacp agg 5 size 2 actor admin-key 5 (R7)
- Vérifiez ce que vous avez fait en saisissant :

-> show linkagg
- Ajoutez ensuite des ports à l'agrégat en utilisant la clé admin 5, en saisissant :

-> lacp agg slot/port actor admin key 5 (R6)
-> linkagg lacp port slot/port actor admin-key 5 (R7)
5
- Vérifiez de nouveau ce que vous avez fait en saisissant :

Slot/Port Aggregate SNMP Id Status Agg Oper Link Prim

-------------------+----------+--------+----------+----+-----+-----+----
2/1 Dynamic 2001 ATTACHED 5 UP UP YES
2/2 Dynamic 2002 ATTACHED 5 UP UP NO
Nos tests ping doivent être identiques aux précédents étant donné que les VLAN supplémentaires ne sont pas
encore associés à nos ports d'agrégat de liens.
7.3. Configuration 802.1Q
En règle générale, trois liaisons physiques sont nécessaires pour obtenir la connectivité de couche L2 entre
les deux commutateurs pour l'ensemble des trois VLAN. Nous allons cependant configurer le taggage 802.1Q
pour transporter des données provenant des trois VLAN sur un seul groupe d'agrégation de liens.

-> vlan 11-12 802.1q 5 (R6)
-> vlan 11-12 members linkagg 5 tagged (R7)

port type status
---------+---------+--------------

port type status
---------+---------+--------------
- Vous constatez que le groupe d'agrégation de liens transporte des données tagguées des VLAN 11 et 12.
Vous disposez désormais d’une connectivité totale entre le PC et n'importe quel autre PC et toutes les
interfaces de routeur.
- Voyez ce qu'il se passe si vous modifiez l'adresse IP de votre PC et la déplacez vers le VLAN 11 ou 12, et si
vous envoyez une requête ping à toutes les interfaces IP. Avant d'effectuer cette procédure sur votre
commutateur, n'oubliez pas de déplacer le port auquel votre PC est connecté dans le VLAN approprié.
6
8 Résumé
Ce lab vous a initié à l’agrégation de liens sur les OmniSwitch. L’agrégation de liens vous permet
des grouper plusieurs ports physiques dans un lien logique. Ce lien logique peut être utilisé pour
augmenter la bande passante d’une connexion principale.
9 Questions
1. Quelle commande est utilisée pour ajouter un port 5/10 à un groupe d'agrégation de liens
dynamique 7 ?
2. Quelle commande est utilisée pour consulter l'état d'un agrégat de liens particulier ?
3. Quelle commande est utilisée pour déterminer à quel port un VLAN est associé ?
4. Quelle commande est utilisée pour afficher l'état du 802.1Q ?
5. Qu’est-ce qui caractérise l’application du 802.1Q sur un agrégat de liens ?
6. Lorsque du trafic traverse un agrégat de liens configuré avec le 802.1Q, est-il bridgé ? Routé ? Les
deux ?
Configuration du Spanning Tree sur AOS

Objectifs du module
 La mise en œuvre du Spanning Tree
sur des commutateurs basés sur AOS
 Modes STP
 Protocoles STP
 Comment mettre en œuvre : High
Availability
 les modes 1x1 et FLAT
 les protocoles Spanning Tree AOS
Operating
System
802.1D/802.1w Extensive
Manageability
Enhanced
Security
 le PVST + (Per VLAN Spanning Tree)

STP
 Objectif
 Empêcher la formation de boucles dans le réseau
 Permettre une reconfiguration automatique en cas de modification de la
topologie
 Modes de fonctionnement Spanning Tree pris en charge

 Mode Flat – une instance Spanning Tree par commutateur
 Mode 1x1 (par VLAN) – une instance Spanning Tree par VLAN
 Protocoles Spanning Tree pris en charge

 Algorithme et protocole STP (Spanning Tree Protocol) standard 802.1D
 Algorithme et protocole RSTP (Rapid Spanning Tree Protocol) 802.1w
 Protocole MSTP (Multiple Spanning Tree Protocol) 802.1Q 2005
 Protocole RRSTP (Ring Rapid Spanning Tree Protocol)
IEEE 802.1w et mode 1x1 par défaut

STP
Empêche la formation de boucles dans le réseau
X X
Liaison active
Liaison en veille
Spanning Tree
Paramètres
 Contrôle des paramètres STP

 Mode
 Protocole
 ID de pont/ priorité (Bridge ID)
 Coût de chemin
Spanning Tree
Modes
 Modes
 Mode Flat – une instance Spanning Tree par commutateur
 Mode 1x1 – une instance Spanning Tree par VLAN (par défaut)
Mode 1x1 par défaut

Spanning Tree
Modes
 Utilisez ces commandes pour sélectionner le mode Flat ou 1X1
-> bridge mode {flat | 1x1} (R6)

-> spantree mode {flat | per-vlan} (R7/8)
 Pour connaître le mode du commutateur, utilisez la commande « show

spantree mode ».
-> show spantree mode

Spanning Tree Global Parameters
Current Running Mode : 1x1,
Current Protocol : N/A (Per VLAN),
Path Cost Mode : AUTO,
Auto Vlan Containment : N/A
Spanning Tree
Mode Flat
 Une instance STP pour le commutateur entier

 Les états du port sont déterminés via les VLAN
 Les connexions multiples entre des commutateurs sont considérées comme des
chemins redondants, même si elles sont configurées dans différents VLAN.
 Les paramètres STP sont configurés pour le VLAN 1.
 Les ports fixes (non taggués) et taggués 802.1Q sont pris en charge dans chaque
VLAN.
 BPDU toujours non tagguée
 Lorsque vous passez du mode Spanning Tree 1x1 au mode Flat, les ports conservent
leurs associations aux VLAN, mais sont inclus dans une instance Spanning Tree unique
qui couvre tous les VLAN.
vlan1 vlan1
vlan2 X vlan2
vlan3 X vlan3
Spanning Tree
Mode 1X1
 Une instance STP unique est activée pour chaque VLAN configuré sur le
commutateur.
 Chaque instance STP possède une topologie Spanning Tree

indépendante des autres instances Spanning Tree.
 Fournit plusieurs chemins de transfert pour le trafic de données
 Active la répartition de charge
 Instances maximales de VLAN par commutateur :

 V6 = 252
 V7 = 128
 V8 = 100
Spanning Tree
Mode 1X1
 Activé par défaut
 L'état des ports n'est pas déterminé VLAN par VLAN
 L’instance STP d’un port fixe s’applique au niveau du VLAN par défaut du port
 Les ports taggués 802.1Q sont inclus dans une instance STP 802.1Q qui permet au
STP de s'étendre sur des VLAN taggués.
 Si un VLAN contient à la fois des ports fixes et taggués
 Un hybride des deux instances Spanning Tree (unique et 802.1Q) est appliqué.
 Si un VLAN apparaît comme un tag sur un port, les unités BPDU de ce VLAN sont également
tagguées.
 Si un VLAN apparaît comme le VLAN configuré par défaut pour le port, les unités BPDU ne
sont pas tagguées et une instance Spanning Tree unique s'applique.
vlan1 vlan1
vlan2 vlan2
vlan3 vlan3
Spanning Tree
Protocoles
 Protocoles
 Algorithme et protocole Spanning Tree (STP) standard 802.1D
 Algorithme et protocole Rapid Spanning Tree (RSTP) 802.1w (par défaut)
 MSTP (Multiple Spanning Tree Protocol) 802.1s
 Protocole RRSTP (Ring Rapid Spanning Tree Protocol)
-> bridge protocol stp / rstp /mstp (R6)

-> bridge 1x1 vid protocol stp / rstp
-> spantree protocol stp/ rstp / mstp (R7/8)

-> spantree vlan vid protocol stp /rstp
Protocole Spanning Tree
IEEE 802.1D
 Défini dans la norme IEEE 802.1d comme un protocole qui détecte et empêche la
formation de boucles dans un réseau
 Entre 2 LAN logiques
 1 seul chemin en mode Forwarding
 Les autres chemins en mode Blocking
 Le STP permet une reprise après défaillance d’un pont en passant les interfaces bloquées à
un état Forwarding si une liaison primaire échoue
 Fonctionnement :
 Les BPDU sont échangées entres les commutateurs/ponts
 Sélection du Root Bridge (pont racine) basée sur
 La priorité numérique du pont la plus basse (0 à 65535)
 Si la priorité est identique, utilisation de l'adresse MAC la plus basse
 Rôles des ports
 Root Port (port racine) et Designated Ports (ports désignés)
 La BPDU ayant la valeur la plus basse (ID de pont, coût de chemin et/ou MAC du port) désignera
le Root Port
 Les autres ports seront désignés comme des ports Designated ou Disabled (désactivés)
 Un arbre logique sera ensuite créé, avec le Root Bridge au sommet de l'arbre (arbre inversé)
 Les modifications physiques du réseau forcent un nouveau calcul du Spanning Tree
Protocole Spanning Tree 802.1D
Choix du Root Bridge et états des ports
 Désignation du Root Bridge basée sur :

 ID de Root Bridge le plus bas
 Root Path Cost vers le Root Bridge le
plus bas
 ID de Sender Bridge (pont d’envoi) le
plus bas
 ID de Sender Port (port d‘envoi) le plus
bas
X  5 états de port
Disabled (désactivé)
Blocking (blocage)
20 sec
État opérationnel État du port STP Port actif ?
Activé Blocking Non
Listening (écoute)
15 sec
Activé Listening Non
Activé Learning Oui Learning
Activé Forwarding Oui (apprentissage) 15 sec
Désactivé Disabled Non
Forwarding // Blocking
Spanning Tree Protocol
IEEE 802.1D
-> bridge 1x1 vid protocol stp

-> spantree vlan vid protocol stp
 Identification du protocole STP utilisé
-> show spantree
Spanning Tree Path Cost Mode : AUTO

Vlan STP Status Protocol Priority
-----+----------+--------+--------------
1 ON STP 32768 (0x8000)
3 ON RSTP 32768 (0x8000)
11 ON RSTP 32768 (0x8000)
12 ON RSTP 32768 (0x8000)
13 ON STP 32768 (0x8000)
IEEE 802.1D
 Affichage des paramètres Spanning Tree pour une instance VLAN donnée
-> show spantree 1 (R6)
-> show spantree vlan 1 (R7/8)
Spanning Tree Parameters
Spanning Tree Status : ON,
Protocole : IEEE STP,
mode : FLAT (Single STP),
Auto-Vlan-Containment: Activé,
Priorité : 32768 (0x8000),
Bridge ID : 8000-00:d0:95:fc:a2:ea,
Racine désignée : 8000-00:12:cf:5e:21:70,
Cost to Root Bridge : 19,
Port racine : Slot 1 Interface 12,
Next Best Root Cost : 19,
Next Best Root Port : Slot 1 Interface 18,
TxHoldCount : 3,
Topology Changes : 5,
Topology age : 00:00:06,
Current Parameters (seconds)
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Parameters system uses when attempting to become root
System Max Age = 20,
System Forward Delay = 15,
System Hello Time = 2
Rapid Spanning Tree Protocol
IEEE 802.1w
 RSTP - Rapid Spanning Tree Protocol

 Défini dans la norme IEEE 802.1w comme un protocole permettant au STP de
refaire converger le réseau en moins d'une seconde après la défaillance
d'une des liaisons
 Temps de convergence plus rapide

 Avec la norme IEEE 802.1w, les ports ne passent plus en mode Blocking mais
en mode veille.
 Si un port Forwarding tombe en panne (via la détection de la couche de
liaison de données), le port en veille reprend immédiatement le rôle
 Interopère avec la norme IEEE 802.1D

 Le RSTP calcule la topologie finale en utilisant exactement les mêmes
critères que l'IEEE 802.1d
IEEE 802.1w
 Temps de convergence plus rapide
 Les états de l'IEEE 802.1d (Disabled, Blocking

Blocking et Listening) ont été
fusionnés en un état Discarding
< 1 sec
802.1w unique
Forwarding
 3 états de port
Disabled (désactivé) État opérationnel État du port Port actif ?
RSTP
Blocking (blocage) Activé Learning Oui
Activé Forwarding Oui

Learning
(apprentissage)
Désactivé Discarding Non
Forwarding // Discarding
802.1w
 Rôles des ports

 Root Port (port racine) - Fournit le meilleur chemin (coût le plus bas) vers le
commutateur racine.
 Designated Port (port désigné) - Connecte le LAN au bridge désigné. Ce

bridge fournit le LAN avec le chemin le plus court vers la racine.
 Alternate Port (port alternatif) - Offre un autre chemin vers le Root Bridge
en cas de panne du Root Port sur son propre bridge.
 Backup Port (port de secours) - Fournit une connexion de secours pour le

Designated Port. Un port de secours ne peut exister qu’en présence de
connexions redondantes de Designated ports sur le LAN.
 Disabled Port (port désactivé) - Le port n'est pas opérationnel.

IEEE 802.1w
-> bridge 1x1 vid protocol rstp (R6)

-> spantree vlan vid protocol rstp (R7/8)
 Paramètres Spanning Tree
-> show spantree

Spanning Tree Path Cost Mode : AUTO
Vlan STP Status Protocol Priority
-----+----------+--------+--------------
1 ON STP 32768 (0x8000)
3 ON RSTP 32768 (0x8000)
11 ON RSTP 32768 (0x8000)
12 ON RSTP 32768 (0x8000)
13 ON STP 32768 (0x8000)
IEEE 802.1w
 Paramètres Spanning Tree pour une instance VLAN donnée
-> show spantree vlan 1 (R7/8)
Spanning Tree Parameters for Vlan 1
Protocol : IEEE Rapid STP,
mode : 1X1 (1 STP per Vlan),
Priority : 32768 (0x8000),
Bridge ID : 8000-00:d0:95:fc:a2:ea,
Designated Root : 8000-00:d0:95:fc:a2:ea,
Root Port : None,
Next Best Root Port : None,
TxHoldCount : 3,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
IEEE 802.1w
 Informations sur le port Spanning Tree
-> show spantree ports [forwarding | blocking | active | configured]
-> show spantree ports

Vlan Port Oper Status Path Cost Role
-----+-----+------------+---------+-------
1 1/12 DIS 0 DIS
1 1/18 DIS 0 DIS
11 1/2 DIS 0 DIS
12 1/8 DIS 0 DIS
13 1/14 DIS 0 DIS
14 1/20 DIS 0 DIS
100 1/6 DIS 0 DIS
151 1/1 DIS 0 DIS
152 1/7 BLK 4 BACK
153 1/13 DIS 0 DIS
154 1/19 DIS 0 DIS
171 1/3 FORW 4 DESG
172 1/9 DIS 0 DIS
STP
ID de bridge, priorité et coût de chemin
 Sélection du Root Bridge basée sur :

 ID de Root Bridge le plus bas
 Root Path Cost vers le Priorité du port : (0–>15)
Numéro le plus bas =
Root Bridge le plus bas priorité la plus haute
 ID de Sender Bridge le plus bas Par défaut : 7
 ID de Sender Port le plus bas
-> bridge instance {slot/port | logical_port} priority priority

-> spantree vlan instance {port slot/port | linkagg linkagg_id} priority priority
-> bridge instance {slot/port | logical_port} path cost path_cost

-> spantree vlan instance {port slot/port | linkagg linkagg_id} path-cost path_cost
Coût de chemin 0 -> 65535 pour 16 bits

0 –> 200000000 pour 32 bits
Par défaut : 0
IEEE 802.1s
PPC (Port Path Cost) par défaut
 PPC (Port Path Cost) 16 bits  PPC (Port Path Cost) 32 bits
 Par défaut sur les commutateurs AOS
If path_cost=0 If path_cost=0
Vitesse de Valeur IEEE recom. - 16 bits Vitesse de Valeur IEEE recom. - 32 bits
la liaison la liaison
10 Mbits/s 100 10 Mbits/s 2,000,000
100 Mbits/s 19 100 Mbits/s 200,000
1 Gbit/s 4 1 Gbit/s 20,000
10 Gbits/s 2 10 Gbits/s 2,000
 Configuration du mode de coût de  Configuration du mode de coût de

chemin de manière à toujours chemin de manière à toujours
utiliser un PPC 16 bits lorsque le utiliser un PPC 32 bits quel que soit
protocole STP/RSTP est actif le protocole actif
->bridge path cost mode auto ->bridge path cost mode 32bit
->spantree path-cost-mode auto ->spantree path-cost-mode 32bit
Per VLAN Spanning tree
PVST+
PVST+ PVST+
 Propriétaire Cisco
 Permet l'interopérabilité des commutateurs Cisco
 OmniSwitch et prise en charge du mode PVST+

 BPDU IEEE standard ou BPDU PVST+
 N'importe quel port utilisateur peut détecter une BPDU PVST+ et devenir
automatiquement un port PVST+
 Une fois une BPDU PVST+ reçue, le port enverra et recevra uniquement des
BPDU PVST + pour les VLAN taggués, et des BPDU IEEE pour les VLAN par
défaut
Per VLAN Spanning tree
Configuration du mode PVST+
 Activation du mode PVST+ sur un OmniSwitch (Global)
-> bridge mode 1x1 pvst+ {enable | disable} (R6)

-> spantree pvst+compatibility {enable | disable} (R7/8)
 Activation du mode PVST+ sur un port spécifique

 Les ports doivent être configurés en mode 1X1
-> bridge port {slot/port | agg_num} pvst+ {auto | enable | disable} (R6)
-> spantree pvst+compatibility {port slot/port* | linkagg linkagg_id}
{enable | disable | auto} (R7/8)
*chassis/slot/port pour R8
Par défaut, un port est configuré en mode auto PVST+ sur un OmniSwitch (V6)
Spanning Tree
Valeurs par défaut
Remarques
Remarque : Désactivé par défaut

Arborescence “Spanning Tree”
Sommaire
1 Objectif ......................................................................................... 2
2 Spanning Tree.................................................................................. 2
3 Equipement/Matériel requis ................................................................. 2
6 Configuration .................................................................................. 3
6.1. Configuration STP ...................................................................................... 3
6.2. Spanning Tree mode 1x1 ............................................................................. 6
6.3. Spanning Tree mode Flat ............................................................................. 6
6.4. Convergence Spanning Tree – 802.1d .............................................................. 7
6.5. Convergence Spanning Tree – 802.1w .............................................................. 9
6.6. Multiple Spanning Tree ............................................................................. 10
7 Résumé ....................................................................................... 13
8 Test ........................................................................................... 13
2
1 Objectif
Ce lab est conçu pour vous familiariser avec les options du Spanning Tree Protocol (STP) sur
l’OmniSwitch. Deux OmniSwitch doivent être utilisés pour comprendre ce principe, n’importe
quelle combinaison de commutateur peut fonctionner.
CELA SIGNIFIE QUE VOUS DEVEZ TRAVAILLER EN COORDINATION AVEC UN

AUTRE GROUPE!
2 Spanning Tree
Le Spanning Tree Protocols (STP) est un concept important pour comprendre les réseaux
commutes. Nous allons discuter des différentes configurations STP, incluant le STP simple vs
multiple, le STP rapide et le 802.1s.
3 Equipement/Matériel requis
Deux OmniSwitches de n’importe quel type (OS9xxx, OS6850, OS6450 ou OS6250)
Un PC
show spantree, show spantree <vid> port, show spantree port forward, show spantree port
block, bridge mode, , bridge <vid> mode, vlan stp, bridge msti, bridge cist
Toutes
3
6 Configuration
Labo distant
A A Spanning Tree
EMP EMP Client 2
Client 1
1/1 2/1 2/1
3
1/1
2 2/2 2/2
Client 3 Client 4
A A
1/22 1/22
1/1 1/23 1/23 1/1
4 1/24 1/24
5
Client 5 Client 6
1/11 1/11
1/1
6 1/12 1/12
6 1/1
1/8 1/8
2 3 OS 6900T A A
4 5 OS 6850E
6 6 OS 6450P10
Le Spanning Tree peut être configuré de différentes manières en fonction de la configuration du réseau.
Certaines commandes STP courantes seront présentées dans la première section.
Pour s'assurer que de précédents exercices n'affecteront pas celui-ci, rétablissez les valeurs d'usine par
défaut des commutateurs ou réinitialisez le pod :
6.1. Configuration STP
- Bridgez deux OmniSwitch avec au moins deux câbles. Sur le labo distant, activez les interfaces associées.
Dans les exemples ci-dessous, nous avons utilisé les ports 1/23-24.
-> show spantree vlan 1 (R7)
Priority : 32768 (0x8000),
Bridge ID : 8000-00:e0:b1:6b:31:58,
Designated Root : 8000-00:d0:95:e4:2b:48,
Root Port : Slot 1 Interface 23,
TxHoldCount : 3,
4

Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Vous obtenez les paramètres STP du VLAN 1 configurés. Notez le mode (1X1), qui signifie que chaque VLAN
exécute un STP distinct. Notez également les paramètres Bridge ID et Designated Root. S'ils sont identiques,
votre commutateur est le Root Bridge (bridge racine) du VLAN 1.
Votre commutateur est-il le Root Bridge ?
-
Dans le cas contraire, où se trouve le Root Bridge ?
-
Dans la capture d'écran ci-dessus, ce commutateur n'est pas le Root Bridge. Le Root Bridge, dans cet
exemple, est à un coût de chemin de 4, sur l'emplacement 1 port 23. Puisque nous savons que le Gigabit
Ethernet, par défaut, possède un coût de chemin de 4, nous pouvons en déduire que le Root Bridge est le
voisin en amont de ce port. Si le coût de chemin était de 8, nous aurions pu en déduire que le Root Bridge
était 2 sauts plus loin (en supposant des configurations par défaut) sur le port 1/23.
Notes : Nous pouvons également déduire de la capture ci-dessus que notre STP est
relativement stable, que 12 heures se sont écoulées depuis la dernière modification de la
topologie (Topology Age) et que la topologie n'a été modifiée que 2 fois.
Par défaut, la priorité du bridge est définie sur 32768 (0x8000). Puisque toutes les priorités sont identiques
par défaut, le commutateur ayant l'adresse MAC la plus basse est désigné comme Root Bridge.

Vlan Port Oper Status Path Cost Role Loop Guard Note
-----+------+------------+---------+-------+-----------+---------
1 1/1 DIS 0 DIS DIS
1 1/2 DIS 0 DIS DIS
1 1/3 DIS 0 DIS DIS
1 1/4 DIS 0 DIS DIS
.
.
.
1 1/20 DIS 0 DIS DIS
1 1/23 FORW 4 ROOT DIS
1 1/24 BLK 4 ALT DIS
-> show spantree ports forwarding

-----+------+------------+---------+-------+-----------+---------
-> show spantree ports blocking

5
-----+------+------------+---------+-------+-----------+---------
Les commandes ci-dessus permettent d'afficher le statut et les paramètres de chaque port, ainsi que les ports
en mode Forwarding et ceux en mode Blocking. Si votre commutateur n'est pas le Root Bridge, vous devez
avoir au moins un port en mode Blocking pour empêcher une boucle. Notez également qu'un seul côté de la
ou des liaisons dispose d'un port en mode Blocking, ce qui permet aux voisins de conserver la possibilité
d'initier une modification de la topologie en cas de défaillance.
Qu'est-ce qui détermine le côté de la liaison ayant un port Blocking ?
-
Notez également que des données transitent entre les commutateurs ; il s'agit de l'échange BPDU entre les
commutateurs.
- Affichez les calculs statistiques sur les ports Forwarding (lancez la commande plusieurs fois pour voir
l'incrément du décompte des paquets) :
-> show interfaces 1/23
Slot/Port 1/23 :
Operational Status : up,
Last Time Link Changed : FRI DEC 14 11:09:09 ,
Number of Status Change: 1,
Type : Ethernet,
SFP/XFP : Not Present,
MAC address : 00:e0:b1:6b:31:70,
BandWidth (Megabits) : 1000, Duplex : Full,
Autonegotiation : 1 [ 1000-F 100-F 100-H 10-F 10-H ],
Long Frame Size(Bytes) : 9216,
Rx :
Bytes Received : 122952, Unicast Frames : 11,
Lost Frames : 0, Error Frames : 0,
CRC Error Frames: 0, Alignments Err : 0,
Tx :
Bytes Xmitted : 8900, Unicast Frames : 11,
Lost Frames : 0, Collided Frames: 0,
Error Frames : 0
- Branchez un PC sur chaque commutateur et configurez une interface IP pour le VLAN 1 (remplacez x par
votre numéro de commutateur) :
- Depuis le PC, commencez à envoyer des requêtes ping en continu sur l'interface de routeur du
commutateur voisin :
c:\ ping -t 192.168.10.1
Une fois que votre requête ping a abouti, retirez le branchement permettant le transfert entre les deux
commutateurs. Notez à quelle vitesse le Rapid STP récupère suite à une panne de liaison. Regardez à
nouveau les commandes précédentes.
Notre paramètre « Topology age » est-il différent ?

Le paramètre « Root port » est-il différent ?
Que se passera-t-il si l’on reconnecte le port déconnecté ? (conseil : Rappelez-vous qu'à
chaque modification physique, le STP doit refaire converger le réseau)
6
6.2. Spanning Tree mode 1x1
En utilisant les paramètres de configuration déjà définis, créez un VLAN supplémentaire et déplacez un port
dans ce VLAN. Vous verrez comment le mode 1X1 fonctionne sur un OmniSwitch.
- Entrez les commandes suivantes (sur les deux commutateurs) : (remplacez slot/port par le 2nd port
connectant vos OmniSwitch)
-> vlan 2
-> vlan 2 port default slot/port (R6)
-> vlan 2 members port slot/port untagged (R7)
-> show spantree 2
-> show spantree 2 ports

-----+------+------------+---------+-------+-----------+---------
1 1/1 FORW 4 DESG DIS

-----+------+------------+---------+-------+-----------+---------
Notez que le commutateur exécute un STP différent pour chaque VLAN, en raison d'un mode bridge défini sur
1X1, ou d'un STP différent pour chaque VLAN. Même s'il existe deux connexions physiques entre les
commutateurs, la connexion n'est jamais interrompue étant donné que chacun est dans un domaine VLAN et
STP différent. Simultanément à l'exécution de votre précédent test ping, débranchez le câble du port du
VLAN 2 entre les commutateurs. Vous remarquerez que cela n'a aucun effet sur l'état Spanning Tree du
VLAN 1.
Rebranchez le câble et passez à l'étape suivante de l'exercice.
6.3. Spanning Tree mode Flat
L'OmniSwitch peut être lancé en mode Single STP ou en mode Flat. Le mode Flat ignore toutes les
informations VLAN et considère la totalité du commutateur comme un domaine STP unique.

-> bridge mode flat (R6)
-> spantree mode flat (R7)
ERROR: Please use 'show spanntree 1' for flat spanning tree display
Single/Multiple Spanning Tree is enforced !! (flat mode)
INACTIVE Spanning Tree Parameters for Vlan 1
Priority : 32768 (0x8000),
TxHoldCount : 3,
System Max Age (seconds) = 20,
System Forward Delay (seconds) = 15,
System Hello Time (seconds) = 2

Single/Multiple Spanning Tree is enforced !! (flat mode)
INACTIVE Spanning Tree Parameters for Vlan 2
7
Priority : 32768 (0x8000),

TxHoldCount : 3,
System Max Age (seconds) = 20,
System Forward Delay (seconds) = 15,
System Hello Time (seconds) = 2
-> show spantree cist (R7)

Spanning Tree Parameters
Auto-Vlan-Containment: Enabled ,
Priority : 32768 (0x8000),
Bridge ID : 8000-e8:e7:32:81:39:85,
Designated Root : 8000-e8:e7:32:81:39:85,
Root Port : None,
TxHoldCount : 3,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Un message vous indique qu'un STP unique est configuré sur le châssis. Lors d'un fonctionnement en mode
Flat, le commutateur ne permettra des modifications du STP que sur le VLAN 1.

Brdge Port Oper Status Path Cost Role Loop Guard Note
-----+------+------------+---------+-------+-----------+---------

port type status
---------+---------+--------------
1/24 default blocking
Notez que le port du VLAN 2 est en mode Blocking et affiché comme un port bridge 1 même s'il se trouve
dans un VLAN distinct. En mode Flat, il n'existe qu'une seule instance STP, par conséquent, même si les deux
ports sont dans des VLAN différents, le STP les voit comme un seul domaine STP.
6.4. Convergence Spanning Tree – 802.1d
Le protocole Fast STP permet au commutateur de passer en mode Forwarding presque immédiatement en
cas de modification de la topologie STP. Dans la section précédente de ce cas pratique, vous avez
déterminé la vitesse à laquelle la convergence STP se produisait lors de l'exécution du protocole Rapid STP
par défaut. La différence majeure entre les protocoles STP IEEE 802.1d et 802.1w est la vitesse à laquelle la
convergence se produit.
8
- Pour constater cette différence, repassez le STP en mode 1X1 et revenez au protocole STP 802.1d :
-> bridge mode 1x1 (R6)

-> spantree mode per-vlan (R7)
-> bridge 1 protocol stp (R6)
-> spantree vlan 1 protocol stp (R7)

Protocol : IEEE STP,
Priority : 32768 (0x8000),
Bridge ID : 8000-00:d0:95:e4:2b:48,
Root Port : None,
TxHoldCount : 3,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2


Priority : 32768 (0x8000),
Bridge ID : 8000-00:d0:95:e4:2b:48,
Root Port : None,
TxHoldCount : 3,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Notez que le VLAN 1 est associé au protocole STP IEEE 802.1D STP et que le VLAN 2 est associé au protocole
Rapid STP IEEE 802.1w, ce qui prouve que vous pouvez combiner les protocoles sur un même commutateur.
Nous n'avons actuellement aucune boucle dans notre réseau. Ajoutons un port pour chaque VLAN entre les
commutateurs, de sorte à avoir deux ports connectant les commutateurs sur le VLAN 1 et deux ports
connectant le commutateur sur le VLAN 2 (ce qui revient à assigner un VLAN 1 Tag au port qui est par défaut
sur le VLAN 2, et un VLAN 2 Tag au port qui est par défaut sur le VLAN 1). Notez que les requêtes ping
transmises par votre PC se sont interrompues lorsque vous avez ajouté le 2 nd port au VLAN 1. Notez
également le temps qu'il a fallu au port pour reprendre le transfert. Rappel : à chaque modification physique,
le protocole STP doit refaire converger le réseau.
9
- Avant de poursuivre, déterminez quel port est en mode Forwarding et quel port est en mode Blocking sur
le Non-Root Bridge.
Testez maintenant le temps de basculement lors d'un fonctionnement en mode STP 802.1d standard :
- Lancez une requête ping continue depuis les PC.
- Déconnectez le port en mode Forwarding.
- Notez le temps nécessaire à la requête ping pour reprendre. Il doit être d'environ 30 secondes lors de la
reconfiguration du STP 802.1d.
6.5. Convergence Spanning Tree – 802.1w
Le protocole Fast (ou Rapid) Spanning - 802.1w - peut réduire de manière considérable le temps nécessaire
au STP pour faire converger le réseau.
Modifiez le protocole utilisé et effectuez le même test. Rebranchez les deux liaisons physiques du VLAN.
- Entrez/effectuez ce qui suit :

-> bridge 1 protocol rstp (R6)
-> spantree vlan 1 protocol rstp (R7)
Priority : 33000 (0x80E8),
Bridge ID : 80E8-00:d0:95:dd:fa:00,
Designated Root : 8000-00:d0:95:cc:fb:00,
Hold Time : 1,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Notez le protocole actuellement utilisé. Notez également les nouvelles valeurs des paramètres Next Best
Root Cost et Port. Testez le temps de convergence comme dans l'étape précédente :
- Lancez une requête ping depuis les deux PC.
- Déconnectez la connexion Root Port.
- Notez le peu de temps nécessaire à la requête ping pour reprendre. C'est l'un des avantages du protocole
Rapid STP.
10
6.6. Multiple Spanning Tree
L'IEEE 802.1s est une norme IEEE permettant de configurer plusieurs instances STP sur le commutateur. Son
fonctionnement est similaire à celui du mode 1X1, mais elle permet d'attribuer plusieurs VLAN à une seule
instance STP.
Avant de commencer, rétablissez les valeurs d'usine par défaut de vos commutateurs afin qu'aucune action
effectuée précédemment ne modifie les résultats. Si vous ne vous rappelez plus de la procédure à suivre,
demandez de l'aide à votre formateur.
- Entrez les commandes suivantes sur chaque commutateur connecté :

-> bridge mode flat (R6)
-> spantree mode flat (R7)
-> bridge mst region name omni_region (R6)
-> spantree mst region name omni_region (R7)
-> bridge mst region revision level 1 (R6)
-> spantree mst region revision-level 1 (R7)
-> bridge protocol mstp (R6)
-> spantree protocol mstp (R7)
WARNING: Changing to MSTP(802.1s) resets flat bridge priority and path
WARNING: Changing to MSTP(802.1s) resets flat bridge priority and path
-> show spantree cist

Spanning Tree Parameters for Cist
Protocol : IEEE Multiple STP,
Priority : 32768 (0x8000),
Bridge ID : 8000-00:d0:95:dd:fa:00,
CST Designated Root : 8000-00:d0:95:cc:fb:00,
Cost to CST Root : 0,
Next CST Best Cost : 0,
Designated Root : 8000-00:d0:95:cc:fb:00,
Hold Time : 1,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Les commandes ci-dessus permettent de passer le commutateur en mode Flat, de configurer un nom de
région Multiple STP et un niveau de révision, et enfin d'activer le protocole IEEE MSTP. Les modes 1X1 et
MSTP ne peuvent pas être configurés en même temps ; et le commutateur doit être configuré en mode Flat
Spanning Tree.
Notez les valeurs du paramètre Cost to Root Bridge dans l'exemple ci-dessus. Le Multiple STP utilise une
valeur de coût de chemin de 32 bits que l'on peut comparer à la valeur de coût de chemin de 16 bits utilisée
par défaut par les protocoles 802.1d/802.1w.
11
Configuration d’un port physique/ VLAN
Pour utiliser le protocole 802.1s, créez des VLAN 2 à 10 sur les deux commutateurs et tagguez-les en utilisant
une liaison physique unique.
Entrez/effectuez ce qui suit : (remplacez « X » par l'ID VLAN)
- Connectez les OmniSwitch avec une seule liaison physique.
- Créez des VLAN 2 à 10 :

-> vlan 2-10
-> vlan 2-10 802.1q slot/port (V6, utilisez l'emplacement/port avec lequel vous avez interconnecté les
commutateurs)
-> vlan 2-10 members port slot/port tagged (V7, utilisez l'emplacement/port avec lequel vous avez
interconnecté les commutateurs)
- Vérifiez maintenant la manière dont fonctionne le 802.1s avec l'instance Single STP par défaut
uniquement, appelée « Common and Internal Spanning Tree » (CIST) :
-> show spantree cist
Spanning Tree Parameters for Cist
Priority : 32768 (0x8000),
Bridge ID : 8000-00:e0:b1:6b:31:58,
CST Designated Root : 8000-00:d0:95:e4:2b:48,
Cost to CST Root : 0,
Next CST Best Cost : 0,
TxHoldCount : 3,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
-> show spantree cist vlan-map

Spanning Tree Cist Vlan map
-----------------------------
Cist
Name : ,
VLAN list : 1-4094
-> show spantree cist ports
Vous constatez que tous les VLAN appartiennent à l'instance CIST, que l'instance CIST est créée par défaut et
que tous les VLAN du commutateur sont associés par défaut à cette instance.
- Créez maintenant 2 instances STP supplémentaires et associez-leur les VLAN appropriés. Entrez les
commandes suivantes :
-> bridge msti 1 (R6)
-> spantree msti 1 (R7)
-> bridge msti 2 (R6)
-> spantree msti 2 (R7)
-> bridge msti 1 vlan 1-5 (R6)
12
-> spantree msti 1 vlan 1-5 (R7)

-> bridge msti 2 vlan 6-10 (R6)
-> spantree msti 2 vlan 6-10 (R7)
-> show spantree msti vlan-map
Spanning Tree Msti/Cist Vlan map
-----------------------------------
Cist
Name : ,
VLAN list : 11-4094
Msti 1
Name : ,
VLAN list : 1-5
Msti 2
Name : ,
VLAN list : 6-10
Notez que les VLAN 1 à 10 ont été supprimés du CIST et associés à une MSTI (Multiple Spanning Tree Instance)
comme configuré ci-dessus. Vérifiez maintenant le Root Bridge des MSTI.
- Entrez les commandes suivantes : (remplacez slot/port par la connexion physique du commutateur)
-> show spantree mst port 1/24 (the slot/port # interconnecting the switches)
MST Role State Pth Cst Edge Boundary Op Cnx Loop Guard Note Vlans
-----+------+-----+--------+----+--------+------+----------+------+-----
0 DESG FORW 20000 NO NO PTP DIS
1 DESG FORW 20000 NO NO PTP DIS 1-5
2 DESG FORW 20000 NO NO PTP DIS 6-10
-> show spantree msti 1

Notez que les deux MSTI ont le même Root Bridge. L'équilibre des charges peut être obtenu en modifiant la
priorité d'une des MSTI.
- Entrez les commandes suivantes : (Sur le Non-Root Bridge de la MSTI 1).

-> bridge msti 1 priority 4096 (R6)
-> spantree msti 1 priority 4096 (R7)
Spanning Tree Parameters for Msti 1
Priority : 4097 (0x1001),
Bridge ID : 1001-00:e0:b1:6b:31:58,
Designated Root : 1001-00:e0:b1:6b:31:58,
Root Port : None,
TxHoldCount : 3,
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Vous constatez que le commutateur prend le rôle de Root Bridge pour la MSTI 1 et tous les VLAN qui lui sont
associés. Entrez également la valeur de la priorité.
13
Pourquoi n'est-elle pas de 4096 comme nous l'avons configuré ?

-
Rappelez-vous, dans le Multiple Spanning Tree, la priorité de bridge est la valeur attribuée au paramètre
« Bridge Priority » PLUS la valeur de l'instance MSTI. Dans cet exemple, nous avons configuré le MST 1 avec
une priorité de bridge de 4096, la priorité de bridge est donc désormais de 4097 (4096 + 1).
7 Résumé
Ce lab vous a initié aux opérations STP sur un OmniSwitch. Le STP peut être configure en mode
flat ou multiple. Le STP multiple est utile dans un environnement avec de multiples VLANs afin
que chaque VLAN ai sa propre instance STP. Le mode bridge est utilisable pour le 802.1d ou
802.1w pour de meilleurs temps de convergence. Finalement, le 802.1s est utilisé pour autoriser
de multiples instances STP.
8 Test
1. Quel est l'objectif du STP ?
2. Quelle est la différence entre le mode Flat et le mode 1X1 ?
3. Quelle est la différence entre le mode 1X1 et le 802.1s ?
4. À quel moment est-il approprié d'exécuter un Spanning Tree simple sur un commutateur entier ?
5. Quelle est la configuration Spanning Tree par défaut de votre commutateur ? (Entourez les réponses
correctes)
802.1d 802.1w 802.1s

1x1 Flat aucune
Interfaces IP
Objectifs du module
 Vous apprendrez comment configurer les
paramètres IP d'un commutateur
OmniSwitch AOS.
 Interface de routeur IP
 Paramètres facultatifs
 Interface client DHCP
 Interface Loopback0
High
 Relais DHCP Availability
 Multinetting AOS
Operating
System
Extensive Enhanced
INTERFACE DE ROUTEUR IP
Interface VLAN IP - CLI
 Création d'un nouveau VLAN avec un ID VLAN (VID) défini
 La description du nom est facultative
-> vlan vid [enable | disable] [name description] (R6)
-> vlan vid admin-state {enable | disable} name description (R7/8)
 Configuration d'une interface IP

 Activation du routage IP sur un VLAN
 Sans interface IP, le trafic est bridgé au sein du VLAN ou par des connexions au même
VLAN sur d'autres commutateurs
-> ip interface if_name [address ip_address] [mask subnet_mask] [admin [enable | disable]]
[vlan vid] [forward | no forward] [local-proxy-arp | no local-proxy-arp] [eth2 | snap] [primary | no
primary]
 Affiche des informations sur l'interface de routeur IP du VLAN

Interface VLAN IP - CLI
-> ip interface if_name [address ip_address] [mask subnet_mask] [admin [enable | disable]]
[vlan vid] [forward | no forward] [local-proxy-arp | no local-proxy-arp] [eth2 | snap] [primary | no
primary]
Forward (transfert)
L'interface envoie des trames IP à d'autres sous-réseaux
Par défaut
no forward (pas de transfert)

L'interface reçoit uniquement des trames d'autres hôtes du même sous-réseau
Primary (principale)
Défini l'interface IP comme l'interface principale du VLAN
Par défaut, la première interface liée à un VLAN devient l'interface principale de ce VLAN
Interface VLAN IP
Fonction Local-proxy-arp
-> ip interface name [address ip_address] [mask subnet_mask] [admin [enable |
disable]] [vlan vid] [forward | no forward] [local-proxy-arp | no local-proxy-arp]
[eth2 | snap] [primary | no primary]
ARP normal
 Permet à l'administrateur réseau de Ext proxy ARP
configurer la fonction proxy sur le
commutateur
Local Proxy ARP

ARP
Commutateur B
 Fonction activée par VLAN
ARP
Commutateur Commutateur
 Toutes les requêtes ARP reçues A C
sur les ports membres du VLAN
génèrent une réponse incluant
l'adresse MAC du port du routeur IP
virtuel du VLAN.
PC 1 PC 2
192.168.10.101 192.168.10.102
Interface VLAN IP
Fonction Local-proxy-arp
 Commandes de la fonction « Proxy ARP »
-> ip interface name [address ip_address] [mask subnet_mask] [vlan vid]
[local-proxy-arp | no local-proxy-arp]
 Lorsqu'elle est activée, tout le trafic du VLAN est routé

 Les requêtes ARP permettent d'obtenir l'adresse MAC de l'interface de routeur IP
-> show arp

-> show mac-address-table
 Filtrage « Extended Proxy ARP »

 Possibilité de bloquer des adresses IP spécifiques au cours du processus « Extended
Proxy ARP »
-> arp filter ip_address [mask ip_mask] [vid] [sender | target] [allow | block]
-> arp filter 198.0.0.0 mask 255.0.0.0 sender block
-> show arp filter
Interface IP de client DHCP
 Permet aux commutateurs OmniSwitch 6250/6450 de :
 Fonctionner comme un client DHCP sur n'importe quel VLAN configuré
 Obtenir une adresse IP du serveur DHCP
 Créer une interface IP pour ce VLAN dans le commutateur
 Créer une route statique par défaut
-> ip interface dhcp-client [vlan vid] [release | renew] [option-60 string]
• Une seule interface IP de client DHCP

• L'interface peut appartenir à n'importe quel VLAN et n'importe quelle instance VRF

Total 4 interfaces
-------------------+---------------+----------------+------+-------+--------
Loopback0 1.1.1.1 255.255.255.255 UP YES Loopback0
dhcp-client 0.0.0.0 0.0.0.0 UP YES vlan 12
vlan1000 172.25.167.212 255.255.255.224 DOWN NO vlan 1000
Interface IP de client DHCP
-> ip interface dhcp-client vlan 12 ifindex 1
-> show ip interface dhcp-client

Interface Name = dhcp-client
SNMP Interface Index = 13600001,
IP Address = 172.16.12.11,
Subnet Mask = 255.255.255.0,
Broadcast Address = 172.16.12.255,
Device = vlan 12,
Encapsulation = eth2,
Forwarding = enabled,
Administrative State = enabled,
Operational State = up,
Router MAC = 00:e0:b1:80:00:f0,
Local Proxy ARP = disabled,
Maximum Transfer Unit = 1500,
Primary (config/actual) = yes/yes
DHCP-CLIENT Parameter Details
Client Status = Active,
Server IP = 172.16.12.102,
Router Address = 172.16.12.1,
Lease Time Remaining = 0 days 5 hour 58 min 14 sec,
Option-60 = OmniSwitch-OS6850,
HostName = vxTarget
-> show ip route

+ = Equal cost multipath routes
* = BFD Enabled static route
Total 15 routes
Dest Address Subnet Mask Gateway Addr Age Protocol
------------------+-----------------+----------------+----------+-----------
0.0.0.0 0.0.0.0 172.16.12.1 00:00:10 NETMGMT
2.2.2.2 255.255.255.255 2.2.2.2 03:54:09 LOCAL
127.0.0.1 255.255.255.255 127.0.0.1 03:55:13 LOCAL
172.16.12.0 255.255.255.0 172.16.12.11 00:00:10 LOCAL
Interface Loopback0
 Identification d'une adresse cohérente à des fins de gestion de réseau
 Non liée à un VLAN
 Reste toujours active opérationnellement
 Pour identifier une interface Loopback0, entrez Loopback0 comme nom d'interface
-> ip interface Loopback0 address 100.10.1.1
 Création de l'interface annoncée automatiquement par les protocoles RIP et OSPF
(pas par le protocole BGP)
 Utilisation
 RP (Rendez-Vous Point) dans PIMSM
 Adresse IP agent sFlow
 IP source de l'authentification RADIUS
 Client NTP
 Échange de trafic BGP
 ID de routeur OSPF
 Identification du commutateur et des traps depuis une station NMS (c'est-à-dire OmniVista)
Possibilité pour les applications de choisir l'adresse IP de
l'interface/Loopback0
 Les applications pourront choisir l'adresse IP de l'interface source
 N'importe quelle adresse IP d'interface/ loopback
 Pour le VRF en particulier, basé sur une commande spécifique de l'application
ip managed-interface {Loopback0 | interface-name} application [ldap-server] [tacacs]

[radius] [snmp] [sflow] [ntp] [syslog] [dns] [dhcp-server] [telnet] [ftp] [ssh] [tftp] [all]
-> show ip managed-interface

Legend: "-" denotes no explicit configuration
Application Interface-Name
-----------------+------------------------------
tacacs -
sflow -
ntp Loopback0
syslog -
dns -
telnet -
ssh -
tftp -
ldap-server -
radius Loopback0
snmp Loopback0
ftp -
Interface IP par défaut
Mode d'exploitation
Application Configuration par défaut de l'adresse IP source Prise en charge du VRF
Serveur d'authentification AAA
LDAP Loopback0 si configurée, sinon interface de sortie NON
Le serveur ne peut être défini que dans le VRF par défaut
TACACS+ Interface de sortie
RADIUS Loopback0 si configurée, sinon interface de sortie OUI - Peut être configurée avec n'importe quel ID VRF
(configuration disponible uniquement dans le VRF par défaut)
Applications Switch Management

SNMP Loopback0 si configurée, sinon interface de sortie
(inclut les traps)
SFLOW Loopback0 si configurée, sinon IP de sortie
NTP Loopback0 si configurée, sinon interface de sortie NON

Les serveurs/stations ne peuvent être définis que dans le VRF par
SYSLOG Interface de sortie défaut
DNS Interface de sortie

Serveur DHCP Interface de sortie
Accès et utilitaires du commutateur

(les commandes ping et traceroute peuvent spécifier une adresse source en option)
Telnet Interface de sortie OUI - Peut être initiée dans n'importe quel VRF
FTP Interface de sortie NON - Ne peut être initiée que dans le VRF par défaut
SSH Interface de sortie OUI - Peut être initiée dans n'importe quel VRF
Inclut scp sftp
TFTP Interface de sortie NON - Ne peut être initiée que dans le VRF par défaut
Relais DHCP
 Possibilité de transférer des paquets
Serveur Client
DHCP/BootP entre les VLAN DHCP DHCP
 Prise en charge d'une configuration

globale ou par VLAN 120.1.1.1
VLAN 2
 Plusieurs serveurs DHCP

 DHCP global
Relais DHCP
 DHCP par VLAN
-> ip helper address <Server Addr>
LAN
 Plusieurs DHCP par VLAN
-> ip helper address <Server Addr> vlan <id>
130.1.1.1
-> ip helper address <address1> <address2> vlan <id> VLAN 3
Client Client
DHCP DHCP
Relais de port UDP générique
 Relais pour ports de service UDP génériques
 En d'autres termes, NBNS/NBDD, d'autres ports de service UDP connus (« well-
known »), et des ports de service qui ne sont pas connus (« not well-known »)
 Prend en charge le nom de service et les ports personnalisés

 DNS (53), TACACS+ (65), TFTP (69), NTP (123), NBNS (137), NBDD (138)
 Port personnalisé (1-65535)
-> ip udp relay [port*] DNS
 active le relais sur le port de service connu DNS
-> ip udp relay [port*] 3456
 active le relais sur le port de service UDP (non connu) défini par l'utilisateur
-> ip udp relay [port*] dns vlan 4
 définit le VLAN 5 comme VLAN de transfert pour le port de service connu DNS
 Il est possible de définir jusqu'à 32 relais différents
*V7/8
Multinetting
 Possibilité d'attribuer plusieurs sous-  Re-numérotation du sous-réseau lors de
réseaux IP à un même VLAN la transition
 8 sous-réseaux maximum par VLAN (V6)
 Davantage d'hôtes dans un domaine de
 16 sous-réseaux maximum par VLAN (V7/8) broacast que l'adressage ne le permet
 Possibilité de routage entre des  Serveur multi-homed sur un seul port
interfaces multi-netted du commutateur
 Protocoles de routage dynamique pris en
charge sur les interfaces multi-netted Sous-réseau IP VLAN
 Protocole VRRP pris en charge 192.168.10.0/24
 Listes ACL prises en charge 192.168.11.0/24
 Relais UDP/DHCP pris en charge
VLAN 10
 Le trafic broadcast émanant d’un sous-
réseau sera vu par les utilisateurs dans Interface « Sales »
différents sous-réseaux
192.168.10.1
Interface « Marketing »
192.168.11.1
Le trafic broadcast du réseau 192.168.10.0 sera vu par les utilisateurs du réseau 192.168.11.0.
MULTINETTING
Sommaire
1 Objectif ......................................................................................... 2
2 Multinetting .................................................................................... 2
3 Equipement Requis............................................................................ 2
6 Configuration .................................................................................. 3
6.1. Configuration VLAN .................................................................................... 3
6.2. Routage .................................................................................................. 3
7 Résumé ......................................................................................... 5
8 Questions ....................................................................................... 5
2
Multinetting
1 Objectif
Ce lab va vous initier à la function Multinetting sur les OmniSwitch. Le multinetting permet la création de
multiples interfaces IP sur un seul VLAN. Trois OmniSwitch sont requis afin d’effectuer ce lab, utilisez
n’importe quel type de commutateurs.
2 Multinetting
Dans ce lab, vous allez utiliser le CLI pour créer de multiples interfaces IP pour un VLAN. Du routage RIP sera
également utilisé.
Ce lab, comme tout autre lab utilisant du niveau 3, implique des connaissances basiques sur le produit
OmniSwitch. Comme les commandes permettant la création de VLANs, l’association de ports à des VLANs et
la création d’interfaces IP virtuelles. Référez vous aux labs précédents ou au guide CLI pour plus
d’informations.
3 Equipement Requis
Trois OmniSwitches (OS6900, OS685x, OS6450 ou OS6250)
Trois PCs
ip interface <name> address <ip_address> vlan <vid>
Toutes
3
Multinetting
6 Configuration
Client 1/2
Labo distant
192.168.10. Multinetting
A 1
192.168.11.
EMP 1/1
1 1 Réseau d'administration
Client 3/4 3 4 VLAN 1
1/3 1/7
2 3 OS 6900T
4 5 OS 6850E
192.168.10. 6 6 OS 6450
3
192.168.13.
1/1 1/3 1/7
3 1/5 1/5
5 61
VLAN A 6
1/22 1/1
1/8
A A 192.168.10.
5 Client 5/6
192.168.15.
5
défaut des commutateurs ou réinitialisez le pod : VLAN 1
6.1. Configuration VLAN

Le Multinetting permet de créer plusieurs interfaces IP pour un seul VLAN.
- Sur chaque commutateur, entrez les commandes suivantes : (remplacez X par votre numéro de
commutateur)
ALL-> ip interface int_1 address 192.168.10.X vlan 1
ALL-> ip interface int_1_1 address 192.168.1X.X vlan 1
- Connectez vos commutateurs comme décrit dans la figure ci-dessus.

- Depuis votre commutateur, envoyez une requête ping à toutes les instances de routage du réseau
192.168.10.0/24 sur tous les commutateurs.
- Donnez à votre PC une adresse 192.168.10.10X et une passerelle 192.168.10.X.
- Vérifiez la connectivité en envoyant une requête ping aux interfaces IP du réseau 192.168.10.0/24.
- Vous devez disposer d'une connectivité à toutes les interfaces IP du réseau 192.168.10.0 sur tous les
commutateurs. Vous ne pouvez pas encore communiquer via le réseau 192.168.1X.0/24.
- Même si les deux sous-réseaux IP sont sur le même VLAN, vous devez encore router le trafic pour
communiquer avec les autres interfaces IP.
6.2. Routage
- Afin d'avertir les autres réseaux, activez le RIP sur l'interface 192.168.10.X et créez une route-map pour
4
Multinetting
répartir les routes (n'oubliez pas de remplacer « X » par votre numéro de commutateur) :
6900 -> ip load rip
6900 -> ip rip admin-state enable
6900 -> ip rip interface int_1
6900 -> ip rip interface int_1 admin-state enable
6900 -> ip route-map switchXrip sequence-number 10 action permit
6900 -> ip redist local into rip route-map switchXrip admin-state enable
6850E&6450 -> ip load rip

6850E&6450 -> ip rip status enable
6850E&6450 -> ip rip interface int_1
6850E&6450 -> ip rip interface int_1 status enable
6850E&6450 -> ip route-map switchXrip sequence-number 10 action permit
6850E&6450 -> ip redist local into rip route-map switchXrip status enable
ALL -> show ip rip peer

Total Bad Bad Secs since
IP Address Recvd Packets Routes Version last update
----------------+------+-------+------+-------+-----------
192.168.10.3 14 0 0 2 4
192.168.10.5 10 0 0 2 3
ALL -> show ip rip interface

Interface Intf Admin IP Intf Updates
Name vlan status status sent/recv(bad)
---------------------+------+-----------+-----------+---------------
int_1 1 enabled enabled 17/26(0)
ALL -> show ip route (R6)

ALL -> show ip routes (R7)
Total 5 routes
Dest Address Gateway Addr Age Protocol

------------------+-------------------+----------+-----------
127.0.0.1/32 127.0.0.1 00:17:12 LOCAL
192.168.10.0/24 192.168.10.1 00:10:55 LOCAL
192.168.11.0/24 192.168.11.1 00:10:37 LOCAL
192.168.13.0/24 192.168.10.3 00:05:59 RIP
192.168.15.0/24 192.168.10.5 00:04:42 RIP
ALL -> show ip rip routes

Legends: State: A = Active, H = Holddown, G = Garbage
Destination Gateway State Metric Proto
-----------------+-----------------+----+------+------
192.168.10.0/24 +192.168.10.1 A 1 Redist
192.168.11.0/24 +192.168.11.1 A 1 Redist
192.168.13.0/24 +192.168.10.3 A 2 Rip
192.168.15.0/24 +192.168.10.5 A 2 Rip
ALL -> show ip router database

Legend: + indicates routes in-use
b indicates BFD-enabled static route
r indicates recursive static route, with following address in brackets
Total IPRM IPv4 routes: 5
Destination Gateway Interface Protocol Metric Tag Misc-Info

---------------------+---------------+------------+--------+-------+----------+-----------------
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
+ 192.168.10.0/24 192.168.10.1 int_1 LOCAL 1 0
+ 192.168.11.0/24 192.168.11.1 int_1_1 LOCAL 1 0
+ 192.168.13.0/24 192.168.10.3 int_1 RIP 2 0
+ 192.168.15.0/24 192.168.10.5 int_1 RIP 2 0
Inactive Static Routes

Destination Gateway Metric Tag Misc-Info
--------------------+-----------------+------+----------+-----------------
5
Multinetting
- Maintenant que le RIP a été activé et que le filtre adéquat a été configuré, les routes de votre voisin
commencent à apparaître. Depuis votre PC, envoyez une requête ping aux autres interfaces IP. Vous devez
être en mesure de communiquer en routant le trafic entre les différents sous-réseaux IP, même si ces
derniers se trouvent sur le même VLAN.
- Modifiez l'adresse de vos PC sur 192.168.1X.10X avec une passerelle 192.168.1X.X.
- Envoyez une requête ping pour vérifier la connectivité.

- Vous disposez toujours d'une connectivité puisque votre PC est associé au VLAN 1 et que les deux
interfaces IP sont attribuées au VLAN 1.
7 Résumé
Ce Lab vous a initié à la function Multinetting. Le multinetting permet de créer à de multiples interfaces IP
d’être associées à un même VLAN. Mais le traffic doit quand même être routé d’un sous-réseau IP à l’autre.
8 Questions
1. Le trafic broadcast envoyé sur le réseau 192.168.10.0 est-il visible sur le réseau 192.168.1#.0?
2. Les deux interfaces ayant été associées au VLAN 1, pourquoi le protocole RIP devait-il être activé ?
3. Que change le Multinetting au concept selon lequel le VLAN est un domaine de broadcast ?
Routage IP
Objectifs du module
 Vous apprendrez des solutions
alternatives pour mettre en œuvre un
routage IP de base disponible sur les
commutateurs OmniSwitch AOS.
 Routage statique et options associées
 Avantages de l'utilisation du protocole RIP
dans un réseau OmniSwitch
 Configuration de base High
Availability
 Supervision
AOS
Operating
System
Extensive Enhanced
FONDAMENTAUX DU ROUTAGE STATIQUE ET
DYNAMIQUE
Routage statique versus routage dynamique
 Routes statiques
 Saisies manuellement par l'administrateur réseau
 À chaque modification de la topologie réseau, l'administrateur doit mettre les routes
à jour
 Les routes statiques ont toujours la priorité sur les routes dynamiques
 Adaptées aux environnements dans lesquels le trafic réseau est relativement
prévisible et dans lesquels la conception du réseau est relativement simple.
 Protocoles de routage dynamique

 Permet au réseau de mettre à jour les routes rapidement et automatiquement sans
que l'administrateur n'ait à configurer de nouvelles routes
 Les protocoles de routage décrivent
 comment envoyer les mises à jour
 quelles sont les informations fournies dans les mises à jour
 quand envoyer les mises à jour
 comment localiser les destinataires des mises à jour
ROUTAGE STATIQUE
Routes statiques
 L'adresse de la passerelle ou du saut suivant est mappée sur une interface
particulière du commutateur
 L'interface associée doit avoir un état « UP » et fonctionner
 Par défaut, les routes statiques sont prioritaires sur les routes dynamiques
 La priorité peut être définie en attribuant une valeur métrique
-> ip static-route <destination>/<maskBits> gateway <host> [metric <value>]

Configuration des routes statiques
-> ip static-route 134.1.21.0/24 gateway 10.1.1.1

Spécifie une route statique vers l'adresse IP de destination 134.1.21.0
-> ip static-route 0.0.0.0/0 gateway 10.1.1.1

Spécifie une route par défaut
-> ip static-route 0.0.0.0/0 gateway 1.1.1.1 metric 1

-> ip static-route 0.0.0.0/0 gateway 2.2.2.2 metric 2
Configuration d'une route de secours par défaut
-> show ip router database

Destination Gateway Interface Protocol Metric Tag
---------------+---------------+------------+--------+-------+----------
0.0.0.0/0 1.1.1.1 vlan11 STATIC 1 0
0.0.0.0/0 2.2.2.2 vlan12 STATIC 2 0
----------------
-> show ip route
Total 4 routes
------------------+-----------------+-----------------+---------+-----------
0.0.0.0 0.0.0.0 1.1.1.1 00:00:33 NETMGMT
----------------
Route statique récursive
 Vous permet d'attribuer des routes statiques dont le saut suivant est le même
que celui d'une route apprise par le biais d'un protocole de routage
 Routes statiques récursives

 L’adresse du saut suivant (ou passerelle) ne doit plus être associée à une interface
particulière
 Association de la route de destination à la meilleure route utilisée pour atteindre un
hôte particulier
 Peut être une interface ou une route apprise dynamiquement (c'est-à-dire BGP, OSPF,
RIP, etc.)
 Peut évoluer avec le temps
-> ip static-route <destination>/<maskBits> follows <host> [metric <value>]

Route statique récursive - CLI
 -> ip static-route 172.30.0.0/16 follows 2.2.2.2 metric 1
 -> show ip router database

* indicates BFD-enabled static route
Destination Gateway Interface Protocol Metric Tag Misc-Info
-------------------+------------------+-----------+---------+--------+-------+-----------------
+ 2.2.2.2/32 192.168.100.253 vlan100 RIP 2 0
+ 10.1.20.0/24 10.1.20.1 vlan20 LOCAL 1 0
+r 172.30.0.0/16 192.168.100.253 vlan100 STATIC 1 0 [2.2.2.2]
+ 192.168.100.0/24 192.168.100.1 vlan100 LOCAL 1 0

Destination Gateway Metric +r 172.30.0.0/16 10.1.20.2 vlan20 STATIC 1 0 [2.2.2.2]
--------------------+-----------------+---------
r 172.20.0.0/16 3.3.3.3 1

* = BFD Enabled static route
Total 5 routes

----------------+------------------+------------------+---------+-----------
2.2.2.2 255.255.255.255 192.168.100.253 16:52:44 RIP
10.1.20.0 255.255.255.0 10.1.20.1 00:09:27 LOCAL
127.0.0.1 255.255.255.255 127.0.0.1 17:55:33 LOCAL
172.30.0.0 255.255.0.0 192.168.100.253 00:08:06 NETMGMT
192.168.100.0 255.255.255.0 192.168.100.1 17:54:09 LOCAL
2.2.2.2 255.255.255.255 10.1.20.2 00:07:28 RIP
RIP
Routage IP - Spécifications AOS
 RFC pris en charge
 RFC 1058
 RIP v1
 RFC 1722/1723/2453/1724
 RIPv2 et MIB
 RFC 1812/2644
 Exigence routeur IPv4
 RFC 2080
 RIPng
 Prise en charge de routes ECMP

 4 (OmniSwitch 6250, 6400, 6855)
 16 (OmniSwitch 6850, 9000, 9000E)
RIP - Fondamentaux version 1 et 2
 RIP - Routing Information Protocol
 Prend en charge le protocole IPv4
 Protocole à vecteur de distance

 Utilise le nombre de sauts pour déterminer le meilleur chemin
 Le nombre limite de sauts est de 15 (16 est considéré comme inatteignable pour
empêcher les boucles)
 Génère des mises à jour toutes les 30 secondes

 Les mises à jour concernent la totalité de la table de routage du routeur
 Temporisation des routes après 180 secondes
 Utilise le port UDP 520

RIP - Fondamentaux version 1 et 2
 Taille de paquet de 512 octets maximum

 20 mises à jour de route
 Contiens la quantité minimale de données pour router via le réseau
 Deux versions disponibles
 RIP I (RFC-1058)
 Un seul masque pour tous les sous-réseaux d'un réseau
 Mises à jour envoyées en broadcast
 RIP II (RFC-1723)
 Transporte des informations supplémentaires sur le masque de sous-réseau
 Transporte des informations de routage vers le saut suivant
 Mises à jour transmises comme en multicast (224.0.0.9)
 Prend en charge l'authentification
Limites RIP
 Diamètre maximal de réseau = 15.
 Les mises à jour régulières incluent la totalité de la table de routage toutes les
30 secondes environ
 Convergence faible
 Le « Poison Reverse » augmente la taille des mises à jour de routage

 Les routes valides et empoisonnées (poisoned) sont incluses dans les mises à jour
 Les métriques concernent uniquement le nombre de sauts

 D'autres facteurs tels que la bande passante des liens ne sont pas pris en compte
 RIPv1
 Les mises à jour sont envoyées en broadcast
 Routage « Classful » qui ne transporte pas la longueur du préfixe dans les mises à jour
 Pas de mécanisme d'authentification
RIP - Commandes CLI
 Configuration minimale
-> ip load rip

-> ip rip interface if_name status* enable
-> ip rip status* enable
-> ip route-map rip_1 sequence-number 50 action permit

-> ip route-map rip_1 sequence-number 50 match ip-address 0.0.0.0/0
-> ip redist local into rip route-map rip_1 status* enable
-> ip redist static into rip route-map rip_1 status* enable
Redistribution nécessaire
Seules les routes RIP apprises et l'interface Loopback0 sont annoncées
par défaut.
Les routes locales doivent être redistribuées.
*admin-state for R7/8

RIP – Redistribution des informations de routage
 Les routes apprises via différents protocoles doivent être redistribuées
 Locale/Statique/OSPF ->RIP
 Les métriques peuvent être modifiées après la redistribution

-> ip route-map …..
-> ip redist {local | static | ospf | isis | bgp} into rip route-map route-mapname
 Des routes peuvent être agrégées
 Des routes peuvent être refusées

RIP - Commandes CLI
-> ip rip interface int_name send-version [v2 / v1 / v1compatible / none]

-> ip rip interface int_name recv-version [v1 / v2 / both / none]
-> ip rip interface int_name metric #
-> ip rip interface int_name auth-type [none / simple / MD5]
-> ip rip update-interval seconds
-> show ip rip

-> show ip rip peer
-> show ip rip interface
-> show ip rip interface int_name
Supervision RIP
 Show ip rip routes
Destination Mask Gateway Metric
------------------+------------------+------------------+-------
50.50.50.0 255.255.255.0 50.50.50.1 1
 Show ip rip peer

----------------+------+-------+------+-------+-----------
100.10.10.1 1 0 0 2 3
 Show ip rip interface

Intf Admin IP Intf Updates
Interface vlan status status sent/recv(bad)
name
----------------+-----+------------+----------+----------------
30.30.30.1 30 enabled enabled 5/5(0)
RIP/RIP2
Sommaire
1 Objectif ......................................................................................... 2
2 RIP/RIP2 ........................................................................................ 2
6 Configuration .................................................................................. 3
6.1. Activation du RIP ....................................................................................... 3
6.2. Configuration des interfaces RIP .................................................................... 5
6.3. Vérification du Backbone ............................................................................. 6
6.4. Distribution des routes ................................................................................ 7
7 Fonctionnalités RIP avancé .................................................................. 9
7.1. Mise à jour RPI en utilisant V1 et V2 ............................................................... 9
7.2. Métriques .............................................................................................. 10
7.3. Authentification RIP - Simple ...................................................................... 11
8 Résumé ....................................................................................... 12
9 Questions ..................................................................................... 12
2
RIP/RIP2
1 Objectif
Ce lab introduit la notion de RIP/RIP2 sur les OmniSwitch. Celà comprend le chargement du RIP et
l’activation de la version 1 ou 2. Trois OmniSwitch vont être utilisés; n’importe quelle combinaison de
commutateur peut être utilisée.
2 RIP/RIP2
Ce lab introduit la notion de protocole de routage RIP/RIP2. Nous allons également discuter des tables de
routage et comment les afficher.
Ce lab, comme les autres labs de niveau 3, implique une bonne connaissance des produits OmniSwitch. Des
commandes spécifiques comme la création de VLANs, associer des ports à des VLANs et créer des interfaces
IP ne seront pas listées. Référez vous aux labs précédents ou au guide CLI si nécessaire.
Trois OmniSwitch de n’importe quel type (OS9xxx, OS6850, OS6450 ou OS6250)
Trois PCs
show ip rip, ip load rip, ip rip, show ip routes
IP rip status enable
Toutes
3
RIP/RIP2
6 Configuration
Labo distant
RIP/RIP2 Int_101
192.168.101.1
A VLAN 101
EMP 1/1 1 Réseau d'administration
3 4
1/3 1/7
2 3 OS 6900T
Int_X 4 5 OS 6850E
Int_103 192.168.10.X
192.168.103.3 VLAN 1 6 6 OS 6450
VLAN 103
1/3 1/7
1/5 1/5 1/1 Int_105
5 6 A 6 192.168.105.5
1/22 1/1 1/8 VLAN 105
A A
Client 3/4 Client 5/6
Cet exercice porte sur les protocoles de routage RIP et RIP 2. Si un commutateur est démarré sans aucun
protocole de routage activé, il faut commencer par charger les protocoles de routage dans la mémoire et les
activer avant de les configurer.
6.1. Activation du RIP
- Lorsque les commutateurs ont terminé leur cycle de démarrage, configurez les paramètres du VLAN 1 et
interconnectez les commutateurs. Vérifiez que vous disposez d'une connectivité de base de couche 2
avant de poursuivre. Comme dans les autres exercices, remplacez X par votre numéro de commutateur.
N'oubliez pas d'activer tous les ports nécessaires (uplink et clients).
Loopback0 = 10.X.X.X
VLAN 1 :
Interface IP = int_1
Adresse IP = 192.168.10.X/24 (X = votre numéro de commutateur)
Ports par défaut = All
- Une fois que votre connectivité L2 entre tous les commutateurs est satisfaisante, chargez le kernel RIP et
activez le protocole RIP :
-> show ip rip
4
RIP/RIP2
ERROR: The specified application is not loaded
-> ip load rip

-> show ip rip
Status = Disabled,
Number of routes = 0,
Number of prefixes = 0,
Host Route Support = Enabled,
Route Tag = 0,
Update interval = 30,
Invalid interval = 180,
Garbage interval = 120,
Holddown interval = 0,
Forced Hold-Down Timer = 0
- Notez que le statut du protocole RIP est toujours « Disabled ». L'étape suivante consiste à activer le
protocole lui-même.
R6-> ip rip status enable
R7-> ip rip admin-state enable
-> show ip rip

Status = Enabled,
Number of routes = 0,
Number of prefixes = 0,
Host Route Support = Enabled,
Route Tag = 0,
Update interval = 30,
Invalid interval = 180,
Garbage interval = 120,
Holddown interval = 0,
Forced Hold-Down Timer = 0
- Nous avons chargé le protocole RIP, mais nous devons encore l'attribuer à des interfaces IP. Utilisez les
commandes RIP permettant d'afficher le statut (rappelez-vous du « ? ») :
-> show ip rip ?

^
ROUTES PEER INTERFACE <cr>
(IP Routing & Multicast Command Set)
-> show ip rip routes

---------------+-----------------+----+------+------
-> show ip rip peer

----------------+------+-------+------+-------+-----------
-> show ip rip interface

---------------------+------+-----------+-----------+---------------
No interfaces configured !
La prochaine étape de la configuration consiste à activer le RIP sur nos interfaces IP virtuelles.
5
RIP/RIP2
6.2. Configuration des interfaces RIP
- Configurer les interfaces RIP sur le OS6900:

6900-> show ip interface
Total 5 interfaces
--------------------+---------------+---------------+------+-------+--------
EMP 10.4.5.1 255.255.255.0 UP NO EMP
EMP-CMMA 0.0.0.0 0.0.0.0 DOWN NO EMP
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
6900-> ip rip interface int_1 admin-state enable

6900-> show ip rip interface
---------------------+------+-----------+-----------+---------------
6900-> show ip rip interface int_1

Interface IP Name = int_1,
Interface IP Address = 192.168.10.1,
IP Interface Number (VLANId) = 1,
Interface Admin status = enabled,
IP Interface Status = enabled,
Interface Config Ingress Route Map Name = ,
Interface Config Egress Route Map Name = ,
Interface Config AuthType = None,
Interface Config AuthKey Length = 0,
Interface Config Send-Version = v2,
Interface Config Receive-Version = both,
Interface Config Default Metric = 1,
Received Packets = 0,
Received Bad Packets = 0,
Received Bad Routes = 0,
Sent Updates = 2
Les commandes ci-dessus ont activé le RIP sur l'interface 192.168.10.1 appelée « int_1 ».
Notez la version RIP envoyée et reçue par défaut.

6850E-> show ip interface
Total 4 interfaces
------------------+---------------+---------------+------+-------+-----------
admin 10.4.5.3 255.255.255.0 UP YES vlan 4001
int_1 192.168.10.3 255.255.255.0 UP YES vlan 1
6850E-> ip rip interface int_1 status enable

6850E-> show ip rip interface
---------------------+------+-----------+-----------+---------------
switch2-> show ip rip interface int_1

6
RIP/RIP2

Sent Updates = 1

Total 4 interfaces
------------------+---------------+---------------+------+-------+--------
admin 10.4.5.5 255.255.255.0 UP YES vlan 4001
int_1 192.168.10.5 255.255.255.0 UP YES vlan 1
6450-> ip rip interface int_1 status enable

---------------------+------+-----------+-----------+---------------

Sent Updates = 2
6.3. Vérification du Backbone
- Étant donné que nous avons déjà interconnecté les commutateurs lors des étapes précédentes, nous
devons voir le RIP commencer à interagir avec ses voisins (notez que le résultat variera légèrement en
fonction de votre station) :
6900-> show ip rip routes
---------------+-----------------+----+------+------
10.1.1.1/32 +10.1.1.1 A 1 Redist
10.3.3.3/32 +192.168.10.3 A 2 Rip
7
RIP/RIP2
10.5.5.5/32 +192.168.10.5 A 2 Rip
6900-> show ip rip peer

----------------+------+-------+------+-------+-----------
192.168.10.3 11 0 0 2 22
192.168.10.5 7 0 0 2 13

---------------------+------+-----------+-----------+---------------

Interface Config Ingress Route Map Name = ,
Interface Config Egress Route Map Name = ,
Sent Updates = 20
- Notez l'affichage des adresses Loopback0 de vos voisins apprises via le RIP. Les adresses Loopback0 seront
toujours annoncées, même s'il n'y a aucun utilisateur sur le commutateur ; aucune re-distribution de route
n'est nécessaire. Un VLAN doit être associé pour être actif et annoncé.
- Prenez note du nombre de mises à jour envoyées et reçues et de la valeur de l'attribut secs since last
update (nombre de secondes depuis la dernière mise à jour). Dans l'exemple ci-dessus, le 6900 devrait
recevoir une autre mise à jour du 6450 dans 3 secondes (rappel : la temporisation de mise à jour par
défaut du RIP est de 30 s), et 8 secondes avant, recevoir une mise à jour du commutateur 2.
6.4. Distribution des routes
- Créons davantage de VLAN pour que nos tables de routes contiennent plus que des routes locales. Créons
un VLAN 101, adresse IP 192.168.101.1/24 sur le commutateur 6900, un VLAN 103,
adresse IP 192.168.103.3/24 sur le 6850E et un VLAN 105, adresse IP 192.168.105.5/24 sur le 6450.
6900-> vlan 101
6900-> ip interface int_101 address 192.168.101.1/24 vlan 101
-------------------+---------------+---------------+------+-------+--------
EMP 10.4.5.1 255.255.255.0 UP NO EMP
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
int_101 192.168.101.1 255.255.255.0 DOWN NO vlan 101
8
RIP/RIP2
- Étant donné que le VLAN 10X ne contient aucun membre sur les différents commutateurs, le statut de
l'interface IP est défini sur DOWN. Dans cet exercice, nous allons tagguer ce VLAN sur le port client déjà
activé.
6900-> vlan 101 members port 1/1 tagged
Total 6 interfaces
------------------+---------------+---------------+------+-------+--------
EMP 10.4.5.1 255.255.255.0 UP NO EMP
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
int_101 192.168.101.1 255.255.255.0 UP YES vlan 101
- Vérifions si les routes des VLAN existent :

6900-> show ip route
Total 6 routes
Dest Address Gateway Addr Age Protocol

------------------+-------------------+----------+-----------
10.1.1.1/32 10.1.1.1 00:32:30 LOCAL
10.3.3.3/32 192.168.10.3 00:22:00 RIP
10.5.5.5/32 192.168.10.5 00:20:18 RIP
127.0.0.1/32 127.0.0.1 01:40:48 LOCAL
192.168.10.0/24 192.168.10.1 00:30:22 LOCAL
192.168.101.0/24 192.168.101.1 00:01:42 LOCAL
- Vous ne voyez que les réseaux locaux de vos VLAN pour le moment. Pour que les routes non apprises via le
RIP soient annoncées, elles doivent être redistribuées. Activons la redistribution des routes locales sur les
trois commutateurs. Rappel : les protocoles de routage annonceront uniquement les routes apprises via le
RIP. Si une route est apprise via un autre protocole ou que certaines sont locales ou statiques, une
redistribution des routes est nécessaire. (Remplacez X par votre numéro de commutateur)
6900-> ip route-map switchXrip sequence-number 10 action permit
6900-> ip redist local into rip route-map switchXrip admin-state enable
Dans cet exemple, switchXrip est un alias de l'énoncé « route-map ». Nous avons donc ajouté une
commande de redistribution à cet alias pour redistribuer toutes les routes locales dans le RIP.
------------------+-----------------+----+------+------
10.1.1.1/32 +10.1.1.1 A 1 Redist
10.3.3.3/32 +192.168.10.3 A 2 Rip
10.5.5.5/32 +192.168.10.5 A 2 Rip
192.168.10.0/24 +192.168.10.1 A 1 Redist
192.168.101.0/24 +192.168.101.1 A 1 Redist
6900-> show ip router database


---------------------+---------------+------------+--------+-------+----------
+ 10.0.0.0/24 10.4.5.254 EMP STATIC 1 0
+ 10.1.1.1/32 10.1.1.1 Loopback0 LOCAL 1 0
+ 10.3.3.3/32 192.168.10.3 int_1 RIP 2 0
+ 10.4.5.0/24 10.4.5.1 EMP LOCAL 1 0
+ 10.5.5.5/32 192.168.10.5 int_1 RIP 2 0
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
9
RIP/RIP2
+ 192.168.10.0/24 192.168.10.1 int_1 LOCAL 1 0

+ 192.168.101.0/24 192.168.101.1 int_101 LOCAL 1 0

--------------------+-----------------+------+----------+-----------------
- Les autres commutateurs sont affichés comme des paires et leurs interfaces de routeur VLAN 1 sont
affichées comme des passerelles vers leurs autres VLAN.
- Envoyez une requête ping à toutes les interfaces de routeur de tous les commutateurs depuis le
commutateur OmniSwitch et vos PC pour tester la connectivité.
- Les commandes ci-dessus ont activé la redistribution des routes locales uniquement. Nous aurions pu
utiliser une commande « ip access-list » pour définir des routes spécifiques à redistribuer. Reportez-vous
aux Manuels d'utilisation pour plus de détails. Des commandes supplémentaires ont été incluses pour
afficher des paires RIP et la base de données de routage.
7 Fonctionnalités RIP avancé
7.1. Mise à jour RPI en utilisant V1 et V2
- Par défaut, le RIP est configuré pour accepter aussi bien les mises à jour RIP v1 que RIP v2, et recevoir des
paquets RIP v2. Le RIP v2 acceptera les mises à jour du RIP v1, mais le RIP v1 n'acceptera pas les mises à
jour du RIP v2. Sur le commutateur 1, modifions l'interface RIP et configurons-la pour recevoir des
paquets RIP v1. Saisissez les commandes suivantes sur le commutateur 1 UNIQUEMENT.
6900-> ip rip interface int_1 recv-version v1

---------------------+------+-----------+-----------+---------------

----------------+------+-------+------+-------+-----------
192.168.10.3 58 0 0 2 47
192.168.10.5 51 0 0 2 74
6900-> show ip router database


---------------------+---------------+------------+--------+-------+----------
+ 10.0.0.0/24 10.4.5.254 EMP STATIC 1 0
+ 10.1.1.1/32 10.1.1.1 Loopback0 LOCAL 1 0
+ 10.4.5.0/24 10.4.5.1 EMP LOCAL 1 0
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
10
RIP/RIP2
+ 192.168.10.0/24 192.168.10.1 int_1 LOCAL 1 0

+ 192.168.101.0/24 192.168.101.1 int_101 LOCAL 1 0

--------------------+-----------------+------+----------+-----------------
- Après 180 secondes environ, le commutateur 1 voit les métriques des routes passer à 16, ce qui signifie
qu'elles sont inaccessibles. Les routes expireront peu de temps après. Le commutateur 2 et le
commutateur 3 envoient en effet des paquets RIP v2 et le RIP v1 n'acceptera pas les paquets RIP v2.
Regardons les tables des commutateurs 2 et 3. Notez qu'elles voient toujours le commutateur 1.
- Configurez maintenant le commutateur 1 pour accepter aussi bien le RIP v1 que le RIP v2 sur l'interface.
6900-> ip rip interface int_1 recv-version both
- Les commutateurs 2 et 3 vont réapparaître dans la base de données du routeur.
7.2. Métriques
- Les métriques peuvent être configurées manuellement pour le RIP. Vérifions la métrique actuelle du
réseau 192.168.103.0 sur les commutateurs 6900 et 6450. Entrez la commande suivante sur le 6850 :
6850E-> show ip router database

---------------------+---------------+------------+--------+-------+--+-
+ 10.0.0.0/24 10.4.5.254 admin STATIC 1 0
+ 10.1.1.1/32 192.168.10.1 int_1 RIP 2 0
+ 10.3.3.3/32 10.3.3.3 Loopback0 LOCAL 1 0
+ 10.4.5.0/24 10.4.5.3 admin LOCAL 1 0
+ 10.5.5.5/32 192.168.10.5 int_1 RIP 2 0
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
+ 192.168.10.0/24 192.168.10.3 int_1 LOCAL 1 0
+ 192.168.101.0/24 192.168.10.1 int_1 RIP 2 0

Destination Gateway Metric
--------------------+-----------------+---------
- Notez les métriques actuelles des routes apprises.
- Saisissez la commande suivante sur le commutateur 2 UNIQUEMENT :

6850E-> ip rip interface int_1 metric 5
- La commande ci-dessus indique que le commutateur 2 ajoutera une métrique de 5 à toutes les routes
apprises sur l'interface « int_1 ». Vérifiez la métrique actuelle pour le voir.

11
RIP/RIP2
---------------------+---------------+------------+--------+-------+--+-
+ 10.0.0.0/24 10.4.5.254 admin STATIC 1 0
+ 10.1.1.1/32 192.168.10.1 int_1 RIP 6 0
+ 10.3.3.3/32 10.3.3.3 Loopback0 LOCAL 1 0
+ 10.4.5.0/24 10.4.5.3 admin LOCAL 1 0
+ 10.5.5.5/32 192.168.10.5 int_1 RIP 6 0
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
+ 192.168.10.0/24 192.168.10.3 int_1 LOCAL 1 0
+ 192.168.101.0/24 192.168.10.1 int_1 RIP 6 0
+ 192.168.103.0/24 192.168.103.3 int_103 LOCAL 1 0

--------------------+-----------------+---------
7.3. Authentification RIP - Simple
L'authentification peut être configurée sur les interfaces exécutant le protocole RIP V2. On obtient alors un
certain niveau de sécurité contre les routes injectées et même les configurations accidentelles.
- Saisissez la commande suivante sur le commutateur 2 UNIQUEMENT :

6850E-> ip rip interface int_1 auth-type simple
6850E-> ip rip interface int_1 auth-key alcatel
- Vérifiez la table de routage sur tous les commutateurs ; les routes doivent être supprimées une fois leur
durée de validité expirée.
6850E-> show ip rip peer
----------------+------+-------+------+-------+-----------
192.168.10.1 87 2 0 2 15
192.168.10.5 76 2 0 2 1


---------------------+---------------+------------+--------+-------+--+-
+ 10.0.0.0/24 10.4.5.254 admin STATIC 1 0
+ 10.3.3.3/32 10.3.3.3 Loopback0 LOCAL 1 0
+ 10.4.5.0/24 10.4.5.3 admin LOCAL 1 0
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
+ 192.168.10.0/24 192.168.10.3 int_1 LOCAL 1 0
+ 192.168.103.0/24 192.168.103.3 int_103 LOCAL 1 0

--------------------+-----------------+---------
- Vous recevez maintenant des paquets incorrects du commutateur 2 étant donné que l'authentification
n'est pas activée sur tous les commutateurs. Entrez les commandes suivantes sur les commutateurs 6900
et 6450 :
6900-> ip rip interface int_1 auth-type simple
6900-> ip rip interface int_1 auth-key alcatel
6450-> ip rip interface int_1 auth-type simple
12
RIP/RIP2
6450-> ip rip interface int_1 auth-key alcatel

- Vous recevez maintenant des mises à jour RIP valides étant donné que l'authentification est configurée
correctement sur tous les commutateurs.
8 Résumé
Ce lab introduit la notion de protocole de routage de base RIP/RIP2.
Le protocole RIP peut être utilisé dans des petits réseaux afin de diffuser les informations de
routage.
9 Questions
1. Quelle commande doit-être exécutée avant de pouvoir activer le RIP sur une interface ?
2. Le RIP annoncera les routes aux VLAN inactifs. (Vrai ou Faux)
3. Quel est le but de l'activation de la redistribution des routes locales ?
4. Quelle commande permet de redistribuer un seul sous-réseau IP plutôt que la totalité des routes
locales ?
5. Quels sont les problèmes liés à l'exécution simultanée des RIPv1 et RIPv2 ?
6. Quels sont les avantages de l'activation de l'authentification ?

Maintenance et diagnostics de base

Objectifs du module
 Comment utiliser les outils de diagnostic
OmniSwitch AOS
 Switch Logging
 Command Logging
 Port Mirroring
 Port Monitoring
 Health High
Availability
 sFlow
AOS
Operating
System
Extensive Enhanced
JOURNALISATION
Outil « Switch Logging »
Contenu Syslog
 Le journal du commutateur est un mécanisme de consignation des évènements

utile à la maintenance et à l’entretien du commutateur.
 Les événements du commutateur peuvent être enregistrés
 sur la console du commutateur
-> swlog output console
 dans un fichier texte local 2 (Alarm - niveau le
-> swlog output flash plus élevé)
 Taille du fichier par défaut de 128 000 octets - configurable 3 (Error)
 sur plusieurs équipements distants (syslog) 4 (Alert)
-> swlog output socket ipaddr 168.23.9.100 (4 max)
5 (Warning)
 Les messages Syslog doivent avoir une interface Loopback0 si configurée
6 (Info - par défaut)
7 (Debug 1)
 Les niveaux de gravité de l'application du commutateur
peuvent être définis 8 (Debug 2)
-> swlog appid system level warning 9 (Debug 3 – niveau le
 Reportez-vous au Guide de l’utilisateur pour connaître plus bas)
toutes les applications du commutateur.
Outil « Switch Logging »
Exemple
-> show log swlog
Displaying file contents for '/flash/swlog1.log'
FILEID: fileName[/flash/swlog1.log], endPtr[60676], configSize[64000], mode[2]
Time Stamp Application Level Log Message
------------------------+--------------+-------+--------------------------------
MON MAR 08 14:42:40 2011 CSM-CHASSIS alert == CSM == loading openssh.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:40 2011 CSM-CHASSIS alert == CSM == loading ssApp.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:41 2011 CSM-CHASSIS alert == CSM == loading ftpSrv.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:41 2011 CSM-CHASSIS alert == CSM == loading ntp.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:41 2011 CSM-CHASSIS alert == CSM == loading lanpower.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:41 2011 CSM-CHASSIS alert == CSM == loading telnetdaemon.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:42 2011 CSM-CHASSIS alert == CSM == loading health_monitor.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:42 2011 CSM-CHASSIS alert == CSM == loading rmon.lnk from /flash/working/Kbase.img
MON MAR 08 14:42:42 2011 CSM-CHASSIS alert == CSM == loading bfdcmm.lnk from /flash/working/Kbase.img
-> show swlog

Operational Status : On,
Log Device 1 : flash,
Log Device 2 : console,
Syslog FacilityID : local0(16),
Remote command-log : Enabled,
Console Display Level : info (6),
All Applications Trace Level : info (6)
-> swlog clear

Outil « Command Logging »
Activation
 Outil « Command Logging »
 Enregistre les commandes et résultats
 Différent de l'historique des commandes
 Affiche des informations supplémentaires
 Crée un fichier « command.log » dans le répertoire /flash
 Résultats de la commande stockés dans ce fichier
 La suppression du fichier « command.log » entraîne la suppression de l’historique des
commandes
 Ne peut pas être supprimé tant que la fonction « Command Logging » est activée.
 Stocke les 100 dernières commandes
 Doit être activé
-> command-log enable/disable
-> swlog remote command-log enable/disable
Outil « Command Logging »
Exemple
-> show command-log
Command : vlan 68 router ip 168.14.12.120
UserName : admin
Date : MON APR 28 01:42:24
Ip Addr : 128.251.19.240
Result : SUCCESS
Command : vlan 68 router ip 172.22.2.13

UserName : admin
Date : MON APR 28 01:41:51
Ip Addr : 128.251.19.240
Result : ERROR: Ip Address must not belong to IP VLAN 67 subnet
Command : command-log enable

UserName : admin
Date : MON APR 28 01:40:55
Ip Addr : 128.251.19.240
Result : SUCCESS

UserName : admin
Date : MON APR 28 11:13:13
Ip Addr : console
Result : SUCCESS
-> show command-log status

CLI command logging: Enable
OUTIL « PORT MIRRORING »
Outil « Port Mirroring »
 Outil « Port Mirroring »
 Copie le trafic entrant et sortant d'un port de commutateur à un autre
 Permet de capturer un paquet
 Ports pris en charge

 Ethernet, Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet
 Sessions prises en charge

 2 par commutateur autonome et par pile
 N à 1 mises en miroir prises en charge

 24 à 1 (OS6250/OS6450)
 128 à 1 (OS6850/OS6855/OS6900/0S6860)
 Exigences relatives aux ports - doivent avoir une capacité identique
 -> port mirroring <id> source <s/p> destination <s/p>
-> port mirroring 1 source 1/2-6 destination 2/4
-> port mirroring 1 source 1/9 2/7 3/5 destination 2/4
-> port mirroring 1 source 1/2-6 1/9 2/7 3/5 destination 2/4
Remote Port Mirroring (RPM)
 Permet de transporter le trafic sur le réseau vers un commutateur distant
 Utilise un VLAN RPM dédié
 Le VLAN RPM doit être configuré sur les commutateurs source, de destination
et intermédiaire
 Aucun autre trafic n'est autorisé sur ce VLAN
 Pris en charge uniquement sur les commutateurs

OS6850/OS9000/OS6900/OS10K/OS6860
 Les types de trafic suivants ne seront pas mis en miroir :
 Link Aggregation Control Packets (LACP), 802.1AB (LLDP), authentification de port
802.1x, 802.3ag (OAM), paquets de contrôle de couche 3, Generic Attribute
Registration Protocol (GARP)
Commutateur
de destination
Port Commutateur Port

de destination intermédiaire source
Mise en miroir basée sur des règles
 La mise en miroir est réalisée en se basant sur une stratégie QoS et non sur un
port spécifié
 1 stratégie prise en charge à tout moment
 Mise en miroir basée un port. Elle peut être appliquée au trafic entrant ou
sortant ou aux deux.
 policy action mirror
 Trafic miroir basé sur

 des adresses source et de destination
 des paires d'adresses
 des protocoles
 une classification VLAN
 Les fonctions « Port Mirroring » et « Port Monitoring » ne peuvent pas être

configurées sur la même NI
paquets d'entrée, de sortie, ou des deux à la fois
L’action de la règle et l'attribution de port
dirigent le trafic vers le port miroir
Stratégie de mise en miroir

Mise en miroir basée sur des règles
 Exemple 1
-> policy condition c1 source ip 1.1.1.1
-> policy action a1 ingress egress mirror 1/1
-> policy rule r1 condition c1 action a1
-> qos apply
Avec la règle r1, tous les paquets ayant une adresse IP source 1.1.1.1 seront mis en miroir en
entrée et en sortie sur le port 1/1.
 Exemple 2
-> policy condition c1 source ip 1.1.1.1
-> policy action a2 ingress egress mirror 1/1 disposition drop
-> policy rule r2 condition c1 action a2
-> qos apply
La règle r2 abandonne le trafic entrant ayant une adresse IP source 1.1.1.1, mais le trafic de
cette source mis en miroir n'est pas abandonné et est transféré au port 1/1
OUTIL « PORT MONITORING »
Outil « Port Monitoring »
 Capture les données et les stocke au format Sniffer sur le commutateur
 Ports pris en charge
 Ethernet, Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet
 Capture les 64 premiers octets de la trame

 Session prise en charge par commutateur ou pile : 1
 Stockage max. de 512 K - Configurable
 Round-robin ou stoppe la capture lorsque le stockage max est atteint
 Impossible d'utiliser les fonctions « Port Mirroring » et « Port Monitoring » sur le
même port
 Données stockées dans un fichier de données appelé « pmonitor.enc »
conformément au format de fichier ENC (format Network General Sniffer)
->port monitoring 6 source 2/3 enable
 6 ID de session
 La session peut être interrompue, reprise, désactivée et associée à une temporisation
->show port monitor file
Télésurveillance
RMON
 Les sondes RMON peuvent être utilisées pour collecter, interpréter et
transférer des données statistiques sur le trafic réseau émanant de ports actifs
spécifiés dans un segment LAN.
 Ces sondes peuvent être surveillées en utilisant OmniVista.
 4 groupes pris en charge :
 Ethernet Statistics – Regroupe les statistiques du port Ethernet
 Exemple : – statistiques sur l'utilisation du port, les erreurs
 History Group - Enregistre des données telles que le nombre d'utilisations et d'erreurs
 Alarms Group – Compare des données aux seuils
 Exemple : – valeurs absolues ou relatives, seuils d'augmentation et de diminution
 Events Group – Contrôle la génération d'une notification pour la station NMS
-> rmon probes alarm enable

-> rmon probes stats enable
-> show rmon probes history 30562
Probe’s Owner: Analyzer-p:128.251.18.166 on Slot 1, Port 35
History Control Buckets Requested = 2
History Control Buckets Granted = 2
History Control Interval = 30 seconds
History Sample Index = 5859
Entry 10325
Flavor = History, Status = Active
Time = 48 hrs 53 mins,
System Resources (bytes) = 601
ÉTAT DE FONCTIONNEMENT DU SYSTÈME
Outil « Health »
 Surveille l'utilisation des ressources du commutateur et les seuils
 Entrée/sortie au niveau du commutateur
 Niveaux d'utilisation de la mémoire et de la CPU
 Niveau d'utilisation le plus récent (pourcentage)
 Niveau d'utilisation moyen au cours de la dernière minute (pourcentage)
 Niveau d'utilisation moyen au cours de la dernière heure (pourcentage)
 Niveau d'utilisation maximal au cours de la dernière heure (pourcentage)
 Niveau seuil
-> show health

* - current value exceeds threshold
Device 1 Min 1 Hr 1 Hr
Resources Limit Curr Avg Avg Max
-----------------+-------+------+------+------+--------
Receive 80 00 00 00 00
Transmit/Receive 80 00 00 00 00
Memory 80 64 64 63 64
Cpu 80 21 19 24 73
SFLOW
sFlow
Technologie de surveillance réseau
 Standard de l'industrie avec de nombreux fournisseurs
 Livraison de produits prenant en charge sFlow (RFC 3176)
 Donne de la visibilité sur l'activité du réseau
 Fournit des informations d'utilisation réseau et une vue à l'échelle du réseau de
l'utilisation et des routes actives
 Utilisé pour mesurer le trafic réseau, collecter, stocker et analyser les données de
trafic OmniSwitch
 Applications de données sFlow
Tables de
 Détection, diagnostic et correction des transfert Agent sFlow
problèmes du réseau Compteurs
de l'interface
 Gestion en temps réel de l’encombrement
ASIC Données
 Détection des activités réseau non autorisées de commutation
(DOS)
 Taxation et facturation
 Compréhension de la combinaison d'applications (web, DNS etc.)
 Création de profils de route et optimisation des paires
Réseau
 Planification des capacités
sFlow
Configuration du commutateur
L'adresse IP loopback0 est utilisée comme source
sFlow
sFlow
sFlow
sFlow
Mesures depuis chaque port

Collecte centrale en temps réel
 Technologie d'échantillonnage et de surveillance des flux de trafic embarquée

dans les commutateurs
 Processus logiciel sFlow Agent s'exécutant avec le logiciel du commutateur
 sFlow Collector reçoit et analyse les données surveillées (logiciel tiers)
 sFlow Collector utilise le protocole SNMP pour communiquer avec un agent sFlow afin
de configurer la surveillance sFlow sur l'appareil (commutateur)
sFlow
Configuration du commutateur
Agent Un seul agent représente la totalité du commutateur

-> ip managed-interface {Loopback0 | interface-name} application sflow
-> show sflow agent
Destinataire Représente le collecteur distant (adresse IP de destination + port)

- code les échantillons en datagrammes UDP
-> sflow receiver 1 name Server1 address 192.168.1.100
-> sflow receiver 2 name server2 address 172.30.130.102
Échantillonneur Un seul échantillonneur pour chaque interface

Collecte des échantillons de paquet
-> sflow sampler 1 1/1-24 receiver 1 rate 512 sample-hdr-size 128
Scrutateur Un seul scrutateur pour chaque interface

Collecte des échantillons de compteur
-> sflow poller 1 1/1-24 receiver 1 interval 10
-> show sflow receiver

-> show sflow sampler
-> show sflow poller
Dépannage et débogage de base
Sommaire
1 Objectif ......................................................................................... 2
5 Configuration .................................................................................. 3
5.1. Outil Switch Logging ................................................................................... 3
5.2. Outil « Command Logging » .......................................................................... 5
5.3. Outil « Port Mirroring » ............................................................................... 6
5.4. Outil « Health » ........................................................................................ 6
5.5. Outil « Port Monitoring » ............................................................................. 7
5.6. RMON ..................................................................................................... 8
6 Résumé ......................................................................................... 9
7 Test ............................................................................................. 9
2
1 Objectif
Ce lab va vous présenter les outils de dépannage basiques ainsi que les outils de débogage de
l’OmniSwitch.
Un OmniSwitch
Un PC
swlog, show swlog, swlog appid, show health
port mirror, rmon probes, show rmon probes
Toutes
3
5 Configuration
5.1. Outil Switch Logging
L'outil « Switch Logging » (journal du commutateur) peut être utilisé pour suivre les messages d'information
et de débogage du commutateur en fonction de la gravité définie pour un processus spécifique. Le journal
peut être configuré pour envoyer son contenu à la mémoire flash, à la console ou à un serveur externe.
L'outil « Switch Logging » est activé par défaut.
6850E-> show swlog
Remote command-log : Disabled,
Vous constatez que le journal est activé et envoie son contenu à la mémoire flash et à la console. Cela ne
signifie pas que tous les messages seront affichés sur la console : seuls les messages correspondant au niveau
de gravité défini (« informational » (6) par défaut) seront affichés. Le journal peut être désactivé si
nécessaire.
6850E-> no swlog
WED OCT 23 17:54:41 : SYSTEM (75) info message:
+++ Switch Logging Facility stopped by command
6850E-> show swlog

Operational Status : Off,
- Pour réactiver le journal, entrez :

6850E-> swlog
WED OCT 23 17:55:27 : SYSTEM (75) info message:
+++ Switch Logging Facility started by command
La fonction journal utilise des ID d'application pour identifier le processus qui a généré le message de journal
et à quel niveau de gravité. Consultez le Manuel d'utilisation pour obtenir une liste des processus et les
niveaux de gravités associés. Par défaut, tous les processus sont définis sur un niveau de gravité de 6, c'est-à-
dire « informational », comme indiqué ci-dessus. Tous les messages de journal sont stockés dans les fichiers
swlog*.log et peuvent être affichés directement sur le commutateur (Remarque : la commande « more » est
très utile pour les résultats dans ce format. Essayez avec le paramètre par défaut « more » désactivé puis
activé).
6850E-> more
6850E-> show log swlog
Displaying file contents for '/flash/swlog1.log'
4
FILEID: fileName[/flash/swlog1.log], endPtr[61632], configSize[64000], mode[2]

Time Stamp Application Level Log Message
------------------------+--------------+-------+--------------------------------
MON OCT 21 10:01:47 2013 CSM-CHASSIS alert == CSM == loading remote_config.lnk from
/flash/working/Kbase.img
MON OCT 21 10:01:47 2013 CSM-CHASSIS alert == CSM == loading openssh.lnk from
MON OCT 21 10:01:48 2013 CSM-CHASSIS alert == CSM == loading ssApp.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:49 2013 CSM-CHASSIS alert == CSM == loading ftpSrv.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:49 2013 CSM-CHASSIS alert == CSM == loading ntp.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:49 2013 CSM-CHASSIS alert == CSM == loading lanpower.lnk from
MON OCT 21 10:01:50 2013 CSM-CHASSIS alert == CSM == loading telnetdaemon.lnk from
MON OCT 21 10:01:50 2013 CSM-CHASSIS alert == CSM == loading health_monitor.lnk from
MON OCT 21 10:01:51 2013 CSM-CHASSIS alert == CSM == loading rmon.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:51 2013 CSM-CHASSIS alert == CSM == loading bfdcmm.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:52 2013 CSM-CHASSIS alert == CSM == loading esm_driver.lnk from
MON OCT 21 10:01:52 2013 CSM-CHASSIS alert == CSM == loading source_learning.lnk from
MON OCT 21 10:01:53 2013 INTERFACE info Got connection from slot 1:18
MON OCT 21 10:01:53 2013 CSM-CHASSIS alert == CSM == loading spanning_tree.lnk from
MON OCT 21 10:01:53 2013 INTERFACE info Got connection from slot 1:105
MON OCT 21 10:01:54 2013 CSM-CHASSIS alert == CSM == loading sip.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:54 2013 CSM-CHASSIS alert == CSM == loading erpv2.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:55 2013 CSM-CHASSIS alert == CSM == loading saa.lnk from /flash/working/Kbase.img
MON OCT 21 10:01:55 2013 CSM-CHASSIS alert == CSM == loading 8021q.lnk from /flash/working/Kbase.img
Changeons le niveau du processus IP pour obtenir des informations supplémentaires.

6850E-> show swlog
6850E-> no swlog output console

6850E-> swlog appid ip level debug3
6850E-> show swlog

All Applications Not Shown Level : info (6)
Application ID Level
--------------------+----------------
IP ( 15) debug3 (9)
La commande ci-dessus a passé l'application IP à un niveau debug 3, qui est le niveau le plus documenté.
Depuis un PC, envoyez une requête ping à l'interface de routeur de n'importe quel VLAN du commutateur, ou
à n’importe quelle adresse IP, pour générer des paquets IP.
- Des informations de débogage doivent défiler à l'écran et désigner le commutateur ayant reçu un paquet
ARP. Des informations supplémentaires sur l'emplacement/port auquel le PC est connecté doivent
également s’afficher. Redéfinissez le niveau sur « info » :
6850E-> swlog appid ip level info
5
5.2. Outil « Command Logging »
Comme dans l'outil « Switch Logging », les commandes saisies sur le commutateur OmniSwitch peuvent être
inscrites dans un fichier journal. Elles peuvent donc être consultées ultérieurement pour voir les
modifications apportées. Il s'agit d'un outil très utile, en particulier lorsque vous apportez des modifications
à vos configurations.

6850E-> show command-log
6850E-> command-log enable
- Créons et supprimons un couple de VLAN pour l'exemple :

6850E-> vlan 11
6850E-> vlan 12
6850E-> no vlan 11
6850E-> no vlan 12
6850E-> show command-log

Command : no vlan 12
UserName : admin
Date : WED OCT 23 18:00:13
Ip Addr : console
Result : SUCCESS
Command : no vlan 11
UserName : admin
Date : WED OCT 23 18:00:10
Ip Addr : console
Result : SUCCESS
Command : vlan 12
UserName : admin
Date : WED OCT 23 18:00:07
Ip Addr : console
Result : SUCCESS
Command : vlan 11
UserName : admin
Date : WED OCT 23 18:00:05
Ip Addr : console
Result : SUCCESS

UserName : admin
Date : WED OCT 23 18:00:04
Ip Addr : console
Result : SUCCESS
Les commandes que vous avez saisies sont maintenant affichées à l'écran avec des informations sur l'heure et
le support de la saisie, par exemple une console ou une session TELNET.
6
5.3. Outil « Port Mirroring »
L'outil « Port Mirroring » peut être configuré pour copier le trafic d'un ou plusieurs ports vers un autre port.
Le port de destination doit normalement être connecté à un analyseur de trafic. Créons une session de mise
en miroir pour copier le trafic d'un port à un autre.
6850E-> port mirroring 1 source 1/2 destination 1/1
6850E-> show port mirroring status 1
Session Mirror Mirror Unblocked RPMIR Config Oper

Destination Direction Vlan Vlan Status Status
----------+-----------+--------------+----------+---------+----------+---------
1. 1/1 - NONE NONE Enable Off
----------+----------+--------------+----------+---------+----------+---------
Mirror
Source
----------+----------+--------------+----------+---------+----------+---------
1. 1/2 bidirectional - - Enable Off
Utilisez le « ? » pour afficher des paramètres supplémentaires. Notez que seul le trafic entrant ou sortant
peut être capturé le cas échéant.
5.4. Outil « Health »
La fonction « Health » peut être utilisée pour collecter des informations de base sur l'état du commutateur,
par exemple sur l’utilisation de la CPU et de la mémoire, ou sur le trafic.
6850E-> show health
Device 1 Min 1 Hr 1 Hr
-----------------+-------+------+------+-----+----
Receive 80 01 01 01 01
Memory 80 53 53 52 53
Cpu 80 29 23 21 100
6850E-> show health 1/1

Port 01/01 1 Min 1 Hr 1 Hr

-----------------+-------+------+------+-----+----
Receive 80 00 00 00 00
6850E-> show health ?

^
<cr> THRESHOLD STATISTICS SLICE INTERVAL ALL
<num1-num2> <num> <slot/port>
(Miscellaneous Command Set)
7
5.5. Outil « Port Monitoring »
L'outil « Port Monitoring » permet de capturer du trafic envoyé à /depuis un port et de le stocker dans le
répertoire /flash au format « .enc » (ou Sniffer). Les données sont stockées par défaut dans un fichier
appelé pmon.enc, qui peut être modifié. Le fichier peut ensuite être transféré sur le commutateur et
étudié en détails à l'aide d'un analyseur de trafic. Il est également possible d'afficher les résultats
directement sur la console ou sur une session Telnet.
- Connectez votre PC à un emplacement et à un port quelconques du commutateur.
6850E-> port monitoring 1 source 1/1 enable
ERROR: Source port 1001 is part of other session or monitoring
6850E-> port monitoring 1 source 1/3
6850E-> show port monitoring status

Session Monitor Monitor Overwrite Operating Admin
slot/port Direction Status Status
---------+--------------+------------------+---------------+-------------+------------
1. 1/3 Bidirectional ON OFF ON
Notez que lorsque nous avons tenté d'activer la supervision du port 1/1 source, nous avons reçu un message
d'erreur. Précédemment dans cet exercice, nous avons activé l’outil « Port Mirroring » pour ce port, et un
port ne peut appartenir qu'à une seule session à la fois.
Comment avons-nous activé la mise en miroir du port 1/1 ?

-
- Générez du trafic en envoyant des requêtes ping à une adresse quelconque.

Les commandes ci-dessus ont activé une session « Port Monitoring » avec un ID de 1 pour l'emplacement et le
port auxquels votre PC est connecté. Il est possible d'interrompre et de reprendre la session si nécessaire.
6850E-> port monitoring 1 pause

---------+--------------+------------------+---------------+-------------+------------
1. 1/3 Bidirectional ON ON PAUSE
6850E-> port monitoring 1 resume

6850E-> port monitoring 1 disable
Un message signale que l'écriture du fichier de capture est terminée. Les données sont stockées dans un
fichier appelé pmonitor.enc dans le répertoire /flash.
6850E-> ls
Listing Directory /flash:
drw 2048 Oct 23 17:28 certified/

-rw 340 Oct 23 17:29 boot.params
drw 2048 Oct 23 17:28 working/
-rw 64000 Oct 23 17:29 swlog1.log
-rw 64000 Oct 23 18:00 swlog2.log
drw 2048 Oct 16 16:28 switch/
-rw 12 Oct 23 17:29 boot.slot.cfg
drw 2048 Jul 16 16:04 network/
drw 2048 Jan 21 20:05 diag/
drw 2048 Oct 15 10:38 labinit/
-rw 57317 Sep 30 17:01 ipcTech.log
-rw 66402 Oct 23 18:04 command.log
8
-rw 20 Oct 15 10:30 installed

-rw 4583 Oct 23 18:04 pmonitor.enc
68661248 bytes free
6850E-> show port monitoring file

Destination | Source | Type | Data
-------------------------------------------------------------------------------
01:80:C2:00:00:00 | 00:E0:B1:6B:31:5A | II-8100| 81:00:00:01:00:27:42:42:03:00
FF:FF:FF:FF:FF:FF | 00:0B:DB:A7:4D:C4 | II-8100| 81:00:00:01:08:00:45:00:00:4E
FF:FF:FF:FF:FF:FF | 00:0B:DB:A7:4D:C4 | II-8100| 81:00:00:01:08:00:45:00:00:4E
01:80:C2:00:00:00 | 00:E0:B1:6B:31:5A | II-8100| 81:00:00:01:00:27:42:42:03:00
FF:FF:FF:FF:FF:FF | 00:0B:DB:A7:4D:C4 | II-8100| 81:00:00:01:08:06:00:01:08:00
- Utilisez le « ? » pour afficher des paramètres supplémentaires.
Comment procéderiez-vous pour modifier le nom du fichier de capture ?

-
6850E-> port monitoring 1 source 1/1 ?

^
<cr> BIDIRECTIONAL DISABLE ENABLE FILE
INPORT NO OFF ON OUTPORT TIMEOUT
(Miscellaneous Command Set)
- Lorsque vous avez terminé, supprimez la session de supervision.

---------+--------------+------------------+---------------+-------------+------------
1. 1/1 Bidirectional ON OFF OFF
6850E-> no port monitoring 1
5.6. RMON
La fonction « Remote Monitoring » peut être utilisée pour collecter des statistiques et les afficher dans
OmniVista ou d'autres packages NMS.
6850E-> show rmon probes
Entry Slot/Port Flavor Status Duration System Resources

-------+----------+---------+-----------+------------+----------------
1001 1/1 Ethernet Active 00:09:07 271 bytes
1 1/1 History Active 01:10:30 5459 bytes
.
.
.
.
6850E-> show rmon probes history

-------+----------+---------+-----------+------------+----------------
9

.
.
.
6850E-> show rmon probes alarm

-------+----------+---------+-----------+------------+----------------
6850E-> show rmon events
Entry Time Description

-------+---------------+---------------------------
6850E-> show rmon probes 1011

Probe's Owner: Switch Auto Probe on Slot 1, Port 11
Entry 1011
Flavor = Ethernet, Status = Active,
6850E-> show rmon probes history 1

Probe's Owner: Switch Auto Probe on Slot 1, Port 1
History Control Buckets Requested = 50,
History Control Buckets Granted = 50,
History Control Interval = 30 seconds,
History Sample Index = 18009
Entry 1
Flavor = History, Status = Active,
6 Résumé
Ce lab vous a présenté les outils de dépannage et de débogage de l’OmniSwitch.
7 Test
1. Quelle est la commande utilisée pour afficher le journal du commutateur ?
2. Est-ce que la mise en miroir de port permet de capturer le trafic entrant et sortant au format Sniffer ?
3. Sur quelle plateforme l'outil « Port Monitoring » est-il actuellement pris en charge ?
Quelle est la commande permettant de capturer uniquement des paquets entrants ou sortants à l'aide de
l'outil « Port Monitoring » ?
Qualité de service
Objectifs du module
 Comment mettre en œuvre la Qualité de
service (QoS) et les fonctions associées sur
un commutateur basé sur AOS
 Présentation générale
 Paramètres globaux par défaut de la QoS
 Configuration de la QoS et des ports
 Stratégies QoS (Policies) High
Availability
 Conditions et actions de la QoS
 Configuration automatique de la QoS AOS
Operating
System
 Supervision de la QoS Extensive
Manageability
Enhanced
Security
QoS - Présentation générale
 La qualité de service (QoS) désigne la qualité de la transmission et des services disponibles,
mesurée et parfois garantie par avance pour un type de trafic donné dans un réseau.
 Fréquemment définie comme un outil de gestion de la bande passante
Files d'attente du trafic sortant
La condition
Classe le flux L’Action
Détermine de quelle manière
les paquets sont mis en file d'attente
 Par le biais de la qualité de service, un administrateur réseau peut exercer un meilleur

contrôle sur les réseaux sur lesquels différents types de trafics (ou flux) sont en cours
d'utilisation, ou sur lesquels il existe une forte congestion.
 En d’autres termes, le trafic Voix sur IP (VoIP) ou les données essentielles peuvent être marqués
comme trafic prioritaire et se voir attribuer une bande passante supérieure sur la liaison.
 La QoS peut également être planifiée de manière à fonctionner à un moment donné
 La QoS peut être définie via la CLI, Webview ou OmniVista-PolicyView
Mise en file d'attente
 La QoS est responsable de l'application
des stratégies (policies) définies par
l'utilisateur pour le trafic du
commutateur
 Les stratégies QoS peuvent affecter les
éléments suivants : QoS
 Comportement Accept/Drop vis à vis d'un
paquet
Moteur de Moteur de
 Priorité des files d’attente routage classification
 Prochain saut pour le routage Moteur de Gestion de la
Mémoire
 Structure de la bande passante commutation mém. tampon
Moteur de Gestion du
 Priorités des paquets 802.1p/TOS/DSCP sécurité trafic
 Comportement des requêtes IGMP/MLD
Parseur Modification
 Mise en miroir des paquets
 Coloration des trames qui dépassent le
débit configuré
 Classification sur L1/L2/L3/L4

 Mise en file d'attente dans une des 8 files
d'attente COS
 Logique de sortie de file d'attente à
appliquer à chaque étape
QoS - Classification des paquets
Paquet
entrant
E
N
Moteur de transfert
Action
-
T Classification de paquets
Ê
T
E
Classificateur (base de données des stratégies)
Condition Action
---- ----
Obtient les stratégies de : L2
----
(source et dest) ----
MAC, Vlan, Définition des priorités, structure de la
CLI slot/port, Inter typ bande passante
Webview ou Filtrage IPMS Filtrage ICMP
PolicyView Définition des priorités ICMP, limitation
L3
---- ---- de débit ICMP
Marquage et mappage 802.1p/ToS/DSCP
Maintient les tables QoS
Règles, L3/L4 Policy Based Routing (PBR) pour
Actions, SIP, DIP, réacheminer le trafic routé
Conditions, TCP, UDP, IP proto
Port TCP/UDP source Mise en miroir basée sur des règles
Services,
Groupes Port TCP/UDP de dest. Filtrage avancé des couches 2 à 4
Équilibrage du trafic serveur
QoS
Spécifications
 Files d’attente prioritaires par défaut
 8 files d'attente CoS par port de sortie
 802.1p/TOS utilisé pour sélectionner les files d'attente
 Mode « Strict priority » pour la planification
 Configurée par des commandes QoS

 Condition
 Action
 Règles (<condition> + <action> +
<validité temporelle, optionnelle>)
 Utilisation de la CLI, de WebView et
PolicyView
 Maximum
 Conditions = 2048
 Actions = 2048
 Règles
 2048 (6400/6850/6855)
 1400 (6250)
Mise en file d'attente
 Destination locale
 Le paquet ne traverse pas la Fabric
 Le paquet va sur une des 8 files d'attente
CoS du port de destination C
PLANIFICATEUR
o
DE SORTIE
s
MMU
MAC
MAC
TLU
 Destination distante Q
u
 Le paquet va sur une des 8 files d'attente e
s
CoS
 La MMU (Mem. Mgt. Unit) gère les

mémoires tampons
 La longueur max. des files d'attente est
configurée par l'AOS
 Si la longueur de la file d'attente dépasse la
limite configurée, aucun autre paquet ne
peut être mis en file d'attente (le paquet
est abandonné)
Planification
 Planificateur pour chaque port
C
 Contrôle les files d'attente CoS
PLANIFICATEUR
o
DE SORTIE
s
 Sélectionne les files d'attente en se basant
MMU
MAC
MAC
TLU
Q
sur les mesures de congestion suivantes : u
e
Strict Priority s
 Commence par la priorité la plus haute

 Les files d'attente sont traitées jusqu'à ce qu'elles soient vides
 Weighted Round Robin
 L'utilisateur peut spécifier le nombre de paquets à sortir d'une file d'attente (de 1 à 15) avant
de passer à la file d'attente suivante
 Un poids de 0 indique une file d'attente « Strict Priority »
 Une file d'attente est sautée si elle est vide
 Deficit Round Robin
 Poids configurable de 0 à 15
L'unicast et le multicast
 Même principe que le WRR basé sur le volume (1=10KB)
ont la même priorité
 Une valeur 0 indique que la file d'attente doit être considérée
comme une file « Strict Priority »
-> qos port <slot/port> servicing mode wrr
 Sort le paquet et l'envoie -> qos default servicing mode wrr
 Renvoie la mémoire tampon (ou buffer) au pool buffers
Contrôle de la congestion
 Protocole « End to End » entre les puces de sortie et d'entrée
 Refuse les trames au niveau du port d'entrée si le port de sortie est congestionné (en
fonction de la priorité)
 En d'autres termes, si la longueur de file d'attente au niveau du port de sortie dépasse la limite
définie
=> Évite de gaspiller la bande passante de la fabric pour des trames qui seraient
abandonnées à la sortie
=> Les trames destinées à des ports non congestionnés ne sont pas abandonnées
C La puce de sortie du commutateur envoie

o « congestion bitmask » pour des
s
associations {port,COS} à toutes
Q les puces d'entrée du commutateur
u
e
Données s C
d'entrée o
Pool buffers s
2 Mo
Q Port Ethernet
u
e congestionné
C s
o
s
La puce Fabric
Q n'interprète pas les
u
Données e messages E2E.
d'entrée s
La puce de sortie du commutateur

compare la longueur de file d'attente
Les puces d'entrée du commutateur de chaque port aux seuils définis
abandonnent les trames destinées
aux ports congestionnés.
.
CONFIGURATION GLOBALE PAR DÉFAUT DE LA QOS
Définition de la QoS - Paramètres généraux par défaut
Description Commande Valeur par défaut
QoS activée ou désactivée qos enabled

Mode général par défaut de mise en file qos default servicing mode strict-priority
d'attente pour les ports
Les ports sont-ils sûrs ou non? qos trust ports Les ports taggués 802.1Q et les
ports mobiles sont toujours
considérés comme sûrs à
l’inverse de tout autre port.
Intervalle des statistiques qos stats interval 60 seconds
Comportement général pour le trafic bridgé qos default bridged disposition accept
Comportement général pour le trafic routé qos default routed disposition accept
Comportement général pour le trafic multicast qos default multicast disposition accept
Niveau de détails du journal qos log level 6
Nombre de lignes dans le journal QoS qos log lines 256
Envoi ou non des messages de consignation vers qos log console no
la console
Disponibilité ou non des messages de qos forward log no
consignation pour les applications OmniVista
Activation ou non de l'anti-usurpation d'adresses qos user-port filter yes
IP sur les ports UserPorts.
Détermine si un port UserPorts est désactivé ou qos user-port shutdown no
non de manière administrative lorsqu'un trafic
indésirable est reçu.
Type de messages consignés debug qos info
Modification
Configuration globale de la QoS
-> qos enable
-> qos default bridged disposition {accept | deny | drop}
 Refuse par défaut tous les trafics bridgés, routés ou multicast
-> qos reset

 Réinitialise la configuration QoS sur les valeurs par défaut
-> qos revert

 Supprime la configuration en suspens
-> qos flush

 Purge la configuration
-> qos apply

CONFIGURATION PAR DÉFAUT DES PORTS QOS
Paramètres QoS
Port physique
-> qos port slot/port
[trusted]
[servicing mode]
[qn {minbw | maxbw} kbps]
[maximum egress-bandwidth]
[maximum ingress-bandwidth]
[default 802.1p value]
[default dscp value]
[default classification {802.1p | tos | dscp}]
[dei {ingress | egress}]
Paramètres par défaut du port physique

Description Commande/mot clé Valeur par défaut
Valeur 802.1p par défaut insérée dans les qos port default 802.1p 0
paquets reçus sur des ports non sûrs
Valeur DSCP par défaut insérée dans les paquets qos port default dscp 0
reçus sur des ports non sûrs
Détermine si le port utilise le mode « Strict qos port servicing mode strict priority queuing
Priority » ou « Weighted Fair Queuing ».
Bande passante minimale/maximale par défaut minimum = best effort
pour chacune des huit files d'attente CoS par qos port q minbw maxbw
maximum = port bandwidth
port.
Le port est-il sûr? qos port trusted Les ports 802.1Q et mobiles sont
toujours considérés comme sûrs
Bande passante maximale qos port maximum bandwidth port bandwidth
Configuration des ports QoS
 Ports sûrs (trusted ports)  Règle de précédence
 Les valeurs VLAN, 802.1p ou ToS/DSCP sont  802.1p, TOS, DSCP
conservées  La priorité par défaut/le DSCP peuvent être
-> qos trust ports utilisés lorsqu'un champ attendu est
-> qos port slot/port trusted manquant
 Priorité par défaut configurable par port
(0..7) et DSCP
 Ports non sûrs  Port 802.1p ou ToS/DSCP par défaut

 Le commutateur définit sur zéro les bits ->qos port 3/1 default 802.1p 7
802.1p ou la valeur ToS/DSCP.
 Le VLAN est remplacé par le VLAN par
défaut du port.
-> qos port slot/port no trusted
Paramètres QoS
Port physique
Définition du port 1/8 sur Weighted Round Robin

-> qos port 1/8 servicing mode wrr
Modification des paramètres généraux du commutateur sur Weighted Round Robin

-> qos default servicing mode wrr
Définition des poids de chaque file d'attente sur le port 1/10

-> qos port 1/10 servicing mode wrr 0 2 3 4 8 1 1 7
Configuration du débit maximal d'envoi du trafic sur le port spécifié

-> qos port 1/1 maximum egress-bandwidth 10M
Prend la priorité sur une limite de file d'attente en entrée configurée sur le même port
Configuration du débit maximal de réception du trafic sur un port QoS

-> qos port 1/1 maximum ingress-bandwidth 5M
Configuration d'une valeur minimale et maximale de bande passante pour chacune des files d'attente de sortie CoS sur le
port spécifié
-> qos port 2/10 q7 minbw 2k q7 maxbw 10k
CONFIGURATION DES STRATÉGIES QOS
QoS
Types de stratégie
Access Guardian
• Profil UNP
QoS de base Stratégies ICMP

• Définition des priorités du trafic • Filtrage
• Structure de la bande passante • Définition de priorités
• Gestion des files d'attentes • Limite de débit du
trafic (sécurité)
QoS
802.1p / ToS / DSCP
• Marquage Routage basé
• Horodatage sur les stratégies
• Trafic routé redirigé
Filtrage
• Listes ACL couche 2 Structure miroir
et couche 3/4 basée sur les stratégies
• Trafic miroir basé sur
les stratégies QoS
Règles de stratégie QoS
Configuration
-> policy rule rule_name [enable | disable] [precedence precedence] [condition condition] [action action]
[validity period name | no validity period] [save] [log [log-interval seconds]] [count {packets | bytes}]
[trap | no trap] [default-list | no default-list]
Paquet
entrant
Action
Classification de paquets
s'applique au trafic sortant
classe le trafic entrant
Condition Action
Règle de stratégie
-> policy validity period vp01 hours 13:00 to 19:00 days monday friday
-> policy rule r1 validity period vp01
Configure la période de validité de la règle r1
-> policy rule r1 precedence 200 condition c1 action a1 log

Définit la précédence de la règle r1 et active la consignation
Classification du flux
Stratégie (Policy)
Paquet
entrant
Action
s'applique au trafic sortant
classe le trafic entrant
Condition Action
Règle de stratégie (Policy rule)
 Si aucune stratégie ne correspond au flux

 Le flux est accepté ou refusé en fonction du comportement global défini pour le commutateur
 Si le flux est accepté, il est placé dans une file d'attente par défaut sur le port de sortie
 Si plusieurs stratégies correspondent au flux

 La stratégie ayant la précédence la plus élevée (0 – 65535) est appliquée au flux
 Les flux doivent également être conformes à tous les paramètres configurés dans
une condition
 Une condition doit avoir au moins un paramètre de classification.
Définition des stratégies
Stratégies par défaut
Règles par défaut
Description Mot clé Valeur par défaut

Règle activée ou désactivée enable | disable enabled
Détermine l'ordre de recherche des precedence 0
règles
Enregistrement immédiat ou non de save enabled
la règle sur mémoire flash
Détermine si les messages portant sur log no
les flux qui correspondent à la règle
sont consignés
Intervalle de vérification des log-interval 30 seconds
messages portant sur les flux
correspondant
Détermine s'il faut comptabiliser les count les paquets sont comptabilisés
octets ou les paquets qui
correspondent à la règle
Envoi ou non d'un trap au titre de la trap enabled (trap envoyé uniquement
règle sur l'action de désactivation du
port ou UserPort)
QOS - Conditions de stratégie -> policy condition condition_name
[source ip ip_address [mask netmask]]
[source ipv6 {any | ipv6_address [mask netmask]}
[destination ip ip_address [mask netmask]]
[destination ipv6 {any | ipv6_address [mask netmask]}
[multicast ip ip_address [mask netmask]]
[source network group network_group]
 Conditions [destination network group network_group]
[multicast network group multicast_group]
[source ip port port[-port]]
source TCP/UDP port [destination ip port port[-port]]
[source tcp port port[-port]]
destination TCP/UDP port [destination tcp port port[-port]]
service, service group, [source udp port port[-port]]
[destination udp port port[-port]]
TCP flags [ethertype etype]
[established]
IP protocol, source IP, [tcpflags {any | all} flag [mask flag]
[service service]
multicast IP, destination IP, [service group service_group]
source network group, [icmptype type]
[icmpcode code]
destination network group, [ip protocol protocol]
[ipv6]
multicast network group, [nh next_header_value]
ToS, DSCP, ICMP type, ICMP code [flow-label flow_label_value]
[tos tos_value tos_mask]
[dscp {dscp_value[-value} [dscp_mask]]
source MAC, source MAC group, [source mac mac_address [mask mac_mask]]
destination MAC, destination MAC group, [destination mac mac_address [mask mac_mask]]
[source mac group group_name]
802.1p, 802.1p range, ethertype, [destination mac group mac_group]
source VLAN, destination VLAN [source vlan vlan_id]
[destination vlan vlan_id]
[802.1p 802.1p_value]
source port, source port group, [source port slot/port[-port]]
destination port, [source port group group_name}
[destination port slot/port[-port]]
destination port group [destination port group group_name]
[vrf { vrf_name | default}]
QoS - Groupes de conditions
 Policy network group
 Adresses source ou de destination IPv4
 Groupe « Switch » par défaut
 Inclut toutes les adresses IPv4 configurées pour le commutateur
-> policy network group netgroup3 173.21.4.0 mask 255.255.255.0 10.10.5.3
 Policy service group

 Ports TCP ou UDP ou plages de ports (source ou destination)
-> policy service telnet1 protocol 6 destination ip port 23
-> policy service ftp2 source tcp port 20-21 destination tcp port 20
-> policy service group serv_group telnet1 ftp2
 Policy mac group

 Différentes adresses MAC pouvant être associées à une condition
-> policy mac group macgrp2 08:00:20:00:00:00 mask ff:ff:ff:00:00:00 00:20:DA:05:f6:23
 Policy port group

 Combinaisons du numéro slot et de port
-> policy port group techports 1/1 3/1 3/2 3/3
-> policy condition cond4 source port group techports
 Policy vlan group

 Liste VLAN ou plage VLAN
 La condition peut être utilisée aussi bien dans la règle d'entrée que dans la règle de sortie
-> policy vlan group local 10-13 20 21
Stratégie QoS - Actions
Correspond-elle à une condition ?
Utilisation de l'action ayant Utilisation de l'action

la priorité la plus haute par défaut
Marque, priorité, mise

en forme, filtre, miroir,…
Description Mot clé Valeur par défaut

Valeurs par Acceptation ou refus du flux disposition accept
défaut des correspondant à la règle
actions
QoS - Actions
 Actions
ACL (disposition drop)

Change queuing priority
Update TOS/Diffserv and/or 802.1P priority tags -> policy action action_name
[disposition {accept | drop | deny}]
802.1p/TOS/Diffserv marking [shared]
802.1p/TOS/Diffserv mapping [priority priority_value]
[maximum bandwidth bps]
Per COS max bandwidth (64K bps) [maximum depth bytes]
Maximum depth [tos tos_value]
[802.1p 802.1p_value]
Statistics (# of packets, # of bytes) [dcsp dcsp_value]
Ingress policing / Egress shaping [map {802.1p | tos | dscp} to {802.1p | tos| dscp} using map_group]
[permanent gateway ip ip_address]
Port Redirection [port-disable]
Routed Traffic Redirection [redirect port slot/port]
[redirect linkagg link_agg]
Link Aggregate Redirection [no-cache]
Port Disable [{ingress | egress | ingress egress | no} mirror slot/port]
[cir bps [cbs byte] [pir bps] [pbs byte] [counter-color [red-
Mirroring nonred | green-nongreen | green-red |green-yellow | red- yellow]]
Multi-actions support
Ingress Rate Limiting
QoS - Stratégie et combinaisons d’actions
 Des actions peuvent être combinées au sein de la même action de stratégie
Abandon/ Priorité Horada- BP max Redirec- Redirec- Désactiva- Adresse IP Mise en

Désactiva- tage / (%) tion de tion/ tion de de miroir
tion de port Mappage port port passerelle
Agrégat
permanente
de liens
Abandon / N/A Non Non Non Non Non Non Non Oui
Désactivation de
port
Priorité Non N/A Oui Oui Oui Oui Non Oui Oui
Horadatage / Non Oui N/A Oui Oui Oui Non Oui Oui
Mappage
BP max (%) Non Oui Oui N/A Oui Oui Non Oui Oui
Redirection de Non Oui Oui Oui N/A Non Non Oui Oui
port
Redirection / Non Oui Oui Oui Non N/A Non Oui Oui
Agrégat de liens
Désactivation de Non Non Non Non Non Non N/A Non Non
port
Adresse IP de Non Oui Oui Oui Oui Oui Non N/A Oui
passerelle
permanente
Mise en miroir Oui Oui Oui Oui Oui Oui Non Oui N/A
Définition des stratégies - Définition des priorités et mappage
des files d'attente
???????
Priorité ????
Condition
 Si un paquet correspond à une règle QoS qui spécifie une valeur de priorité
 la priorité de sortie du paquet est définie à l'aide de la valeur contenue dans la règle
 Si un paquet ne correspond à aucune règle QoS

 s'il est reçu sur un port sûr, la priorité de sortie du paquet est définie à l'aide de la
valeur DSCP (paquets IP) ou de la valeur 802.1p (paquets non-IP)
 s'il est reçu sur un port non sûr,
la priorité de sortie du paquet 802.1p ToS/DSCP Priorité File
d’attente
est définie en utilisant la valeur 802.1p
0 000xxx 0 0
par défaut du port sur lequel le paquet
1 001xxx 1 1
a été reçu
2 010xxx 2 2
3 011xxx 3 3
4 100xxx 4 4
Tableau de mappage priorité/file d'attente 5 101xxx 5 5
6 110xxx 6 6
7 111xxx 7 7
Actions de stratégie QoS - Exemples
-> policy condition Traffic destination port 3/2 802.1p 4

-> policy action SetBits 802.1p 7
Mappage
-> policy rule Rule2 condition Traffic action SetBits 802.1p
 Mappe le trafic destiné au port 3/2 et la valeur 802.1p de 4 sur une valeur 802.1p de 7
-> policy condition cond3 source ip 10.10.2.3

-> policy action action2 priority 7
Définition de
-> policy rule my_rule condition cond3 action action2 la priorité
 Définit le trafic venant de 10.10.2.3 sur une priorité de 7
Améliorations de la QoS
Filtrage en sortie
 Le filtrage en sortie est pris en charge uniquement sur les commutateurs
 OS6400
 OS6855_U24X
 OS9000E
 Stratégies de sortie
 Groupées dans une liste de stratégies (policy list) de type « egress »
 Même règle autorisée dans les listes de stratégies d'entrée et de sortie
 Par défaut, une règle est traitée comme une stratégie d'entrée
-> policy list list_name type [unp | egress] rules rule_name [rule_name2...] [enable | disable]
Applique la liste des règles au trafic sortant sur les ports QoS
-> policy list eggress1 type egress rules rule1 rule2 rule3
QoS
Vérifier les stratégies
 Affichage du nombre réel de correspondances aux règles configurées
->show active policy rules
Policy From Prec Enab Act Refl Log Trap Save Def Matches
R1 cli 0 Yes Yes No No Yes Yes Yes 2
(L2/3): C1 -> QoS_Action1
 Comptabilisation de la correspondance aux règles

 2 options pour configurer la comptabilisation
->policy rule name count packets (default)
 Chaque paquet correspondant à une règle sera comptabilisé dans la colonne « Matches »
->policy rule name count bytes

 Identique, mais compte le nombre d'octets et non le nombre de paquets
QoS
Tester les stratégies
-> show policy classify {l2 | l3 | multicast} [applied]
[source port slot/port]
[destination port slot/port]
[source mac mac_address]
[destination mac mac_address]
[source vlan vlan_id]
[destination vlan vlan_id]
[source interface type {ethernet | wan | ethernet-10 | ethernet-100 | ethernet-1G | ethernet-10G}]
[destination interface type {ethernet | wan | ethernet-10 | ethernet-100 | ethernet-1G | ethernet-10G}]
[802.1p value]
[source ip ip_address]
[destination ip ip_address]
[multicast ip ip_address]
[tos tos_value]
[dscp dscp_value]
[ip protocol protocol]
[source ip port port]
[destination ip port port]
-> show policy classify l3 source ip 192.168.10.100 destination ip 198.168.10.1

Packet headers:
L2:
*Port : 0/0 -> 0/0
*IfType : any -> any
*MAC : 000000:000000 -> 000000:000000
*VLAN : 0 -> 0
*802.1p : 0
L3/L4:
*IP : 192.168.10.100 -> 192.168.10.1
*TOS/DSCP : 0/0
Using applied l3 policies
Classify L3:
*Matches rule ‘r1’: action a1 (drop)
Améliorations de la QoS
Statistiques sur les ports de sortie / files d'attente
 Statistiques sur les files d'attente
-> show qos queue
affiche le nombre de paquets transmis et abandonnés de chaque file d'attente
 Transmitted : indique le nombre de paquets transmis avec succès depuis le port de sortie/la file d'attente CoS
 Les paquets sont assurés de sortir par le port de sortie
 Discarded-Low
 Indique le nombre de paquets du port de sortie/de la file d'attente CoS abandonnés (lorsque la file d'attente est pleine)
 Discarded-High
 Indique le nombre de paquets jaunes ou à précédence élevée au niveau du port de sortie/de la file d'attente CoS, abandonnés
lorsque la file d'attente n'est pas pleine
 Plateformes OS6400/OS685X/OS9000
 Pour capturer des statistiques par port
-> qos port 1/1 monitor -> show qos queue 1/9
Slot/ Q Bandwidth Packets
 Activé automatiquement sur le commutateur Port VPN No Pri Wt Min Max Xmit Drop Type
OmniSwitch 6855-U24X ou 9000E -----+----+--+---+--+-----+-----+---------+---------+----
1/9 8 0 0 - - - 0 0 PRI
1/9 8 1 1 - - - 0 0 PRI
 Statistiques de réinitialisation de 1/9 8 2 2 - - - 0 0 PRI
1/9 8 3 3 - - - 0 0 PRI
files d'attente de port 1/9 8 4 4 - - - 0 0 PRI
1/9 8 5 5 - - - 0 0 PRI
-> qos stats reset egress 1/9 8 6 6 - - - 0 0 PRI
-> qos stats interval 1/9 8 7 7 - 2K 10K 0 0 PRI
CONFIGURATION AUTOMATIQUE DE LA QOS
QoS automatique sur des applications vocales Alcatel-Lucent
Si tu vois un téléphone
Alcatel-Lucent, place-le
 Sécuriser et donner la priorité au trafic venant des dans la file d'attente
prioritaire - défini par
téléphones Alcatel-Lucent en se basant sur la OXE, c'est-à-dire priorité 5
Menace le reste si
priorité du paquet nécessaire
 sur les ports sûrs et non sûrs
 Activée par défaut sur le commutateur

 Le commutateur détecte que le trafic vient de téléphones ALU
(en se basant sur l'adresse MAC)
 Des groupes MAC supplémentaires peuvent être
configurés. Ils seront traités de la même manière
 Le groupe MAC « alaPhones » doit être redéfini
-> policy mac group alaPhones 00:80:9f:00:00:00 mask ff:ff:ff:00:00:00
 L'administrateur a la possibilité de donner la priorité au trafic téléphonique au

lieu de simplement lui faire confiance
-> qos phones [priority priority_value | trusted]
 Lorsqu'elles sont activées, les stratégies QoS spécifiant la priorité n'ont aucun
effet sur le trafic téléphonique
 L'administrateur peut toujours appliquer d'autres stratégies telles que des
stratégies ACL et de limitation de débit
QoS automatique - Applications NMS Alcatel-Lucent
(V6 uniquement)
 Donne la priorité au trafic NMS vers le commutateur, ce qui permet de limiter
les problèmes d'accès à un commutateur subissant une attaque
 Doit être activée sur le commutateur
 Prise en charge uniquement sur les 8 premières interfaces selon l'ordre de création
Définie par sa valeur ifIndex
 Le trafic NMS est identifié par le numéro de port

 SSH (TCP port 22)
 telnet (TCP port 23)
 WebView (HTTP port 80) -> qos nms priority
 SNMP (TCP port 161)
 Permet un accès de gestion au commutateur même dans des conditions de

charge importante
 Évite que le commutateur passe à une condition DoS en raison du débit en
limitant le trafic NMS haute priorité à 512 pps
SIP SNOOPING (SURVEILLANCE SIP)
SIP (Session Initiation Protocol)
 Ce protocole de communication réseau est généralement appliqué pour la
signalisation Voice over IP (VoIP).
 Il s'agit d'une approche alternative à la signalisation par le protocole standard H.323.
 Il peut fonctionner avec d'autres protocoles pour établir des connexions entre
toute sorte de périphériques différents. Il peut également prendre en charge
des messages audio, vidéo et instantanés.
 Quel que soit le périphérique ou média particulier à travers lequel le contenu est
délivré
 Il transporte la signalisation en envoyant de petits messages, composés d'un en-

tête et d'un corps.
 Lorsque le SIP snooping est activé, le commutateur OmniSwitch différencie le
trafic en se basant sur l'application, l'utilisateur et le contexte, et utilise les
niveaux de service applicables.
 Le trafic voix et vidéo est prioritaire sur le trafic non-vocal
 La bande passante est garantie pour le trafic de données stratégiques pour une
meilleure performance.
SIP Snooping - Identifier, marquer, traiter et contrôler
 Permet la configuration de règles de stratégie SIP
 Traitements QoS des flux de média/ flux RTP établis entre les terminaux de l'agent
utilisateur SIP.
 Identifie et marque le SIP et ses flux de média correspondant.
 Chaque flux de média contient des flux RTP et RTCP.
 Le marquage est réalisé à l'aide du champ DSCP dans l'en-tête IP.
 Permet d’appliquer un traitement QoS, configuré par l'utilisateur, au trafic
SIP/RTP/RTCP en fonction du marquage. Le traitement QoS est appliqué en mappant
le DSCP sur le numéro de file d'attente et l’attribut « drop precedence »
 Calcule les valeurs métriques du délai, de la gigue, du temps de transit aller-retour,
du coefficient R et des valeurs MOS des flux de média venant du RTCP correspondant
 Génère une interruption lorsqu'une des métriques QoS dépassent le seuil défini par l'utilisateur.
 Le SIP Snooping permet également le traitement QoS basique et global des

messages de signalisation SIP et des appels SOS.
 Par défaut, les paquets SIP transférés par le matériel ne sont pas soumis à un
quelconque traitement QoS spécifique. Les paquets sont traités comme des
paquets normaux et suivent le même traitement QoS en fonction de la
configuration des ports QoS et des règles de stratégie.
Présentation de la fonction « SIP Snooping »
 Composants du réseau SIP
 Commutateurs d'extrémité, commutateurs
d'agrégation et commutateurs de cœur de réseau
 Serveur SIP (registre, proxy, redirection, passerelle) Externe
 Postes SIP (User Agents) WAN
 Fonctionnement du SIP Snooping

 Une ACL SIP déclenche la configuration du HW avec Serveur SIP
des mots clés SIP : INVI, UPDA, BYE,…
 Si des mots clés correspondent, copie le paquet vers la
CPU : « snooping » Signalisation
 Une fois que les ports RTP et RTCP ont été négociés SIP
 La liste ACL est définie dans le HW pour les 4 flux (2 x RTP, 2
Flux RTP/RTCP
x RTCP)
 Les flux RTCP sont dupliqués vers la CPU pour analyse
 Lorsque l'appel est terminé, les ressources HW
réservées au RTP/RTCP sont libérées
 Sur le commutateur d'extrémité, le

Postes SIP
traitement QoS est appliqué aussi bien aux Postes SIP
flux de média entrants que sortants
(flux RTP).
Présentation de la fonction « SIP Snooping »
 SIP Snooping activé sur les
SIP
commutateurs d'extrémité avec
traitement QoS appliqué à la fois Externe
aux flux de média entrants et WAN
sortants (flux RTP).
 Appel interne : le traitement QoS est Serveur SIP
appliqué aux deux commutateurs
d'extrémité sur lesquels les terminaux de
l'agent utilisateur SIP sont connectés. Signalisation
 Appel externe : le traitement QoS est SIP
appliqué uniquement au commutateur
Flux RTP/RTCP
d'extrémité sur lequel le terminal de l'agent
utilisateur SIP interne est connecté.
 Fonctions
 Reconnaissance des applications et
application QoS / ACL sur des flux
SIP SIP SIP SIP
spécifiques
 Contrôle la gigue, le délai, la perte de
paquet, la note MOS et le coefficient R de
flux particuliers
Identification de paquets SIP
 Les paquets SIP sont identifiés par la valeur de chaîne se trouvant au début des
données utiles UDP
 Les réponses SIP commencent toujours par SIP/2.0.
 Les requêtes SIP commencent par leur nom.
 Les paquets SIP sont identifiés en effectuant une recherche au début des
données utiles UDP.
 SIP/2.0
 INVITE
 ACK
 PRACK
 UPDATE
 BYE
 Le SIP Snooping prend en charge une recherche de 4 octets. La recherche se

fera donc sur « INVI » seulement et nom sur le terme INVITE complet.
 Des paquets ayant des chaînes similaires au début de leurs données utiles
peuvent être identifiés comme des paquets SIP. Le logiciel de la CPU est
supposé réaliser un filtrage supplémentaire, mais un marquage sera réalisé
dans tous les cas.
Configuration de la fonction « SIP Snooping »
 Configuration des ports d'extrémité
 Les périphériques SIP sont connectés aux ports d'extrémité et sont, généralement,
non sûrs
 Configuration d'un serveur SIP de confiance
 Configuration de règles de stratégie pour le SIP Snooping
 Configuration d'appels SOS

SIP Snooping - Configuration des ports d'extrémité
 Le SIP Snooping possède deux modes :
 Automatic - (par défaut) Les modes « edge » et « non edge » sont dérivés du LLDP
 Port « non edge » – Le port reçoit le LLDP avec une fonction commutateur/routeur.
 Port « edge » – Le port ne reçoit pas le LLDP ou reçoit le LLDP sans la fonction
commutateur/routeur.
Remarque : Pour AOS, la fonction commutateur/routeur n'est pas annoncée par défaut.
Elle peut être activée à l'aide de la commande :
-> lldp <slot/port> tlv management system-capabilities enable”
 Mode Force - Les modes « edge » et « non edge » sont forcés par la configuration
 En cas de conflit, la configuration utilisateur prévaut sur le comportement par

défaut dérivé du LLDP.
 La configuration automatique du poste a une valeur de précédence supérieure
au SIP snooping. Désactivez la configuration automatique du poste avec la
commande « qos no phones ».
 Définissez tous les ports d'extrémité, y compris les ports d'extrémité réseau,
sur le mode non sûr.
SIP Snooping - Configuration d'un serveur SIP de confiance
 La fonction « SIP Snopping » permet de configurer des serveurs SIP de
confiance, ce qui limite son application à une liste d'adresses IP de serveurs
sécurisés.
 Par défaut, tous les serveurs SIP sont sûrs. Les messages SIP sont sûrs quelle
que soit la source (c'est-à-dire l'adresse IP source) ou la destination (c'est à dire
l'adresse IP de destination) du message SIP.
 Jusqu'à 8 adresses de confiance peuvent être configurées comme serveur SIP de
confiance. Pour configurer le serveur SIP de confiance, utilisez la commande :
-> sip-snooping trusted-server 192.168.0.1
 Les autres appels sont rejetés par le module SIP Snooping et ne sont pas soumis
au traitement QoS SIP configuré.
Configuration de règles de stratégie pour le SIP Snooping
 Le SIP Snooping définit un marquage DSCP global pour le message de
signalisation SIP.
 Paquet DSCP
 Priorité interne
 Les messages de signalisation PDU SIP ont un débit limité à 1 Mbps Ce limiteur
de débit n'est pas configurable.
 Par défaut, aucun limiteur de débit ou DSCP n'est configuré pour le SIP
Snooping.
-> sip-snooping sip-control [no] dscp <num>
SIP Snooping - Configuration des appels SOS
 La fonction « SIP Snooping » permet de détecter les appels d'urgence en se
basant sur l'URI « to » du message INVITE. La configuration permet de définir
jusqu'à 4 chaînes d'appel SOS. La chaîne doit avoir un URI correspondant
exactement à l'URI « to » ; l'expression régulière n'est pas prise en charge.
 Le traitement QoS pour les appels SOS est limité au marquage DSCP global de
tous les appels SOS. Lorsqu'un appel semble être un appel SOS, un DSCP par
défaut de 46 (EF) est attribué aux flux RTP et RTCP de cet appel. Le marquage
DSCP peut-être configuré sur n'importe quelle valeur. De même, un limiteur de
débit de 128 Kbps est imposé pour l'appel. Ce limiteur de débit pour les appels
SOS n'est pas configurable.
 Par défaut, aucun numéro SOS n'est configuré pour le SIP Snooping.
-> sip-snooping sos-call number “911” “2233”
Limites du SIP Snooping
 Les types de média autres qu'audio et vidéo, comme les types de média image,
application, etc. ne sont pas pris en charge.
 La solution prend uniquement en charge le SIP et ne prend pas en charge le
NOE
 Les fonctions de registraire SIP, proxy sortant, proxy et redirection doivent être
fournies par le même serveur, appelé serveur SIP.
 Seul le protocole SIP sur UDP est pris en charge. La solution ne prend pas en
charge les protocoles SIP sur TCP, SCTP ou MPLS. Le SIP Snooping ne prend pas
en charge le protocole SIP sur TLS sécurisé. De même, les protocoles SDP ou
RTCP cryptés ne sont pas pris en charge.
 Seul le protocole SIP sur IPv4 est pris en charge, et non le SIP sur IPv6. Les
Multicast Media Sessions par SIP ne sont pas prises en charge.
 Le proxy sortant configuré sur le poste et le serveur d'appel sécurisé configuré
sur le commutateur doivent être identiques.
QUALITÉ DE SERVICE (QOS)
Sommaire
1 Objectif ......................................................................................... 2
2 Qualité de Service Paramètres .............................................................. 2
6 Configuration .................................................................................. 3
7 Paramètres généraux par défaut de la QoS ............................................... 3
8 Configuration .................................................................................. 4
8.1. Configuration globale ................................................................................. 4
8.2. Structure de la bande passante ..................................................................... 7
8.3. Configuration des valeurs de port par défaut du 802.1p/ToS/DSCP .......................... 9
8.4. Configuration de ports sécurisés .................................................................. 10
8.5. Configuration du mode « Servicing » et des seuils ............................................. 11
8.6. Configuration des règles ............................................................................ 12
8.7. Mots clés de règle.................................................................................... 14
8.8. Préséance des règles ................................................................................ 15
8.9. Paramètres “policy” ................................................................................. 16
8.10. policy service group ................................................................................. 16
8.11. policy mac group ..................................................................................... 17
8.12. Policy port group ..................................................................................... 17
8.13. Policy map group..................................................................................... 18
9 Résumé ....................................................................................... 18
10 Test ........................................................................................... 18
2
Qualité de Service (QoS)
1 Objectif
Ce lab fournit un aperçu des nombreux paramètres QoS sur les OmniSwitch. Vous allez voir
différentes configurations. Cela va vous permettre d’être plus familier avec la syntaxe. Après
avoir complété ce lab, vous aurez un aperçu de la complexité de la QoS et des étapes à suivre
afin de la faire fonctionner correctement. La dernière partie vous demandera de créer une
configuration basée sur un scénario.
2 Qualité de Service Paramètres

Les produits OmniSwitch ont été conçus avec la Qualité de Service en tête. Ainsi, il y a une
grande variété de fonctions et paramétrages disponibles. De plus, de nouveaux ensembles de
fonctions vont être implémentés en fonction des nouveaux standards et demandes émergentes.
Un OmniSwitch (n’importe quel model)
Deux PCs ou plus.
qos (enable, disable, apply, reset, flush), qos port …,
policy (condition, action, rule, …), show qos …, show policy …, policy … group, policy service …
Toutes
3
6 Configuration
Bien que des stratégies puissent être utilisées dans de nombreux types de scénarios de réseau différents
(QOS ACL, SLB, PBR), nous aborderons les points suivants :
Fondamentaux de la QoS – y compris l'attribution de priorités au trafic et la structure de la bande passante ;
Stratégies ICMP – y compris le filtrage, l'attribution de priorités et la limitation de débit ;
802.1p/ToS/DSCP – pour le marquage et le mappage ;
La configuration de la QoS peut interagir avec d'autres fonctions configurées, comme le SLB, l'agrégation de
liens dynamique (LACP), le 802.1Q, les ports mobiles, le routage IP et la gestion des stratégies LDAP. Il est
également possible de configurer des combinaisons de stratégies. Ces sujets ne seront pas abordés dans ce
cas pratique, l'étudiant devra donc mener des études et des recherches complémentaires.
Servez-vous de la table des associations de conditions du Guide de configuration réseau pour obtenir une
liste des associations valides ainsi que des informations supplémentaires sur ces dernières.
7 Paramètres généraux par défaut de la QoS

Saisissez la commande qos reset pour remplacer l’ensemble des valeurs des paramètres généraux par les
valeurs par défaut.
Rappelez-vous que la QoS est activée par défaut. Les paramètres généraux par défaut de la QoS définissent
notamment ce qui suit :
- Mode « Strict Priority Queuing » actif
- Les ports taggués 802.1Q et les ports mobiles sont toujours sécurisés ; tout autre port est non sécurisé
- Le comportement pour les trafics « bridged », « routed » (routés) et multicast est défini par défaut
comment étant accepté (« accept »)
- « debug qos » est défini par défaut sur « info »
- 802.1p et dscp sont définis par défaut sur 0 par port
- Le paramètre de préséance « Policy rules precedence » est défini par défaut sur 0
- « Policy actions » est défini par défaut sur « accept » (acceptée)
- Le groupe « Network group » par défaut (appelé « Switch ») contient toutes les adresses IP créées sur un
commutateur
- Chaque emplacement possède son propre « Port group » par défaut (appelé « Slot + numéro », c'est-à-dire
Slot01 sur un OS6850)
En plus de la commande qos reset, les autres commandes globales qui peuvent être utilisées sont
notamment :
qos revert
qos flush
qos disable
Saisissez la commande qos port “slot/port”reset pour réinitialiser les paramètres du port sur leurs valeurs
par défaut.
(Consultez les guides de configuration pour connaître les paramètres par défaut.)
Dans la version actuelle du logiciel, les options « deny » et « drop » produisent le même effet, à savoir que le
trafic est abandonné silencieusement.
Il n'existe pas de valeur par défaut pour la commande « policy condition ».
4
8 Configuration
8.1. Configuration globale
La QoS est activée par défaut sur le commutateur. Si des stratégies QoS sont configurées et activées, le
commutateur tente de classer le trafic et d'appliquer les actions appropriées.
- Pour désactiver la QoS, saisissez la commande qos. Entrez :
ALL -> qos disable
La QoS est désactivée instantanément. Lorsque la QoS est désactivée de manière globale, aucun flux entrant
dans le commutateur n'est classé (mis en correspondance avec des stratégies).
- Pour activer à nouveau la QoS, saisissez la commande qos accompagnée de l'option enable. Entrez :
ALL -> qos enable
La QoS est réactivée instantanément. Toutes les stratégies actives sur le commutateur seront utilisées pour
classer le trafic entrant dans le commutateur.
Des règles de stratégie spécifiques peuvent être activées ou désactivées à l'aide de la commande « policy
rule ».
Par défaut, les flux bridgés, routés et multicast ne correspondant à aucune stratégie sont acceptés sur le
commutateur.
Dans les commutateurs version 6, pour modifier le comportement général par défaut (qui détermine si le
commutateur va accepter, refuser ou abandonner le flux), saisissez le paramètre de comportement souhaité
(accept, drop ou deny) en l’associant à l'une des commandes suivantes : qos default bridged disposition, qos
default routed disposition, ou qos default multicast disposition.
- Par exemple, pour refuser tous les flux routés ne correspondant à aucune règle, entrez :
6850E & 6450 -> qos default routed disposition deny
6850E & 6450 -> show qos config
QoS Configuration:
Enabled : No
Pending changes : global policy
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Default queue service : strict-priority
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default bridged disposition : accept
Default routed disposition : accept (deny)
Default IGMP/MLD disposition: accept
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Stats interval : 60 seconds
Userports:
Filter : spoof
Shutdown: none
Quarantine Manager:
Quarantine MAC Group : Quarantined
Quarantined Page : Yes
Remediation URL :
Debug : info
5
- Notez que la stratégie globale doit être activée. Pour activer les paramètres, entrez :
6850E & 6450 -> qos apply
QoS Configuration:
Enabled : No
Pending changes : None
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default routed disposition : deny
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Userports:
Filter : spoof
Shutdown: none
Quarantine Manager:
Remediation URL :
Debug : info
Habituellement, le comportement est configuré uniquement lorsque vous utilisez des stratégies pour les listes
de contrôle d'accès (Access Control Lists – ACL).
Si vous définissez également qos default bridged disposition sur « deny », l'ensemble du trafic (bridgé ou
routé) ne correspondant à aucune stratégie est abandonné. Si vous créez des ACL autorisant le transit de
certains trafics de couche 2 à travers le commutateur, vous devez configurer deux règles pour chaque type
de trafic de couche 2 : une pour la source et une pour la destination.
- Réinitialisons tous les paramètres QoS sur leurs valeurs par défaut :
6850E & 6450 -> qos reset
QoS Configuration:
Enabled : No
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default routed disposition : deny (accept)
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Userports:
Filter : spoof
Shutdown: none
6
Quarantine Manager:
Remediation URL :
Debug : info
6850E & 6450 -> qos apply

QoS Configuration:
Enabled : No
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default routed disposition : accept
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Userports:
Filter : spoof
Shutdown: none
Quarantine Manager:
Remediation URL :
Debug : info
Bien que cela ne soit pas abordé dans ce cas pratique, un nombre considérable d'informations peuvent être
regroupées à l'aide des commandes qos log et debug qos. (Consultez les guides de configuration pour plus
d'informations.)
- La commande « statistics » est également utile pour regroupes certaines informations de base sur la QoS
6850E & 6450 -> show qos statistics
QoS stats
Events Matches Drops
L2 : 0 0 0
L3 Inbound : 0 0 0
L3 Outbound : 0 0 0
IGMP Join : 0 0 0
Fragments : 0
Bad Fragments : 0
Unknown Fragments : 0
Sent NI messages : 0
Received NI messages : 52
Failed NI messages : 0
Load balanced flows : 0
Reflexive flows : 0
Reflexive correction : 0
Flow lookups : 0
Flow hits : 0
Max PTree nodes : 0
Max PTree depth : 0
Spoofed Events : 0
NonSpoofed Events : 0
DropServices : 0
Software resources
Applied Pending
7
Table CLI LDAP ACLM Blt Total CLI LDAP ACLM Blt Total Max
rules 0 0 0 0 0 0 0 0 0 0 2048
actions 0 0 0 0 0 0 0 0 0 0 2048
conditions 0 0 0 0 0 0 0 0 0 0 2048
services 0 0 0 0 0 0 0 0 0 0 256
service groups 1 0 0 0 1 1 0 0 0 1 1024
network groups 0 0 0 1 1 0 0 0 1 1 1024
port groups 2 0 0 8 10 2 0 0 8 10 1024
mac groups 0 0 0 0 0 0 0 0 0 0 1024
map groups 0 0 0 0 0 0 0 0 0 0 1024
vlan groups 0 0 0 0 0 0 0 0 0 0 1024
Hardware resources TCAM Ranges

Slot Slice Unit Used Free Max Used Free Max
1 0 0 0 1664 1664 0 16 16
1 0 1 0 1664 1664 0 16 16
8.2. Structure de la bande passante
Labo distant
Qualité de service
A
EMP
1 Réseau d'administration
3 4
1/3 1/7
2 3 OS 6900T
4 5 OS 6850E
6 6 OS 6450
1/3 1/7
1/1
5 6 A 6
1/22 1/1
1/8
A A
Client 3/4 Client 5/6
- Pour les prochains exemples de configuration, réinitialisez le pod. Sur le commutateur 6900, créez un
VLAN 10 avec une adresse IP de routeur 192.168.10.254/24, et un VLAN 20 avec une adresse IP
192.168.20.254/24. Associez le port 1/7 sur le VLAN 10 par défaut et le port 1/3 sur le VLAN 20 par
défaut. Activez les ports 1/3 et 1/7.
6900 -> vlan 10
6900 -> ip interface int_10 address 192.168.10.254/24 vlan 10
6900 -> vlan 20
6900 -> ip interface int_20 address 192.168.20.254/24 vlan 20
6900 -> vlan 10 members port 1/7 untagged
6900 -> vlan 20 members port 1/3 untagged
6900 -> interfaces 1/3 admin-state enable
6900 -> interfaces 1/7 admin state enable
8
- Sur le commutateur 6450, activez le port 1/1 (client) et 1/7 (uplink) :

6450 -> interfaces 1/1 admin up
6450 -> interfaces 1/7 admin up
- Sur le commutateur 6850E, activez les ports 1/1 (client) et 1/3 (uplink) :
6850E -> interfaces 1/1 admin up
6850E -> interfaces 1/3 admin up
- Le client 5/6 est connecté sur le port 1/1 du commutateur 6450, le client 3/4 sur le port 1/1 du
commutateur 6850E. Configurez le client 5/6 avec les paramètres suivants :
IP = 192.168.10.10
MASK = 255.255.255.0
GW = 192.168.10.254
- Et le client 3/4 avec les paramètres suivants :

IP = 192.168.20.10
MASK = 255.255.255.0
GW = 192.168.20.254
- Pour créer une stratégie permettant d'attribuer une priorité de trafic à partir du client 5/6, vous devez
d'abord créer une condition pour le trafic auquel vous souhaitez attribuer la priorité. Dans cet exemple, la
condition est appelée client_traffic. Créez ensuite une action pour attribuer la priorité maximale au
trafic. Dans cet exemple, l'action est appelée high. Rassemblez la condition et l'action dans une règle
appelée rule1.
6900 -> policy condition client_traffic source ip 192.168.10.10
6900 -> policy action priority_7 802.1p 7
6900 -> policy rule rule1 condition client_traffic action priority_7
- Votre règle est-elle active ? Rappelez-vous que la règle est désactivée sur le commutateur jusqu'à ce
qu'elle ait été appliquée :
6900 -> qos apply
Lorsque la règle est activée, chaque flux émanant de l'adresse IP du serveur multicast et allant vers un autre
périphérique aura la priorité la plus haute.
Cette condition peut être constatée en capturant du trafic sur le port de sortie à l'aide de Wireshark.
9
Dans l'exemple suivant, chaque flux émanant d'une adresse IP source est envoyé vers une file d'attente qui
prend en charge ses exigences maximales en termes de bande passante.
- Modifiez l'action créée précédemment pour limiter la bande passante maximale accordée au trafic
émanant de la même source
6900 -> policy action priority_7 maximum bandwidth 100k
6900 -> qos apply
6900 -> show policy action priority_7
Action name : priority_7
Maximum bandwidth = 100K,
802.1p = 7
- La bande passante peut être indiquée en unités abrégées, dans le cas présent, 100K. Essayez de lancer
une requête ping du client 5/6 au client 3/4 :
ping 192.168.20.10
- Étant donné que la requête ne dépasse pas la bande passante maximale, elle devrait aboutir. Essayez
maintenant de lancer une requête ping en spécifiant une taille de datagramme supérieure :
ping –l 65000 192.168.20.10.
Votre requête ping utilise maintenant une bande passante plus importante, par conséquent elle n'aboutira
pas.
- Une fois le test terminé, supprimez la condition, l'action et la règle :

6900 -> no policy rule rule1
6900 -> no policy action priority_7
6900 -> no policy condition client_traffic
8.3. Configuration des valeurs de port par défaut du 802.1p/ToS/DSCP

10
- Par défaut, les valeurs de port par défaut du 802.1p et du ToS/DSCP sont définies sur 0. Pour modifier les
paramètres de port par défaut du 802.1p ou du ToS/DSCP, saisissez la commande qos port default 802.1p
ou qos port default dscp. Par exemple :
ALL -> qos port 1/1 default 802.1p 7
ALL -> show qos port 1/1
Slot/ Default Default Queues Bandwidth DEI
Port Active Trust P/DSCP Classification Default Total Physical Ingress Egress Map/Mark Type
----+-------+-----+------+--------------+-------+-----+--------+-------+------+----------+-----------
1/1 No Yes 7/ 0 DSCP 8 0 0K - - No /No ethernet
Dans cet exemple, le trafic non taggué (sans paramètre 802.1p) arrivant sur le port 1/1 sera estampillé avec
une valeur 802.1p de 7 (priorité la plus élevée). Si le port est configuré comme non sécurisé, le trafic taggué
sera estampillé avec une valeur 802.1p de 7. Si le port est configuré comme sécurisé, le trafic taggué
préservera la valeur 802.1p du flux. Par défaut, les ports commutés ne sont pas sécurisés.
8.4. Configuration de ports sécurisés
- Pour configurer les paramètres généraux du commutateur, saisissez la commande qos trust ports. Par
exemple :
6900 -> qos trust-ports
6850E & 6450 -> qos trust ports
- Dans la plupart des environnements, les ports ne sont généralement pas sécurisés. Pour configurer des
ports de manière à ce qu'ils reconnaissent le 802.1p ou le ToS, saisissez la commande qos port trusted
avec le numéro d'emplacement/de port choisi.
Par exemple :
ALL -> qos port 1/1 trusted
Les paramètres généraux sont actifs immédiatement, mais les paramètres du port nécessitent l’application
de la commande qos apply pour que leur modification soit activée.
Les bits 802.1p peuvent être définis ou mappés sur une valeur unique à l'aide de la commande policy action
802.1p. Dans cet exemple, la commande qos port indique que le port 5 de l'emplacement 1 pourra
reconnaître les bits 802.1p.
- Une condition (Trafic) est alors créée pour classer le trafic contenant les bits 802.1p définis sur 4 et
destiné au port 7 de l'emplacement 1. L’action SetBits spécifie que les bits passeront sur 7 lorsque le
trafic sortira du commutateur au niveau du port 7 de l'emplacement 1. Une règle appelée 802.1p_rule
regroupe la condition et l’action. Entrez :
ALL -> qos port 1/5 trusted
ALL -> policy condition Traffic destination port 1/7 802.1p 4
ALL -> policy action SetBits 802.1p 7
ALL -> policy rule 802.1p_rule condition Traffic action SetBits
ALL -> qos apply
Notes : Le mappage 802.1p peut également être défini pour le trafic de couche 3, dont les
bits 802.1p sont habituellement définis sur zéro.
Dans l'exemple ci-dessus, que se passerait-il si le trafic entrant sur le port 5 de

l'emplacement 1 était taggué par une valeur 802.1p de 5 ?
-
- Pour afficher la configuration et l'activité QoS, entrez :
ALL -> show policy condition
Condition name : Traffic
11
Destination slot = 1/7,

802.1p = 4
ALL -> show policy action

Action name : SetBits
802.1p = 7
switch1-> show policy rule

Rule name : 802.1p_rule
Condition name = Traffic,
Action name = SetBits
8.5. Configuration du mode « Servicing » et des seuils
- Pour modifier le mode « Servicing », saisissez la commande qos slice servicing mode et le mot clé choisi
pour le mode (strict-priority, priority-wrr, ou wrr). Par exemple :
6850E & 6450 -> qos port 1/7 servicing mode strict-priority
Dans cet exemple, le mode « Servicing » du port 6 de l'emplacement 2 est défini sur « strict priority » (qui est
également la valeur par défaut), ce qui signifie que les paquets ayant la priorité la plus haute seront toujours
envoyés en premier.
- Le commutateur OmniSwitch prend également en charge le WRR et le DRR (Deficit Round Robin). Le poids
attribué à une file d'attente WRR désigne le nombre de paquets envoyés par la file d'attente avant que le
planificateur ne passe à la file d'attente suivante. Par exemple, une file d'attente ayant un poids de 10
envoie 10 paquets à chaque intervalle. Selon vous, que se passe-t-il lorsque la commande suivante est
appliquée ?
6850E & 6450 -> qos port 1/7 servicing mode wrr 8 1 5 0 4 0 3 0
Le port 1/7 est maintenant configuré avec une combinaison de files d'attente SP (Strict Priority) et WRR :
- La file d'attente 1 est configurée pour le « best-effort » (meilleur effort) du fait de son poids de 1.
- Les files d'attente 3, 5 et 7 sont configurées sur le mode SP du fait de leur poids 0. La Q7 est ainsi traitée
en premier, suivie de la Q5 et de la Q3, puis des files d'attente WRR/DRR.
-
- Les files d'attente 0, 2, 4 et 6 sont configurées en mode WRR avec des poids de 8, 5, 4 et 3
respectivement. Elles sont traitées uniquement après les files d'attente « Strict Priority ». En se basant sur
les poids, Q0 aura le meilleur débit, puis Q2, puis Q4 et enfin Q6.
- Pour réinitialiser le mode de traitement des ports sur le mode global par défaut, utilisez le paramètre
default dans cette commande et ne spécifiez aucun modèle de mise en file d'attente. Par exemple :
6850E & 6450 -> qos port 1/7 servicing mode default
La configuration d'une valeur minimale et maximale de bande passante pour chacune des huit files d'attente
de port de sortie est autorisée sur le commutateur OmniSwitch. Les valeurs de bande passante sont définies
par défaut sur zéro, soit le « best effort »pour la bande passante minimum et la vitesse de port pour la bande
passante maximum.
- Pour configurer les valeurs de la bande passante, saisissez la commande qos port q minbw maxbw. Dans
l'exemple suivant, la commande définit la bande passante minimum et maximum de la file d'attente 7 du
port 1/10 sur 2k et 10k :
6850E & 6450 -> qos port 1/10 q7 minbw 2k q7 maxbw 10k
12
8.6. Configuration des règles
- Les commandes de base pour la création des règles sont notamment :

ALL -> policy condition ?
^
<"string"> <string>
(QoS Command Set)
ALL -> policy action ?

^
<"string"> <string>
(QoS Command Set)
ALL -> policy rule ?

^
<"string"> <string>
(QoS Command Set)
- Remise à zéro de la QoS :

ALL -> qos reset
- Définition d'une condition (appelée my_condition) pour identifier une adresse source IP de 10.1.10.3
ALL -> policy condition my_condition source ip 10.1.10.3
- Définition d'une action (appelée my_action) pour définir une priorité de 7

ALL -> policy action my_action priority 7
- Définition d'une règle (appelée my_rule) qui donnera la plus haute priorité (7) à l'ensemble du trafic
émanant de l'adresse IP 10.10.2.3 lorsqu'il passera par le commutateur :
ALL -> policy rule my_rule condition my_condition action my_action
ALL -> qos apply
Plusieurs options permettent de configurer une condition, en fonction du mode que vous souhaitez que le
commutateur adopte pour classer le trafic pour cette stratégie. Plusieurs paramètres de condition peuvent
être définis. Néanmoins, certains paramètres de condition, tels que ToS et DSCP, ne peuvent pas coexister.
Rappel : la condition sera désactivée sur le commutateur tant que vous n'aurez pas saisi la commande qos
apply.
Mots clés de condition

Source ip tos
destination ip dscp
multicast ip 802.1p
source network group source mac
destination network group destination mac
multicast network group source mac group
source ip port destination mac group
destination ip port source vlan
13
source tcp port destination vlan

destination tcp port source port
source udp port source port group
destination udp port destination port
service destination port group
service group source interface type
ip protocol destination interface type
- Pour créer ou modifier une condition, saisissez la commande policy condition et le mot clé correspondant
au type de trafic que vous voulez classer : une adresse IP ou un groupe d'adresses IP, par exemple. Dans
cet exemple, une condition appelée c1 est créée pour classer le trafic émanant de l’adresse IP de
destination 10.10.10.100 et du port de destination 23.
6850E & 6450 -> policy condition c1 destination ip 10.10.10.100 destination tcp port 23
6850E & 6450 -> show policy condition c1
Condition Name From Src -> Dest
+c1 cli
*IP : Any -> 10.10.10.100
*TCP : Any -> 23
6900 -> policy condition c1 destination ip 10.10.10.100 destination tcp-port 23
6900 -> show policy condition c1
Condition name : c1
State = new,
Destination IP = 10.10.10.100,
Destination TCP port = 23
- Pour supprimer un paramètre de classification de la condition et conserver les informations sur l'IP de
destination, saisissez « no » accompagné du mot clé approprié, dans ce cas le port TCP de destination. Par
exemple :
6850E & 6450-> policy condition c1 no destination tcp port
6900 -> policy condition c1 no destination tcp-port
switch1-> show policy condition c1
Condition Name From Src -> Dest
+c1 cli
*IP : Any -> 10.10.10.100
- N'oubliez pas de saisir la commande qos apply pour activer chaque commande de condition.
- Pour supprimer entièrement une condition, utilisez la forme « no » de la commande. Par exemple :
ALL -> no policy condition c1
ALL -> show policy condition c1
No condition `c1'
- Dans notre exemple c1, une condition ne peut pas être supprimée si elle est en cours d’utilisation par une
règle. Si une règle utilise la condition, un message d’erreur s’affichera sur le commutateur. Créez à
nouveau une condition c1 et créez une nouvelle action. Réunissez-les dans une règle :
ALL -> policy condition c1 destination ip 10.10.10.100
ALL -> policy action a1 maximum bandwidth 100k
ALL -> policy rule rule_1 condition c1 action a1
- Essayez maintenant de supprimer la condition c1.

ERROR: c1 is being used by rule 'rule_1'
- Supprimez la règle, l'action puis les conditions, qui peuvent maintenant être supprimées :
ALL -> no policy rule rule_1
14
ALL -> no policy action a1

- Pour créer ou modifier une action, saisissez la commande policy action en l’associant au paramètre
d'action approprié. Une action permet d'indiquer le mode de traitement du trafic. Par exemple, elle peut
spécifier une priorité pour le flux, ou indiquer que le flux doit tout simplement être refusé. Par exemple,
créez une action appelée bw_action :
ALL -> policy action bw_action maximum bandwidth 300K
Plusieurs paramètres d'action peuvent être définis. Néanmoins, certains paramètres tels que ToS et DSCP, ne
peuvent pas coexister. En outre, certains paramètres d'action sont uniquement pris en charge avec certains
paramètres de condition particuliers
Mots clés d'action

disposition 802.1p
shared dscp
priority map
maximum bandwidth load balance group
maximum depth
maximum buffers
tos
- Pour supprimer un paramètre d'action ou rétablir la valeur par défaut du paramètre, saisissez no
accompagné du mot clé approprié comme dans l'exemple précédent.
ALL -> policy action bw_action no maximum bandwidth
- Pour supprimer une action, utilisez la forme no de la commande.

ALL -> no policy action bw_action
- Comme pour une condition, une action ne peut être supprimée si elle est en cours d'utilisation par une
règle. Si une règle utilise l'action, un message d’erreur s’affichera sur le commutateur. Par exemple :
ALL -> no policy action bw_action
ERROR: bw_action is being used by rule 'rule_1'
- Maintenant, réunissons-les. Entrez :

6850E & 6450 -> policy condition c1 destination ip 10.10.10.100 destination tcp port 23
6900 -> policy condition c1 destination ip 10.10.10.100 destination tcp-port 23
ALL -> policy action bw_action maximum bandwidth 300k
ALL -> policy rule telnet_rule condition c1 action bw_action
ALL -> qos apply
8.7. Mots clés de règle
precedence
validity period
save
log
log interval
count
15
trap
- Par défaut, les règles sont activées. Les règles peuvent être désactivées ou réactivées par le biais de la
commande policy rule.
ALL -> policy rule telnet_rule disable
ALL -> qos apply
8.8. Préséance des règles

Le commutateur tente de classer les flux qui arrivent sur un port en fonction de la préséance des règles. La
règle ayant la préséance la plus élevée sera appliquée au flux.
La préséance est déterminée par les éléments suivants, dans l'ordre :
• Valeur de préséance — Chaque règle possède une valeur de préséance. Cette valeur peut être
configurée par l'utilisateur par le biais de la commande policy rule et définie entre 0 (préséance la plus
basse) et 65535 (la plus élevée). (Les valeurs comprises entre 30000 et 65535 sont habituellement
réservées à PolicyView). Par défaut, une règle possède une préséance de 0.
• Ordre de configuration des règles — Si un flux correspond à plus d'une règle et que les deux règles
possèdent la même valeur de préséance, la règle configurée en premier dans la liste aura préséance.
- Pour définir une valeur de préséance pour une règle spécifique, saisissez la commande policy rule
associée au mot clé « precedence ». Par exemple, entrez :
ALL -> policy rule telnet_rule precedence 1000 condition c1 action bw_action
- La consignation des règles peut s'avérer utile lorsque vous souhaitez déterminer des éléments tels que
l'origine d'attaques. Il est souvent recommandé, au moins lors de la configuration initiale des règles,
d'utiliser l'option de consignation pour contrôler la manière dont vos règles sont utilisées. Pour indiquer
que le commutateur doit consigner des informations sur les flux qui correspondent à la règle définie,
saisissez la commande policy rule associée à l'option log. Par exemple, saisissez :
ALL -> policy rule telnet_rule log
- Les commandes utilisées pour la configuration des groupes de condition sont indiquées ici :
policy network group
policy service group
policy mac group
policy port group
16
8.9. Paramètres “policy”
Policy Network group

Le commutateur contient par défaut un « Network group » nommé Switch qui comprend toutes les adresses
IP configurées pour le commutateur. Ce « Network group » peut également être utilisé dans des conditions.
- Dans l'exemple suivant, un « Policy network group » appelé netgroup3 est créé avec trois adresses IP. La
première adresse indique également un masque.
ALL -> policy network group netgroup3 173.21.4.39 mask 255.255.255.0 10.10.5.3 10.10.5.5
ALL -> policy condition c4 source network group netgroup3
Procédure Mots clés (R6) Mots clés (R7) Remarques

Procédure de base pour protocol protocol Le protocole doit être
service TCP ou UDP source ip port source ip-port indiqué avec au moins
destination ip port destination ip-port un port source ou un
port destinataire.
Raccourci pour service source tcp port source tcp-port Il est possible de faire
TCP destination tcp port destination tcp-port des associations de
mots clés.
Raccourci pour service source udp port source udp-port Il est possible de faire
UDP destination udp port destination udp-port des associations de
mots clés.
8.10. policy service group

- Dans cet exemple, un service appelé telnet1 est créé avec le numéro de protocole TCP (6) et le numéro
connu (« well-known ») du port destinataire Telnet (23). Entrez :
6850E & 6450 -> policy service telnet1 protocol 6 destination ip port 23
6900 -> policy service telnet1 protocol 6 destination ip-port 23
- Pour cette commande, un raccourci remplace les mots clés protocol et destination ip port par
destination tcp port :
6850E & 6450 -> policy service telnet1 destination tcp port 23
6900 -> policy service telnet1 destination tcp-port 23
- Ajoutez un second service en entrant :

6850E & 6450 -> policy service ftp1 destination tcp port 21
6900 -> policy service ftp1 destination tcp-port 21
- Combinons maintenant les services dans un groupe de services (« Policy service group ») en entrant :
ALL -> policy service group tel_ftp telnet1 ftp1
ALL -> show policy service group

Group Name From Entries
+tel_ftp cli ftp1
telnet1
17
8.11. policy mac group

- Pour créer un groupe MAC, saisissez la commande policy mac group. Par exemple, entrez :
ALL -> policy mac group macgrp2 08:00:20:00:00:00 mask ff:ff:ff:00:00:00
- Le groupe MAC peut alors être associé à une condition à l'aide de la commande policy condition.
Remarque : la condition indique si le groupe doit être utilisé pour la source ou pour la destination. Par
exemple, entrez :
ALL -> policy condition cond3 source mac group macgrp2
8.12. Policy port group

- Pour créer un groupe de ports (« Policy port group »), saisissez la commande policy port group. Par
exemple,
ALL -> policy port group visitor_ports 1/1 1/10-12
- Lorsqu'un groupe « Policy port group » est utilisé dans le cadre d'une règle et qu'une action spécifie une
bande passante maximum, cette bande passante maximum sera allouée à chaque interface du « Policy
port group ». À l'aide de la stratégie « Policy port group » créée ci-dessus, associons-les :
ALL -> policy condition Ports source port group visitor_ports
ALL -> policy action MaxBw maximum bandwidth 100K
ALL -> policy rule VisitorPortRule condition Ports action MaxBw
ALL -> qos apply
- Dans cet exemple, 100 Kbps seront autorisés sur chaque port du groupe visitor_ports (ports 1/1 1/10-12).
- Pour afficher les paramètres du groupe, entrez :

ALL -> show policy network group
Switch blt 10.1.1.1
netgroup3 cli 10.10.5.3

10.10.5.5
173.21.4.39 mask 255.255.255.0
ALL -> show policy service

Service Name From IPProto SrcPort DstPort
ftp1 cli TCP 21
telnet1 cli TCP 23
ALL -> show policy service group

tel_ftp cli ftp1
telnet1
ALL -> show policy mac group

macgrp2 cli 08:00:20:00:00:00 mask FF:FF:FF:00:00:00
ALL -> show policy port group

Group Name From Entries Mode
Slot01 blt 1/1-14 non-split
18
visitor_ports cli 1/1 non-split

1/10-12
8.13. Policy map group

-Lors d'un mappage avec le même type de valeurs (802.1p en 802.1p, ToS en ToS ou DSCP en DSCP), les
valeurs spécifiées sont remappées. Toute valeur non indiquée dans le groupe de cartes est conservée.
Dans cet exemple, un groupe de cartes est créé pour les bits 802.1p. Entrez :
ALL -> policy map group Group2 1-2:5 4:5 5-6:7
ALL -> policy action Map1 map 802.1p to 802.1p using Group2
- Cependant, lors du mappage avec un type de valeur différent (802.1p en ToS, 802.1p en DSCP), toute
valeur du flux entrant correspondant à la règle mais non comprise dans le groupe de cartes sera remise à
zéro. Par exemple, l'action suivante indique le même groupe de cartes mais indique le mappage de 802.1p
sur ToS
ALL -> policy action Map2 map 802.1p to tos using Group2
9 Résumé
Ce lab vous a permis de vous familiariser avec les fonctionnalités QoS de l’OmniSwitch.
10 Test
1. Quelles sont les trois étapes de base pour former une stratégie ?
2. Quels sont les types de groupes de conditions disponibles et comment sont-ils utilisés ?
3. Quelle est la commande utilisée pour rétablir les valeurs par défaut de la QoS ?
4. Par défaut, les flux bridgés, routés et multicast ne correspondant à aucune règle sont acceptés sur le
commutateur. (Vrai ou Faux)
5. Par défaut, les ports commutés ne sont pas sécurisés (Vrai ou Faux)
Sécurité - Contrôle d'accès réseau

Objectifs du module
 Comment configurer les fonctions de
sécurité de base afin de protéger le
commutateur, l'utilisateur et
les données
 Filtrage basé sur les flux
 Détection des intrusions LLDP
 Access Guardian High
 Présentation générale Availability
 Configuration du serveur Radius

 Description de la stratégie de classification des AOS
Operating
System
périphériques Extensive
Manageability
Enhanced
Security
 Définition des stratégies

 Contrôle
 Captive Portal
 Concept
 Personnalisation
 Définition des paramètres
 Contrôle
 User Network Profile
 Contrôle d'accès basé sur les rôles par User
Network Profile
 Règle de classification des paquets UNP et AAA
 Serveur d'authentification 802.1x hors service -
Stratégie de classification
FILTRAGE BASÉ SUR LES FLUX
QoS
Types de stratégie
Access Guardian
• User Network Profile
QoS de base Stratégies ICMP

• Filtrage
• Définition des priorités du trafic
• Structure de la bande passante
• Définition des priorités
• Gestion des files d'attente • Limite de débit du
trafic (sécurité)
QoS
802.1p / ToS / DSCP
• Marquage Policy Based
• Horodatage
Routing (PBR)
• Trafic routé redirigé
Filtrage
• ACL couche 2 Policy Based
et couche 3/4
Mirroring (PBM)
• Trafic miroir basé sur
les stratégies QoS
Filtrage basé sur les stratégies
Listes ACL
 Les ACL sont la partie filtrage des stratégies
 D'autres stratégies peuvent s'appliquer à la définition des priorités et à la gestion
de la bande passante
 Les stratégies ACL viennent de

 Webview (SNMP) /CLI / secureview ACL (OmniVista)
 Les stratégies ACL (Liste de contrôle d'accès) sont appliquées

 À la totalité du châssis
 Chaque stratégie s'applique à la totalité du commutateur et possède une préséance (0..65535),
la plus élevée étant prioritaire
 À l'entrée uniquement
 Sur les couches L1 à L4
 Le type de trafic est précisé dans la condition de stratégie
 Filtrage des paquets hardware basé sur L1/L2/L3/L4
 Un indicateur de condition à spécifier tel que défini dans le cas où un flux est autorisé alors que
sa réponse ne l'est pas
 L'action de la stratégie détermine si le trafic est accepté ou refusé
ACL
Définition des stratégies
 Les stratégies des ACL sont créées de la même manière que les stratégies QoS
 Les paramètres sont :

 Policy name <nom> Règle de stratégie
 Condition name <nom>
Condition Action « disposition »
 Action name <nom>
 Precedence 0-65535 (la plus élevée est prioritaire)
 Established (utilisé lorsqu'une réponse est nécessaire, par ex. Telnet)
 Groupes personnalisables pour les conditions

 Network group (Groupe de réseaux)
 MAC group (Groupe d’adresses MAC)
 Service group (Groupe de services)
 Port group (Groupe de ports)
CLI
Configuration de règles de stratégie ACL QoS
-> policy condition condition_name
-> policy action action_name [disposition {accept | drop | deny}]
-> policy rule rule_name [enable | disable] [precedence precedence] [condition condition_name]
[action action_name] [validity period name | no validity period] [save] [log [log-interval seconds]]
[count {packets | bytes}] [trap | no trap] [default-list | no default-list]
Paquet
Action
entrant
Classification du paquet
Transfert ou blocage
du trafic sortant
Acceptation ou refus du trafic entrant
Condition Action « disposition »
Règle de stratégie
ACL
Paramètres par défaut
 Les paramètres par défaut autorisent tout le trafic mais peuvent être modifiés
Paramètre Commande Valeur par défaut

Comportement général qos default bridged disposition accept
pour le trafic bridgé
Comportement général qos default routed disposition accept
pour le trafic routé
Comportement général qos default multicast disposition accept
pour le trafic multicast
Comportement de la règle policy rule disposition accept
Préséance de la règle policy rule precedence 0 (valeur la plus

basse)
ACL
Conditions
Liste ACL de couche 2 Liste ACL de couche 3/4 Liste ACL de multidiffusion
Mots clés de condition Mots clés de condition Mots clés de condition
source mac source ip multicast ip

source mac group source ipv6 multicast network group
destination mac source network group destination ip
destination mac group destination ip destination vlan
source vlan destination ipv6 destination port
source port destination network group destination port group
source port group source ip port destination mac
destination port destination ip port destination mac group
groupe de ports service
destinataires service group
ethertype ip protocol
802.1p ipv6
nh
flow-label
destination port
destination port group
icmptype
icmpcode
TOS DSCP
source tcp port
destination tcp port
source udp port
destination udp port
established
Tcpflags
Liste ACL de couche 2
Exemple
 Des conditions L2 peuvent être définies pour les éléments suivants :
 adresse MAC ou groupe d’adresses MAC
 VLAN source
 Emplacement/port physique ou groupe de ports
-> qos default bridged disposition accept

->policy condition Cond-Deny-Host1 source mac D4:85:64:EC:33:EF source vlan 5
->policy action Act-deny-Host1 disposition deny

->policy rule Rule-Deny-Host1 condition Cond-Deny-Host1 action Act-deny-Host1 log
->qos apply
 Autorise tous les trafics bridgés, excepté le trafic correspondant à l'adresse MAC
source et sur le VLAN 5.
Liste ACL de couche 3/4
Exemple
 Des conditions L3 peuvent être définies pour les éléments suivants :
 Adresse IP source ou groupe de réseaux source
 Adresse IP de destination ou groupe de réseaux de destination
 Protocole IP
 Code ICMP
 Type d'ICMP
 Port TCP/UDP source
 Port TCP/UDP, service ou groupe de services de destination
-> qos default routed disposition accept

-> policy network group netgroup1 192.168.82.0 mask 255.255.255.0 192.60.83.0
-> policy condition lab3 source network group netgroup1
-> policy action deny_traffic disposition deny
-> policy rule lab_rule1 condition lab3 action deny_traffic precedence 65535
-> qos apply
Liste ACL de couche 3 - Exemple
Sous-réseau
192.168.100.024
Hôte1
172.16.30.2/24
-> qos default routed disposition deny

->policy condition allow-host1 source ip 172.16.30.2 mask 255.255.255.255 destination ip 192.168.100.0 mask 255.255.255.0
->policy condition subnet-100 source ip 192.168.100.0 mask 255.255.255.0 destination ip 172.16.30.2 mask 255.255.255.255
->policy action action-allow disposition accept
->policy rule rule1 condition allow-host1 action action-allow log
->policy rule rule2 condition subnet-100 action action-allow log
->qos apply
Cet ensemble de commandes permet de refuser globalement le trafic routé sur le commutateur et autorise
la communication entre l'Hôte1 et le sous-réseau 192.168.100.0/0
ACL
Paramètre Established - Exemple
 Pour autoriser des connexions TCP émanant de l'intérieur uniquement
Extérieur
Intérieur
policy network group internal 10.0.0.0 mask 255.0.0.0 192.168.0.0 mask 255.255.0.0 172.16.0.0 mask 255.240.0.0
policy condition condition1 destination network group internal established*
policy action allow disposition allow
policy rule rule1 condition condition1 action allow
policy condition condition2 destination network group internal
policy action drop disposition drop
policy rule rule2 condition condition2 action drop
•Les informations d'en-tête TCP sont examinées pour déterminer si le bit flag ack ou rst est
défini.
•Cette condition est utilisée en combinaison avec une condition de port IP source/destination ou
TCP source/destination.
DÉTECTION DES INTRUSIONS LLDP
Mécanisme de sécurité LLDP
 Sécurise l'accès réseau en détectant les équipements pirates
 Un seul agent LLDP sécurisé sur un port
 Nouvelles options LLDP

 Chassis id sub type
 Utilisée pour valider le type d'ID de châssis dans la PDU LLDP entrante
 Si plusieurs agents distants LLDP sont appris sur un port ou
 si aucun PDU LLDP n'est reçu pendant une période équivalente à 3 fois l'intervalle de
transmission LLDP (30 secondes) après une liaison opérationnelle ne comportant aucun
agent distant sécurisé ou
 si les mêmes ID de châssis et ID de port de l'agent distant existent déjà dans la base
de données de l'agent distant mais sur un port différent
Action de violation
 trap
Le port passera à l'état violation
 désactivation du port
 trap et désactivation du port

Sécurité LLDP
Organigramme
Sécurité LLDP
Configuration CLI
-> lldp {chassis | <slot> | <slot/port>} trust -agent {enable |disable} [chassis-id-type
{chassis-component | interface-alias | Port-Component |MAC-Address | Network-Address |
Interface-name |Locally-assigned|any }]
-> lldp {chassis | <slot> | <slot/port>} trust -agent violation-action {trap | shutdown}
-> interfaces <slot>/<port> clear -violation-all
-> show lldp {chassis | <num> | <slot/port>} config
-> show lldp trusted remote-agent
-> show lldp <slot/port> trusted remote-agent
-> show lldp trust agent
-> show configuration snaphot aip

ACCESS GUARDIAN
Access Guardian
Description
 Authentification multi-client par détection automatique sur un port
 Détection automatique des équipements 802.1X et non-802.1X.
 Configuration du réseau depuis

 une CLI
 Webview Je parle Serveur
802.1X
 l'application OmniVista Access Guardian Je parle
Je ne parle
802.1X
pas RADIUS
802.1X
 Configuration du réseau pour

 Accepter n'importe quelle méthode
Je ne parle
d'authentification pas
802.1X
 Authentifier les utilisateurs 802.1X,
les téléphones IP, les imprimantes,
les équipements Unix... tous les équipements ayant une adresse MAC
 Prendre en charge plusieurs types sur un seul port
Access Guardian
Description
 Configuration flexible des stratégies de sécurité par port
 802.1X est utilisé pour l'authentification utilisateur
 L'authentification basée sur l'adresse MAC peut être utilisés pour des clients non-802.1X
sur le même port
 Possibilité de combiner
 Authentification active (802.1x - accès au port par client ou Captive Portal)
 Authentification passive (basée sur l'adresse MAC)
 Guest VLAN (CP et/ou autres règles de mobilité)
 Stratégies de classification prises en charge Trame reçue sur

 802.1X port actif 802.1x
 MAC authentication
 Captive Portal
La source OUI
 User Network Profile NON est un
 Règles Group mobility client
 VLAN 802.1x ?
 Default VLAN
Première stratégie Réaliser une
 Block
pour non- authentification
supplicant 802.1x
 Emplacement centralisé pour l'authentification
utilisateur/équipement
 Utilisation d'un serveur RADIUS
 Des stratégies de sécurité distinctes peuvent être configurées pour les supplicants (clients finaux) et
les non-supplicants
Access Guardian
Application - Enseignement supérieur – Campus Enterprise
Les étudiants peuvent être
L'admin et les
authentifiés en se basant sur
enseignants utilisent
802.1x ou MAC
l'authentification 802.1x
Admin
Enseignant Étudiant
802.1x - Supplicant Non-supplicant
1 – Trame d'auth. 802.1x/EAP envoyée avec 1 - Trame non-802.1x envoyée

utilisateur/identifiant
2 - Trame non-802.1x interceptée par
2 - EAP intercepté par commutateur le commutateur
3 - Modification trame RADIUS avec MAC source 3 - Commutateur créant une demande d'auth.
en utilisant l’adresse MAC source comme
4 – Relais trame d'authentification au serveur
identifiant/mot de passe
5 - Identifiant/mot de passe validé
4 - Envoi de la trame d'authentification au serveur
6 – Périphérique déplacé vers le VLAN approprié
5 - MAC validée
7 - Échec identifiant/mot de passe
6 - Périphérique déplacé vers le VLAN approprié
8 - Périphérique déplacé vers le VLAN par défaut pour
7 - Échec MAC
enregistrement
8 - Périphérique déplacé vers le VLAN par défaut
pour enregistrement
VLAN
VLAN VLAN
étudiant
par défaut admin/enseignant
ACCESS GUARDIAN
CONFIGURATION DU SERVEUR RADIUS
Authentification externe
Configuration d'un serveur RADIUS
1
2
4
3 Serveur
RADIUS
 Définition des paramètres du serveur Radius
 aaa radius-server server_name host {hostname | ip_address} [hostname2|

ip_address2]] key secret auth-port auth_port acct-port acct_port
 Les ports par défaut sont basés sur les nouvelles normes RADIUS
(port 1812 pour l'autorisation et 1813 pour la comptabilité)
 Certains serveurs peuvent être définis à l'aide des anciennes normes
(ports 1645 et 1646 respectivement)
Possibilité pour les applications de choisir l'interface
IP/Loopback0
 Les applications pourront choisir l'interface IP source
 N'importe quelle interface IP/ loopback
 Dans l'instance VRF en particulier, basé sur une commande spécifique de l'application
ip managed-interface {Loopback0 | interface-name} application [ldap-server] [tacacs]

[radius] [snmp] [sflow] [ntp] [syslog] [dns] [dhcp-server] [telnet] [ftp] [ssh] [tftp] [all]
-> show ip managed-interface

Legend: "-" denotes no explicit configuration
Application Interface-Name
-----------------+------------------------------
tacacs -
sflow -
ntp Loopback0
syslog -
dns -
telnet -
ssh -
tftp -
ldap-server -
radius Loopback0
snmp Loopback0
ftp -
Supplicant 802.1X et non-supplicant
Classification des équipements
Trames EAP
reçues sur port
actif 802.1x
La source
NON OUI
est un
client
MAC 802.1X
802.1x ?
Équipement non- Équipement

supplicant 802.1x
Authentification Authentification 802.1x
par adresse MAC
Serveur
RADIUS
Serveur d'authentification 802.1x hors service
Stratégie de classification
 Les utilisateurs sont déplacés vers un profil spécifique lorsque le serveur
RADIUS est indisponible
 Prise en charge de l'authentification 802.1x ou basée sur l'adresse MAC (non CP)
 Lorsque le serveur d'authentification (hors service) est de nouveau accessible

 Les utilisateurs sont réauthentifiés
-> 802.1x auth-server-down {enable | disable}
Active ou désactive la stratégie de classification lorsque le serveur d'authentification est hors service
-> 802.1x auth-server-down policy {user-network-profile profile_name | block}

Configure la stratégie de classification des équipements lorsque le serveur d'authentification n'est pas
accessible
-> 802.1x auth-server-down re-authperiod {value}

Définit le délai accordé à l'équipement pour se réauthentifier auprès du serveur RADIUS lorsqu'il est
classé conformément à la stratégie « auth-server-down »
-> show 802.1x auth-server-down

Status = Enabled
Re-authenticaationtion Interval = 30 seconds
Classific policy = UNP 'radback', block
ACCESS GUARDIAN
STRATÉGIES DE CLASSIFICATION DES ÉQUIPEMENTS
Stratégies Access Guardian - Flux conceptuel
Supplicant ?
Oui Non
802.1x auth. Captive

Pas
Succès MAC d'authentification Portal
Échec Succès Succès
Échec
Échec
VLAN RADIUS VLAN RADIUS VLAN RADIUS
Captive Portal Captive Portal Captive Portal Captive Portal Captive Portal
Group mobility Group mobility Group mobility Group mobility Group mobility Group mobility Group mobility
UNP UNP UNP UNP UNP UNP UNP
VLAN VLAN VLAN VLAN VLAN VLAN VLAN
Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN
Block Block Block Block Block Block Block
L'ordre des stratégies peut être interchangé

Certaines stratégies (Captive portal, Default-vlan, Block) sont des stratégies finales
Elles ne peuvent pas être suivies d'autres stratégies
La stratégie Captive Portal commencera une nouvelle branche d'authentification
Les branches « Échec » (Fail) classeront les équipements dans des profils non-authentifiés uniquement
Stratégies Access Guardian
 Les stratégies ne peuvent être utilisées qu'une fois pour une condition « Pass »
(succès) et une fois pour une condition « Fail » (échec)
 À l'exception de la stratégie VLAN. Jusqu'à 3 stratégies VLAN ID sont autorisées dans la même
stratégie composée, tant que le numéro d'ID est différent pour chaque instance spécifiée (par
ex. Vlan 20, Vlan 30, Vlan 40)
 Les stratégies composées doivent se terminer

 La dernière stratégie doit se terminer soit par un blocage de l'équipement, soit par
l'attribution de l'équipement au VLAN par défaut. Si aucune stratégie finale n'est spécifiée, la
stratégie « Block » est utilisée par défaut
 L'ordre dans lequel les stratégies sont configurées détermine l'ordre dans lequel elles
sont appliquées.
Stratégies de sécurité Access Guardian - WebView
Stratégies de classification des équipements

Stratégies de sécurité Access Guardian
Application OmniVista
 Liste des stratégies disponibles pouvant être  Que les stratégies aient réussi ou échoué, l'ordre dans
appliquées si aucun VLAN n'est indiqué par le serveur lequel les paramètres sont configurés détermine l'ordre
RADIUS dans lequel ils sont appliqués.
 Group mobility  Le type de stratégie doit se terminer par default-vlan,
 Specific VLAN(s) block, ou captive-portal
 Captive Portal
 Le paramètre final block est utilisé par défaut
 User Network Profile
 Default VLAN
 Block
 Des stratégies de même type, mais dans un ordre
différent, peuvent être configurées pour un non-
supplicant sur le même port
Stratégie de classification des équipements Supplicant 802.1x
Activation de l'authentification 802.1x
-> aaa authentication 802.1x rad1 rad2
1 Serveur Radius
2
4
3
Le supplicant enverra une trame EAP
avec identifiant + mot de passe Le commutateur agira comme un relais entre
le supplicant et le serveur Radius
•Trame reçue sur port
actif 802.1x
 Avant l'envoi de la trame au serveur, le commutateur ajoute
l'adresse MAC du supplicant
 L'adresse MAC sera placée dans le champ « Calling Station ID » de la
•OUI •La source trame Radius
est un client
802.1x ?  Si l'authentification échoue, la stratégie suivante de la chaîne
Réaliser une
de stratégies est utilisée
authentification  La dernière stratégie peut être « strict VLAN ID » ou une stratégie finale
802.1x  Si l'authentification réussie, le serveur renverra un ID VLAN
 Si le VLAN existe, l'adresse MAC est apprise sur ce VLAN
•NON  Si le VLAN n'existe pas, la stratégie suivante de la chaîne de stratégies est
•Authentifié ?
utilisée
 La dernière stratégie doit être « strict VLAN ID » ou une stratégie finale
•OUI  Si le serveur ne renvoie pas d'ID VLAN, la stratégie suivante de

la chaîne de stratégies est utilisée
Succès de la Échec de la  La dernière stratégie doit être « Non-strict » ou une stratégie finale
première stratégie première stratégie
supplicant supplicant  Dans le cas où l'équipement est connu mais où le VLAN n'existe
pas, l'authentification sera considérée comme ayant échoué.
Stratégies de sécurité pour les clients Supplicant 802.1X -
Configuration
-> 802.1x slot/port supplicant policy authentication [[pass] {group-mobility | user-network-profile
profile_name | vlan vid | default-vlan | block | captive portal}...] [[fail] {user-network-profile
profile_name | vlan vid | block | captive-portal}...]
Clients Supplicant 802.1X

Stratégie Supplicant - Exemple avec WebView
Supplicant ?
Oui
802.1x
Succès Échec
Vlan Radius
Captive Portal
Captive Portal
Demande RADIUS
Group mobility VLAN 10
VLAN
Je parle Serveur
Je parle Je parle
802.1X
Default VLAN Block 802.1X 802.1X
RADIUS
Block
Je parle
802.1X
Stratégie Supplicant - Exemples avec une CLI
 -> 802.1x 1/19 supplicant policy authentication pass group-mobility default-
VLAN fail VLAN 10 block
 Si le processus d'authentification 802.1X réussit mais ne renvoie pas d'ID VLAN pour
l'équipement
 Les règles Group mobility sont appliquées
 Si la classification Group Mobility échoue, alors l'équipement est alloué au VLAN par défaut au
port 1/19
 Si l'authentification 802.1x de l'équipement échoue
 Si le VLAN 10 existe et n'est pas un VLAN authentifié, l'équipement est alloué au VLAN 10
 Si le VLAN 10 n'existe pas ou est un VLAN authentifié, l'accès de l'équipement au port 1/19 du
commutateur est bloqué
-> show 802.1x device classification policies

Device classification policies on 802.1x port 1/19
Supplicant:
authentication:
pass: group-mobility, default-VLAN
fail: VLAN 10, block
Non-Supplicant:
block (default)
Stratégie de classification des équipements non-supplicant
 Authentification silencieuse ou passive Activation de l'authentification par adresse MAC
-> aaa authentication mac rad1 rad2
 Authentification par adresse MAC
Serveur
Radius
1
2
•Trame reçue sur port

actif 802.1x 3
Le commutateur interceptera la trame non-802.1x émanant du non-

supplicant, génèrera une trame d'authentification et l'enverra au
•NON •La source
est un client serveur Radius
802.1x ?
•Réalise une
authentification
basée sur l'adresse  Si l'authentification ne réussit pas, la stratégie suivante de la chaîne de
MAC stratégies est utilisée
 La dernière stratégie doit être « Strict » ou finale
•Authentifié ? •NON  Si l'authentification réussit et que le serveur renvoie un ID VLAN...

 et que le VLAN existe, l'adresse MAC est apprise sur ce VLAN
 et que le VLAN n'existe pas, la stratégie suivante de la chaîne de stratégies est
•OUI Échec première utilisée
Succès première stratégie non-  La dernière stratégie doit être « Non-strict » ou finale
stratégie non- supplicant
supplicant
Stratégies de sécurité pour les clients non-supplicant
Configuration
-> 802.1x slot/port non-supplicant policy authentication [[pass] {group-mobility | user-network-
profile profile_name | vlan vid | default-vlan | block | captive-portal}] [[fail] {group-mobility |
user-network-profile profile_name | vlan vid | default-vlan | block | captive-portal}]
• Que les stratégies aient réussi ou échoué, l'ordre dans lequel les paramètres sont
configurés détermine l'ordre dans lequel ils sont appliqués.
• Le type de stratégie doit se terminer par default-vlan, block, ou captive-portal
• Le paramètre final block est utilisé par défaut
Stratégie pour les clients Non-Supplicant
Exemples WebView
Supplicant ?
Non
auth. Pas
MAC d'authentification
Succès
Échec Demande RADIUS
Vlan Radius
Captive Portal Captive Portal Captive Portal
Group mobility Group mobility Je ne parle Serveur

Group mobility Je ne
pas
Je ne parle
parle pas pas
802.1X Radius
802.1X 802.1X
VLAN Vlan 5 VLAN
Default VLAN Default VLAN Default VLAN
Block Block Block

Je ne parle
pas
802.1X
Stratégie pour les clients Non-Supplicant –
Exemple avec une CLI
 -> 802.1x 1/2 non-supplicant policy authentication pass group-mobility
default-VLAN fail VLAN 5 block
 Si le processus d'authentification par l'adresse MAC réussit mais ne renvoie pas d'ID
VLAN pour l'équipement
 Les règles Group mobility sont appliquées
 Si la classification Group Mobility échoue, alors l'équipement est alloué au VLAN par défaut au
port 1/2
 Si l'authentification par l'adresse MAC échoue
 Si le VLAN 5 existe et n'est pas un VLAN authentifié, l'équipement est alloué au VLAN 5
 Si le VLAN 5 n'existe pas ou est un VLAN authentifié, l'accès de l'équipement au port 1/2 du
commutateur est bloqué
-> show 802.1x device classification policies 1/2
Supplicant:
authentication:
fail: VLAN 5, block
Non-Supplicant:
authentication:
fail: VLAN 5, block
Stratégies de sécurité via LLDP
Flux conceptuel
Nouvel utilisateur/
Oui adresse MAC supplicant ? Non
1 1
auth. Pas
802.1x d'authentification
MAC
Succès Échec Succès Échec
Attribut
Oui
TERMINÉ Attribut
Oui
TERMINÉ Classification
RADIUS Classé par RADIUS Classé par Radius
AVP AVP
Non Non
2 2
1ère trame 1ère trame 1ère trame
Validation
4 Validation 4 validation
Équipement = poste Terminé 3 Équipement = poste Terminé Équipement = poste Terminé
3 IP ?
Oui
IP ?
Oui
IP ?
Oui
Classé Classé Classé
ET dans LLDP- ET dans LLDP- ET dans LLDP-
Règle de MED UNP Règle de MED UNP Règle de MED UNP
classification LLDP- classification LLDP- classification LLDP-
MED MED MED
Non 5 Non 5
Captive Portal Captive Portal Captive Portal Captive Portal Captive Portal
Group mobility Group mobility Group mobility Group mobility Group mobility
UNP UNP UNP UNP UNP Stratégie

Access
VLAN VLAN VLAN VLAN VLAN
Guardian
Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN
Block Block Block Block Block
TERMINÉ TERMINÉ TERMINÉ TERMINÉ TERMINÉ

Classé dans UNP VLAN Classé dans UNP VLAN Classé dans UNP VLAN Classé dans UNP VLAN Classé dans UNP VLAN
Ou Block Ou Block Ou Block Ou Block Ou Block
Stratégies de sécurité via LLDP
Stratégie réseau LLDP-MED
 Équipements de connectivité réseau LLDP-MED
 Offrent un accès aux réseaux IEEE 802 aux terminaux LLDP-MED
 LLDP pour poste IP et Omni Switch via la stratégie vlan 10

réseau LLDP vlan port mobile 1/10
vlan 10 mobile-tag enable
 Permet l'annonce lldp 1/10 tlv med network-policy enable
lldp network-policy 1 application voice vlan 10 l2-priority 7 dscp 46
 de l'ID VLAN
lldp 1/10 med network-policy 1
 du 802.1p
 du DSCP Fonction d'attribution VLAN LLDP-MED
 Attribution explicite d'un VLAN aux postes IP par le biais de la IP Touch activée par défaut
définition de l'identifiant de la stratégie réseau LLDP MED
1 3
Serveur de VLAN Voix

communication VLAN 10
Le LLDP est généralement

Admin
activé par défaut
Stratégies de classification d'équipements Access Guardian
Supervision
-> show 802.1x
Affiche des informations sur les ports configurés pour l'IEEE 802.1X.
-> show 802.1x users
Affiche une liste de tous les utilisateurs (supplicants) d'un ou de plusieurs ports 802.1X
-> show 802.1x non-supplicant
Affiche une liste de tous les utilisateurs non-802.1x (non-supplicants) appris sur un ou plusieurs
ports 802.1X
-> show aaa-device all-users
Affiche le statut Access Guardian de tous les utilisateurs appris sur les ports 802.1x
-> show 802.1x statistics
Affiche des statistiques sur les ports 802.1X.
-> show 802.1x device classification policies
Affiche les stratégies Access Guardian de classification d'équipements 802.1x configurées pour les
ports 802.1x
-> show aaa authentication 802.1x
Affiche des informations sur la configuration globale 802.1X sur le commutateur
-> show aaa accounting 802.1x
Affiche des informations sur les serveurs de taxation configurés pour le contrôle d'accès réseau basé
sur les ports 802.1X
-> show aaa authentication mac
Affiche une liste des serveurs RADIUS configurés pour une authentification par l'adresse MAC
CAPTIVE PORTAL
Access Guardian
Présentation générale de Captive Portal
 Portail Web pour obtenir les informations d'identification de l'utilisateur
 Peut être utilisé pour les supplicants et non-supplicants
 Lorsqu'un utilisateur autorisé lance un navigateur, une page Web s'affiche pour demander
les informations d'identification
 Nécessite toujours une authentification RADIUS
 Possède ses propres stratégies en cas d'échec/succès
AAA Radius
http://www.alcatel-lucent.com
2
1
Vous devez tout d'abord
vous connecter !
 Utile pour accorder aux invités ou aux sous-traitants un accès réseau temporaire
contrôlé au réseau de l'entreprise
 Intégré au reste des stratégies
Captive Portal
Autre stratégie Access Guardian
Supplicant ?
Oui Non
auth. Aucune
802.1X authentification
MAC
Succès Succès
Échec Échec
Captive
RADIUS Profile RADIUS Profile Portal
Captive Portal Captive Portal Captive Portal Captive Portal Succès
Group mobility Captive Portal Group mobility Group mobility Group mobility Échec
Profile Profile Profile Profile Profile RADIUS Profile
Block Block Block Block Block Group mobility
Profile Profile
Block
Block
Les stratégies peuvent être interchangées
Certaines stratégies (Captive portal, Profile, Block) sont des stratégies finales (elles ne peuvent pas être
suivies par d'autres stratégies)
La stratégie Captive Portal commencera une nouvelle branche d'authentification
Les branches « Fail » (échec) classeront les équipements dans des profils non-authentifiés uniquement
Captive Portal
Exemple d'utilisation
Supplicant ?
Oui Non
Captive
auth.
802.1X Portal
MAC
Succès Succès
Succès
Échec
Échec Échec
Radius Profile
Captive Portal Group mobility Captive Portal

Profile
Utilisateurs de Équipements connus Utilisateurs inconnus

l'entreprise avec des (imprimantes, téléphones (invités, sous-
équipements IP, etc.) traitants)
compatibles 802.1X
Block Block Block

Access Guardian
Concept Captive Portal
AAA Radius
Utilisateur supplicant
ou
non-supplicant http://www.alcatel-lucent.com
Offre
1 DHCP
Commutateur DHCP et serveur DNS
Requête
Default DHCP scope
DHCP
10.123.0.0/16
Def GW: 10.123.0.1
1 Requête DNS DNS server: 10.123.0.1
Phase de pré-authentification Phase d’authentification

2
Renvoi HTTP à
l'identifiant Captive Portal
Système d'exploitation Navigateur

IE6, IE7, IE8
Windows 2000, XP, Vista, 7
Firefox 3.x.x
Mac OS X 10.5 Leopard,
Firefox2 et Firefox 3
Mac OS X Snow Leopard
Linux (Redhat) Firefox 3.x.x

Captive Portal
Personnalisation
 Logo
 Texte d'accueil
 Image de fond
 Fichier de polices de l'entreprise
 Image de la bannière personnalisable
 Pages d'aide associées
/flash/switch
• cpPolicy.html
• logo.png ( prefered ), jpg, gif
• background.png, jpg, gif
• banner.jpg Message d'accueil de mon entreprise
• cpLoginWelcome.inc
• cpStatusWelcome.inc
• cpFailWelcome.inc
• cpLoginHelp.html
• cpStatusHelp.html
• cpFailHelp.html
• cpBypassHelp.html
Captive Portal
Personnalisation
 Configuration d'un sous-réseau différent pour l'adresse IP Captive Portal

 -> 802.1X captive-portal address 10.124.0.1
 Configuration d'une URL pour le serveur Web proxy utilisateurs Captive Portal
 -> 802.1x captive-portal proxy-server-url www.training.com
 URL de redirection
 Fonction de redirection de l'utilisateur vers
 une URL de redirection suite à une authentification réussie
 une URL de redirection suite à un échec/bypass d'authentification
 -> 802.1x captive-portal success-redirect-url http://test-cp.com/fail.html
 -> 802.1x captive-portal fail-redirect-url http://test-cp.com/fail.html
 Liste de mots clés DNS personnalisable

 Jusqu'à 4 mots clés DNS configurables
par l'utilisateur
 -> 802.1x captive-portal dns-keyword-list “univ.intra-net.jp”
ou
 -> 802.1x captive-portal dns-keyword-list “univ.intra-net1.jp”
“univ.intra-net2.jp” “univ.intra-net3.jp” “univ.intra-net4.jp”
Stratégies de sécurité pour l'authentification Captive Portal
Configuration
-> 802.1x slot/port captive-portal policy authentication
pass {group-mobility | vlan vid | default-vlan | block}]
fail {group-mobility | vlan vid | default-vlan | block}
Utilisée lorsqu’une authentification

CP réussie ne renvoie pas d'ID
VLAN, renvoie un ID VLAN qui
n'existe pas
ou lorsque l'authentification CP
échoue
• Que les stratégies aient réussi ou échoué, l'ordre dans lequel les paramètres sont configurés
détermine l'ordre dans lequel ils sont appliqués.
• Le type de stratégie doit se terminer par default-vlan, block, ou captive-portal
• Le paramètre final block est utilisé par défaut
Stratégie Supplicant avec Captive Portal
Exemple
 -> 802.1x 1/1 supplicant policy authentication pass group-mobility captive-portal fail vlan
70 block
Supplicant ?
Oui
802.1x
-> show 802.1x users
Succès Slot MAC Port User
Échec Port Address State Policy Name
-----+-----------------+---------------+--------------+-------------------------
01/01 00:1a:4b:6c:d0:b0 Authenticated -- john
Vlan Radius
Vlan 70 Slot MAC Port User

Group-mobility Port Address State Policy Name
-----+-----------------+---------------+--------------+-------------------------
Block
Captive Portal 01/01 00:1a:4b:6c:d0:b0 Authenticated CP in progress john
Block Slot MAC Port User

Port Address State Policy Name
-----+-----------------+---------------+--------------+-------------------------
01/01 00:1a:4b:6c:d0:b0 Authenticated Auth Srv - CP john
Stratégie Non-Supplicant avec Captive Portal
Exemple
 -> 802.1x 1/1 non-supplicant policy authentication pass group-mobility vlan 5 default-vlan fail
captive-portal
Auth.
NON MAC
Supplicant ? Succès
Échec
Vlan Radius Captive Portal
Mobile Vlan Block
Block
-> show 802.1x non-supplicant 1/1 -> show 802.1x non-supplicant 1/1
Slot MAC MAC Authent Classification Vlan
Slot MAC MAC Authent Classification Vlan Port Address Status Policy Learned
Port Address Status Policy Learned -----+-----------------+----------------+------------------+-------
-----+-----------------+----------------+------------------+------- 01/01 00:1a:4b:6c:d0:b0 failed CP - In Progress -
01/01 00:1a:4b:6c:d0:b0 Authenticated Group Mobility - 12 -----+-----------------+----------------+------------------+-------
-----+-----------------+----------------+------------------+------- 01/01 00:1a:4b:6c:d0:b0 failed CP - In Progress -
-----+-----------------+----------------+------------------+-------
-> show vlan port 1/1 -> show vlan port 1/1
01/04 00:1a:4b:70:33:db failed Auth srv - CP
vlan type status vlan type status
--------+---------+-------------- --------+---------+--------------
11
1 default forwarding 1 default forwarding
12 mobile forwarding 11 mobile forwarding

Stratégie Non-Supplicant avec Captive Portal
Exemple
 -> 802.1x 1/1 captive-portal policy authentication pass vlan 42 fail vlan 220
Captive
Auth.
Portal
MAC
NON
Supplicant ?
Succès Échec Succès Échec
Vlan Radius Captive Portal Vlan Radius Vlan 220
Mobile Vlan Mobile Vlan Block
Captive Portal Block
-> show 802.1x non-supplicant 1/1 -> show 802.1x non-supplicant 1/1
Slot MAC MAC Authent Classification Vlan Slot MAC MAC Authent Classification Vlan
Port Address Status Policy Learned Port Address Status Policy Learned
-----+-----------------+----------------+------------------+-------- -----+-----------------+----------------+------------------+-------
01/01 00:1a:4b:6c:d0:b0 Authenticated Auth srv - CP 11 01/01 00:1a:4b:6c:d0:b0 Failed (timeout) CP - In Progress -
Slot MAC MAC Authent Classification Vlan Slot MAC MAC Authent Classification Vlan
Port Address Status Policy Learned Port Address Status Policy Learned
-----+-----------------+----------------+------------------+-------- -----+-----------------+----------------+------------------+-------
01/01 00:1a:4b:6c:d0:b0 Authenticated Auth srv - CP 11 01/01 00:1a:4b:6c:d0:b0 Failed (timeout) Vlan ID - CP 220
Stratégies de classification d'équipements Access Guardian
Supervision Captive Portal
 show 802.1x device classification policies
 show 802.1x captive-portal configuration
 show aaa-device all-users
 show aaa-device non-supplicant-users
 show aaa-device captive-portal-users
 show 802.1x slot/port

USER NETWORK PROFILE
User Network Profile (UNP)
 Définit les contrôles d'accès réseau d'un ou de plusieurs utilisateurs
 Chaque équipement auquel est attribué un profil spécifique reçoit un accès

réseau en fonction des critères du profil et non d'une adresse MAC, d'une
adresse IP ou d'un port spécifique.
 Les administrateurs peuvent utiliser les profils pour grouper les utilisateurs
selon leur fonction.
 Tous les utilisateurs alloués à un même UNP deviennent membres du groupe de
cet UNP.
 L'UNP comprend :
 Un ID de VLAN.
 Un indicateur HIC configurable (activé ou désactivé). Après la classification, il est
possible qu'un utilisateur n'est pas un accès total au réseau étant donné que les
informations d'identification de l'équipement doivent être vérifiées par un serveur
Host Integrity Server
 Un rôle configurable composé d’une liste de règles de pré-configurées.
En utilisant les capacités existantes fournies par la QoS, plusieurs règles de stratégie
ou ACL sont configurées et doivent être agrégées dans un concept de « policy list »
User Network Profile - Contrôle d'accès basé sur les rôles
avec UNP
 Déploiement évolutif avec des listes de stratégies ACL/QoS distinctes
10 M, Tout excepté la BD
Admin
confidentielle sur les AAA Radius
patients
Admin ACL, QoS,
HIC, VLAN
100 M, Tout excepté les BD
Salarié
sur les patients Salariés ACL, QoS,
HIC, VLAN
VoIP
ACL, QoS,
Horodatage et définition des HIC, VLAN
priorités du trafic voix Médecin
ACL, QoS,
Voix HIC, VLAN
Invité Infos
ACL, QoS, confidentielles
HIC, VLAN
Médecin 100 M Accès à sur le patient
tout Captive Portal
Invité 10 M, Accès Internet DHCP

uniquement ACL, QoS,
Default VLAN HIC, VLAN
BD des
coordonnées
Internet
des patients
• User Security Profiles suit l'utilisateur
• Security Profiles appliqué dynamiquement au port
du commutateur
Stratégies Access Guardian - Stratégie de classification des
équipements UNP
Demande d'ouverture de session Serveur
1 Demande d'authentification
Radius
2
Table de 3
mappage du Demande
commutateur accordée
-> show aaa user-network-profile

Le Filter_ID correspond au profil local :
numéro de VLAN, liste des stratégies, HIC O/N
Oui
Nom du profil transmis Appliquer RADIUS Profile
par RADIUS ? Nom UNP (ASCII) transmis
par Radius
Non
Group mobility
Appliquer Local Profile
Local Profile
Nom UNP défini localement sur
VLAN le commutateur
Block
• Local Profile est désormais une des stratégies Access
Guardian
• L'ordre des stratégies peut être interchangé
Stratégies Access Guardian - UNP
 Le nom UNP est transmis par le serveur RADIUS et associé au même nom de
profil configuré sur le commutateur.
 Si l'ID VLAN et le nom UNP sont transmis par le serveur RADIUS et que le profil UNP est
configuré sur le commutateur, l'ID VLAN défini dans User Network Profile aura
préséance s'il est différent de l'ID VLAN transmis par le serveur RADIUS.
 Si le serveur RADIUS ne renvoie pas de nom UNP, un profil UNP local peut
également être appliqué si cette possibilité est incluse dans l'ensemble
de stratégies.
 Des profils peuvent être appliqués aux supplicants 802.1x ainsi qu'aux clients
d'authentification basée sur MAC et basée sur Web, et peuvent exister à la fois
dans les stratégies « Pass » et « Fail ».
Stratégie User Network Profile - Configuration de la CLI
1. Configurer un profil utilisateur pour une stratégie de classification d'équipements

Access Guardian
-> aaa user-network-profile name profile_name vlan vlan-id [hic [enable | disable]]
[policy-list-name list_name]
UNP
VLAN
HIC
2. Appliquer un profil utilisateur pour classer tous les équipements Liste de

connectés à un port pour stratégies
QoS
 l'authentification d'un équipement supplicant
ACL
 l'authentification d'un équipement non-supplicant
 l'authentification Captive Portal
-> 802.1x slot/port supplicant policy authentication [[pass] {group-mobility | user-

network-profile profile_name | vlan vid | default-vlan | block | captive-portal}...]
[[fail] {user-network-profile profile_name | vlan vid | block | captive-portal}...]
UNP – Listes de stratégies QoS
 Une liste de stratégies par défaut existe dans la configuration du commutateur

 Cette liste s'applique à la totalité du commutateur.
 Les règles sont ajoutées automatiquement à cette liste lorsqu'elles sont créées.
 La règle reste membre de la liste par défaut même si elle est, par la suite, ajoutée à
d'autres listes.
 L'utilisateur a la possibilité d'exclure la règle de la liste par défaut à l'aide de la commande no
default-list lors de la création de la règle.
 Une seule liste de stratégies par UNP est autorisée, mais une liste de stratégies
peut être associée à plusieurs profils.
Liste de stratégies UNP - Configuration
 Attribution d'une liste de stratégies QoS à un User Network Profile UNP
 Applique les modalités d'accès d'un équipement aux ressources réseau VLAN
 Liste de stratégies = une ou plusieurs règles de stratégie QoS HIC
Liste de
 Liste de stratégies QoS réalisée en 2 étapes stratégies
QoS
ACL
1. Stratégie QoS en attribuant un nom et la liste des stratégies QoS existantes
-> policy list list_name rules rule_name [rule_name2...] [enable | disable]
2. User Network Profile avec le nom de la liste de stratégies QoS
-> aaa user-network-profile name profile_name vlan vlan-id [hic [enable | disable]]
[policy-list-name list_name]
Stratégie User Network Profile - Exemple (1)
Serveur Radius
UNP manquant
OmniSwitch
-> show 802.1x device classification policies 1/3

Supplicant:
authentication:
pass: group-mobility, default-vlan (default)
fail: block (default)
Non-Supplicant:
authentication:
pass: group-mobility, default-vlan
fail: UNP guest, block
Captive Portal:
authentication:
pass: default-vlan (default)
fail: block (default)
-> show aaa user-network-profile

Role Name Vlan HIC Policy List Name
---------------------------+----+----+----------------------
guest 20 No internet_only
Stratégie User Network Profile - Exemple (2)
Serveur Radius
UNP manquant
OmniSwitch
-> show 802.1x non-supplicant 1/3

onex_view, inIndexCount=1, all=0

Port Address Status Policy Learned
-----+-----------------+----------------+------------------+--------
01/03 00:1a:4b:6c:d0:b0 Authenticated Group Mobility 42
Non-Supplicant:
authentication:
pass: group-mobility, default-vlan
fail: UNP guest, block

Port Address Status Policy Learned
-----+-----------------+----------------+------------------+--------
01/03 00:1a:4b:6c:d0:b0 Failed User Net Profile 20
RÈGLE DE CLASSIFICATION DE PAQUETS
AAA ET USER NETWORK PROFIL
Stratégies de classification des équipements Group-mobility
Règle de classification de paquets AAA
 La règle de classification de paquets AAA associe une règle à un

User Network Profile
 Autre type de stratégie de classification des équipements
 Similaire aux règles « Group Mobility »
 Utilisateurs à classer dans « mobile user network profiles »
 Types de règle de classification de paquets AAA

 ip rule (sous-réseau/masque)
 mac rule préséance
 mac range rule
Règle de classification de paquets AAA –
Configuration de la CLI
 Règle MAC de classification de paquets AAA
->aaa classification-rule mac-address mac_address user-network-profile name profile_name
->aaa classification-rule mac-address-range low_mac_address high_mac_address user-network-profile

name profile_name
 Règle IP de classification de paquets AAA
->aaa classification-rule ip-address ip_address [subnet_mask] user-network-profile name profile_name
• Lorsque la stratégie Group Mobility est configurée comme étant la stratégie de

classification d"équipements Access Guardian pour un port 802.1x, les règles de
classification AAA et les règles VLAN sont appliquées au trafic sur ce port.
• Les règles de classification ont préséance sur les règles VLAN.
Règle de classification UNP/de paquets AAA - Exemple
Salarié Invité
Salarié Voix Invité
UNP « Salarié »
UNP « Guest »
vlan 30 UNP « Voix »
vlan 26
hic actif vlan 21
Liste de stratégies
Liste de stratégies « qos_gold »
« internet_only »
hic actif
aaa classification-rule mac-address-range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff user-network-profile name Voice
-> show aaa-device non-supplicant-users port 1/10

-----+----------------------+---------------+----+----+---------------+----+----+---------------
1/10 00:12:79:c2:c8:11 -- 26 Brdg - MAC Fail internet
-> show aaa-device supplicant-users port 1/12

-----+----------------------+---------------+----+----+---------------+----+----+---------------
1/12 00:1f:29:81:4b:8f test1 30 Brdg - 1X Pass Employee
1/12 00:1f:29:81:4b:8f -- 26 Brdg - MAC Fail internet
-> show aaa-device non-supplicant-users port 1/12

-----+----------------------+---------------+----+----+---------------+----+----+---------------
1/12 00:80:9f:56:3b:b3 -- 21 Brdg - MAC Pass Voice
SURVEILLANCE DES CONNEXIONS WINDOWS
Kerberos
 L'objectif de Kerberos est de procéder à une authentification.
 Il s'agit d'un protocole de sécurité fiable utilisé pour établir l'identité des
utilisateurs et des systèmes accédant aux services du réseau,
 Protège les protocoles réseau du sabotage (protection de l'intégrité)
 Il crypte souvent les données envoyées avec le protocole (protection de la
confidentialité)
 Il est basé sur le concept de clés de cryptage symétriques ; la même clé est
utilisée pour crypter et décrypter un message.
 On parle également de clé privée partagée.
 Un serveur Kerberos sécurisé est utilisé pour vérifier la sécurité de l'accès.

 Ce serveur sécurisé est appelé « centre de distribution de clés » (KDC pour Key
Distribution Center). Le KDC émet des tickets pour valider les utilisateurs et les
services.
 Le mot de passe de l'utilisateur n'est jamais stocké, sous quelque forme que ce soit,
sur la machine cliente. Le mot de passe est immédiatement supprimé après
utilisation.
 Kerberos offre des fonctions d'authentification uniquement. Il ne prend pas en

charge les autorisations utilisateur.
Surveillance Kerberos
 Surveille les informations utilisateur et détermine si un système s'est connecté
avec succès à un domaine.
 L'authentification Kerberos est gérée par un serveur Kerberos externe (KDC).
 Un agent Kerberos est placé entre le client et le serveur Kerberos.
 L'agent Kerberos gère la base de données d'informations client :

 Nom du client
 Adresse MAC source
 Adresse IP
 Nom de domaine
 Statut d'authentification
 Numéro de port auquel le client est associé
 Liste de stratégies QoS à appliquer une fois le processus d'authentification terminé.
 La suveillance Kerberos est prise en charge uniquement par les ports 802.1x
avec des utilisateurs non-supplicant.
Application Fluency
Data Center Evolution
– Identification (« Fingerprinting ») d'utilisateur
Surveillance des connexions Windows
 Nouvelle méthode d'authentification pour les Serveur
utilisateurs en entreprise Transaction Microsoft
 Solution plus sécurisée : Authentification 802.1x Kerberos Active
 Défi : comment s'assurer que tous les terminaux
Directory
peuvent prendre en charge l'IEEE 802.1x
 Défi : Besoin de conserver un serveur RADIUS
 Avec la version 6.4.5 : La connexion Windows est
surveillée par l'authentification
Noyau
 Séquence d'authentification
 Un accès limité est accordé à l'utilisateur en
fonction de l'UNP par défaut
 L'authentification du serveur de domaine est
surveillée et le résultat est suivi : succès/échec,
nom de domaine, nom d'utilisateur Accès
 L'accès au réseau final est accordé en fonction du
résultat succès/échec et du nom de domaine
 Si un nouvel utilisateur initie une nouvelle
connexion, la séquence d'authentification
redémarre
 Temporisation d'inactivité (5 h par défaut) pour
comptabiliser les déconnexions « silencieuses »
Data Center Evolution – Ce qu’il faut savoir
 Mobilité
 La mobilité sur le même commutateur est prise en charge sans ré-authentification
 La mobilité commutateur à commutateur n'est pas encore prise en charge :
l'utilisateur doit se déconnecter/connecter pour revenir sur le réseau
 Compatibilité avec d'autres méthodes d'authentification

 L'authentification utilisateur Kerberos interviendra après l'authentification basée sur
MAC du même utilisateur et système. L'authentification basée sur MAC fournira un
chemin entre le client Kerberos et le serveur.
 Si une authentification 802.1x intervient avant l'authentification Kerberos pour le
même client, le paquet de demande Kerberos ne sera pas traité sur le commutateur
et sera commuté/routé/abandonné en fonction des résultats 802.1x (échec/succès) de
l'utilisateur et des autres configurations sur le commutateur.
 Fonctionne comme une règle HIC - basé sur les ACL dynamiques
 Non compatible avec Captive Portal
Data Center Evolution – Ce qu’il faut savoir
 Limites
 Nombre maximal d'adresses IP de serveur Kerberos pouvant être configurées sur un
commutateur = 4
 Nombre maximal d'utilisateurs Kerberos pouvant être appris sur un
commutateur = 1 000.
 Liste de stratégies
 Une fois l'utilisateur authentifié via le serveur Kerberos, la liste « qos-policy-list »
configurée pour Kerberos (globale ou par domaine) sera mise à jour dans la table
hardware I2 pour cet utilisateur (MAC). La liste « qos-policy-list » Kerberos effacera et
remplacera la liste « qos-policy-list » UNP/HIC si l'utilisateur est déjà classé comme
utilisateur UNP/HIC, mis à part quelques exceptions listées ci-dessous :
 Si l'utilisateur est appris en mode « filtering », Kerberos ne remplacera pas la table hardware I2
par la « qos-policy-list » Kerberos.
 Si l'utilisateur est à l'état HIC-IN-PROGRESS, Kerberos ne remplacera pas la « qos-policy-list » HIC
par la « qos-policy-list » Kerberos.
Surveillances des connexion Windows –
Data Center Evolution
Exemple de configuration
-> vlan port mobile 3/1
-> vlan port 3/1 802.1x enable
-> 802.1x 3/1 kerberos enable
-> aaa kerberos mac-move enable
-> aaa kerberos ip-address 172.21.160.102
-> aaa kerberos inactivity-timer 30
-> aaa kerberos server-timeout 20
-> aaa kerberos authentication-pass policy-list-name pl1
-> aaa kerberos authentication-pass domain EXAMPLE.COM policy-list-name p1
La CLI présente les commandes permettant d’afficher la configuration

Kerberos du commutateur
-> show aaa kerberos configuration
-> show aaa kerberos port
-> show aaa kerberos users
-> show aaa kerberos statistics
-> show aaa kerberos port statistics
ACCESS GUARDIAN 2.0
AOS 8.X
Access Guardian 2.0 - AOS 8.X
 Les ports sont classés comme des ports Access (accès), Bridge (pont) et Edge
(extrémité)
 Les ports Access et Bridge ne sont pris en charge que sur les commutateurs OS10K et
OS6900
 Les ports Edge ne sont pris en charge que sur le commutateur OS6860
 Les règles AG sont différentes

 UNP renvoyé par Radius
 Règles de classification UNP
 Pass Alternate UNP
 Blocked
 Le 8.1.1 inclut un Auth Server Down Path
 Captive Portal est configuré séparément

 Captive Portal n'est activé que par le biais d'un profil Edge UNP, les propriétés CP sont
définies dans le cadre d'un profil CP
 Access Guardian 2.0 sert à fournir un accès réseau et à attribuer des rôles
(liste de stratégies) à chaque utilisateur par le biais d'un processus en
deux étapes
 Première étape : une authentification L2, qui peut être une authentification ou une
classification 802.1x ou MAC. Le résultat de ce processus est un UNP
 Seconde étape : Authentification/classification L3
 Les validations basées sur les stratégies QMR/« Location »/« Time » peuvent
être activées dans l'UNP
 si ces validations échouent, l'utilisateur est associé au paramètre Restricted Role
(liste de stratégies)
 L'utilisateur peut également recevoir un nouveau rôle après une

authentification Captive portal et d'autres rôles définis par l'utilisateur
 L'UNP initial (qui fournit la liste de stratégies initiale et le rôle initial) et le
VLAN ne changent pas au cours de la vie de l'utilisateur. Seuls les rôles
changent de manière dynamique
 AG 2.0 prend en charge les Built-in restricted roles (rôles restreints intégrés)
déterminés par l'état des composants AOS suivants :
 Stratégies basées sur l'emplacement et l'horaire (Non autorisées)
 Quarantine Manager and Remediation
 Captive Portal (pré-connexion)
 Redirect (enregistrement invité BYOD/onboard)
 AG 2.0 prend également en charge la configuration explicite des rôles

restreints déterminés par l'état des composants AOS ci-dessous.
 Stratégies basées sur l'emplacement et l'horaire (Non autorisées)
 Quarantine Manager and Remediation
 Captive Portal (pré-connexion)
 Redirect (enregistrement invité BYOD/onboard)
 Les rôles restreints configurés de manière explicite ont préséance sur les rôles
restreints intégrés.
Access Guardian 2.0 - Règles de classification Atomic
 Port  Port + MAC + IP
 Group-ID  Port + MAC
 MAC  Port + IP
 MAC-OUI  Group-ID + MAC +IP
 MAC-Range  Group-ID + MAC
 LLDP  Group-ID +IP

 IP-Phone
 Authentication-Type
 802.1x, MAC
 IP -> unp classification mac-address 00:11:22:33:44:55 port 1/1/5 edge-profile Pr1

-> unp classification ip-address 10.0.0.20 mask 255.255.0.0 port 1/1/10 edge-profile Pr2
-> unp classification group-id GRP1 edge-profile myProfile1PSK
-> unp classification mac-address 00:11:22:33:44:55 group-id GRP1 edge-profile Pr1
-> unp classification mac-oui 00:11:22 edge-profile myProfile1
-> unp classification lldp med-endpoint ip-phone edge-profile myProfile1
-> unp classification authentication-type 802.1X edge-profile myProfile1
-> unp classification authentication-type MAC edge-profile myProfile2
Access Guardian 2.0
- Règles de classification Extended
 Règles de classification Extended
 Définition d'une liste de critères à respecter
 Conformité uniquement lorsque tous les critères sont respectés
 Prise en charge de la préséance
 Une seule règle Extended peut être utilisée pour un utilisateur donné
 Ont toujours préséance sur les règles Binding et Atomic
 La classification Extend prend en charge

 MAC
 PORT
 Group-ID -> unp classification-rule EXT1 Edge-profile “UNP1”
 LLDP -> unp classification-rule EXT1 group-id GRP1
-> unp classification-rule EXT1 mac-address 00:11:22:33:44:55
 Authentification -> unp classification-rule EXT1 mac-oui 00:11:22
-> unp classification-rule EXT1 lldp med-endpoint ip-phone
-> unp classification-rule EXT1 authentication-type 8021X
-> unp classification-rule EXT1 authentication-type MAC
Access Guardian 2.0 - Modèles Edge
 Modèle Edge
 Contient l'ensemble des propriétés UNP
Modèle Edge
 Peut être appliqué au port UNP de Linkagg
Auth. Auth.
 Propriétés 802.1X MAC
 Name
 802.1x authentication [enable|disable]
Profil Edge Profil AAA
 802.1x authentication tx-period <secs>
 802.1x authentication max_req <num>
 802.1x authentication supp-timeout <secs>
 802.1X authentication pass-alternate edge-profile <name>
 Mac-authentication [enable|disable]
 Mac-authentication pass-alternate edge-profile <name>
 Classification [enable|disable]
 Default-edge-profile <name>
 Group-id <string>
 AAA-profile <string>
 Bypass [enable|disable]
 Allow-eap [pass|fail|noauth|none]
 Failure-policy [mac-authentication|default]
 Group-ID
 Groupe de ports logiques
 Identique à un domaine client dans les précédentes versions AOS
-> unp group-id 2 description grp2

 Bypass
 802.1x bypass – Dans ce mode, l'authentification basée sur l'adresse MAC a préséance
sur l'authentification 802.1x
 Failure Policy
 Si l'authentification 802.1x échoue :
 Réalise une classification des équipements (par défaut) ou
 Réalise une authentification MAC
 Allow-EAP
 Pass 802.1x après la réussite de l'authentification MAC
 Fail 802.1x après un échec de l'authentification MAC
 Noauth 802.1x 802.1x après une désactivation de l'authentification MAC
 None toujours ignorer 802.1x
 AAA Profile
 Spécifie le profil AAA par défaut du modèle Edge
 Default Edge-Profile
 Lorsque le modèle Edge est associé à un port UNP/linkagg, tous les profils par défaut
existants sont remplacés
 Pass-alternate
 Si la classification ne renvoie pas un UNP valide, le pass-alternate est attribué
Access Guardian 2.0 - Profil Edge
 Profil Edge
 Edge-profile <name> Profil Edge
 Qos-policy-list <name> Liste de Stratégie
 Nom de la liste de stratégies (ACL ou QoS) associée stratégies « Location »
à l'UNP QoS
 Définit le rôle initial de l'utilisateur
Captive Stratégie
 Location-policy <string>
Portal « Period »
 Emplacement/port, nom du système, situation
 Period-policy <string>
 Captive-portal-authentication [enable|disable]
Vlan-mapping
 Captive-portal-profile <name> VLAN ID
 Authentication-flag [enable|disable]
 Mobile-tag [enable|disable]
 Redirect
 Vlan-mapping
 Une fois qu'un utilisateur est authentifié L2/classé dans un UNP,
 Le rôle initial de l'utilisateur est déterminé par la « qos policy-list » associée à l'UNP.
 Ce rôle peutêtre remplacé par un des rôles plus spécifiques en fonction du résultat de
l'application d'une ou plusieurs propriétés/méthodes activées sur le profil Edged UNP
comme listées ci-dessous.
 Captive Portal
 Stratégie basée sur l'emplacement/horaire
 Stratégie basée sur le QMR
 Rôle dérivé de l'utilisateur en utilisant
 Type d'authentification
 BYOD
 Stratégie « Location » du profil Edge
 Location-policy <string>
 La stratégie « Location » est utilisée pour limiter l'accès au réseau en se basant sur
l'emplacement de l'utilisateur/équipement
 Lorsque l'utilisateur UNP ne répond pas aux critères de la stratégie « Location »
spécifiée, le rôle de l'utilisateur est modifié automatiquement en un rôle non autorisé
 L'emplacement d'un utilisateur utilisant un poste filaire sera déterminé par :
 le châssis/emplacement/port auquel l'utilisateur est associé
 le nom du commutateur auquel l'utilisateur est associé
 la « Switch Location String », qui identifie un groupe de commutateurs
 Configuration de « Location »
 system location <string>
 unp policy validity location “Alcatel” port 1/1/10
 Stratégie « Time Period » du profil Edge
 Period-policy <string>
 La stratégie « Period » est utilisée pour limiter l'accès au réseau en se basant sur
l'horaire d'accès de l'utilisateur/équipement
 Les critères temporels de l'accès réseau d'un utilisateur peuvent être spécifiés en
jours, heures, mois et intervalles comprenant la date/l'heure.
 Une stratégie « Period » est considérée comme satisfaite si l'un des critères
jour/mois/heure/date spécifié est satisfait
 Configuration de la stratégie « Time Period »

 unp policy validity period “Office-Time”
 unp policy validity period “Office-Time” days MONDAY
 unp policy validity period “Office-Time” days MONDAY time-zone
 unp policy validity period “Office-Time” hours 9:00 to 17:00
 Captive-portal-authentication [enable|disable]
 Si ce paramètre est défini sur « Enabled», l'utilisateur UNP est soumis à une
authentification Captive Portal
 Authentication-flag [enable|disable]
 Si ce paramètre est défini sur « Enabled », le nom UNP ne peut être sélectionné que si
l'utilisateur UNP lui a été associé par le biais de l'authentification L2 (802.1x/Mac)
 Mobile-tag [enable|disable]
 Active/désactive le mode « Mobile tag » sur le port UNP des utilisateurs raccordés.
 Si ce paramètre est défini sur « Enabled », il utilise le port sur lequel l'utilisateur UNP
a été appris pour l'ajouter comme « Tagged Member » au VLAN associé à l'UNP
Access Guardian 2.0 - Profil AAA
 Le profil AAA définit
 Les serveurs d'authentification AAA associés aux différentes méthodes
d'authentification
 Jusqu'à 4 serveurs d'authentification peuvent être spécifiés par méthode d'authentification
 Les serveurs de comptabilité AAA associés aux différentes méthodes d'authentification
 Jusqu'à 4 serveurs de comptabilité peuvent être spécifiés par méthode d'authentification
 Un serveur Syslog peut être spécifié comme serveur de comptabilité
 Propriétés des différents attributs Radius
 Spécification d'une adresse MAC ou IP comme « calling-station-id » dans les attributs RADIUS
 Spécification des propriétés 802.1x avec le serveur RADIUS
 Activation/désactivation de la ré-authentification
 Intervalle de ré-authentification
 Spécification de la périodicité du message temporaire RADIUS Accounting-Request pour les
utilisateurs authentifiés par 802.1x/MAC/Captive Portal
 Spécification de la temporisation de déconnexion sur inactivité pour l'authentification MAC et
Captive Portal
Access Guardian 2.0 - Profil Captive Portal
 Profil Captive Portal
 Mode [internal|external] - 8.1.1 interne pris en charge uniquement
 Success-Redirect URL
 URL de redirection suite à une authentification réussie
 Retry-Count
 Nombre de tentatives avant que l'authentification ne soit déclarée comme ayant échoué
 Policy-List <name>
 Liste de stratégies à associer suite à une authentification réussie
 Realm [prefix|suffix] Domain <domain-name>
 Par exemple, dans « domain-name\user1 », « domain-name » se rapporte au nom de domaine si
l'option « prefix » est choisie
 Par exemple, dans « user@domain-name », « domain-name » se rapporte au nom de domaine si
l'option « suffix » est choisie
 AAA-Profile <name> Nom du profil AAA
Access Guardian 2.0
Quarantine Manager and Remediation
 Le QMR est utilisé lors de l'étape d'authentification/classification L3.
 Cette étape vient à la suite de l'étape d'authentification primaire L2 lors de

laquelle un UNP est attribué.
 En fonction de l'UNP sur lequel l'utilisateur est inscrit, l'utilisateur peut être
soumis à des validations basées sur le QMR ou les stratégies « Location » ou
« Time » et se voir attribuer des rôles dynamiques (policylist).
 Si les validations basées sur le QMR ou les stratégies « Location » ou
« Time » échouent, l'utilisateur est associé au paramètre Restricted Role
(liste de stratégies)
 Le QMR permet ce qui suit :
 Configuration de la page de quarantaine
 Activation/désactivation de la fonction d'envoi de la page de configuration au client
 Spécification d'une liste d'adresses IP avec lesquelles l'équipement peut communiquer
 Configuration d'un port proxy personnalisé
BYOD AVEC CLEARPASS
BYOD avec ClearPAss
 Solution de gestion de stratégie d'accès unifiée pour réseaux câblés et sans fil
 Interface CoA RADIUS standardisée entre le commutateur et le CPPM
 Changement d'autorisation RADIUS

 Fournit un mécanisme permettant de modifier les attributs AAA RADIUS d'une session
après authentification
 Un nouveau profil « Edge » (Nom UNP), une URL de redirection si nécessaire et une
« AccessPolicyList« peuvent être envoyés comme attributs dans le message
(646R01 ne renvoie pas de nom « AccessPolicyList »)
 Si le CPPM n'est pas configuré pour renvoyer l'« AccessPolicyList », la liste de
stratégies du profil « Edge » est appliquée
 Si aucune liste de stratégies n'est associée au profil « Edge », une liste de stratégies
par défaut « Allow All » est appliquée
 Message de déconnexion pour terminer la sessions utilisateur et supprimer tout

le contexte utilisateur
 Commutateurs AOS pris en charge
 6860 : AOS R8.1.1
 6850E : AOS6.4.6
 6250/6450 : AOS R6.6.5
BYOD avec ClearPAss
• Host Posture Check :
• Anti-virus
• Anti-logiciel espion
OnGuard • Pare-feux • Identification (« Fingerprinting ») de
l'équipement
• Dictionnaire « Fingerprint »
Profil • Surveillance des modifications du
profil de l'équipement
• ClearPass peut servir de

ClearPass - serveur RADIUS pour de nouveaux déploiements
Policy - Proxy RADIUS pour des réseaux superposés pour le service
d'authentification MAC uniquement
Manager
• ClearPass version 6.3 est pris en charge dans le 8.1.1.R01
• Sponsors
• Portails avec
Invité marque
• Auto-
enregistrement
Onboard • Certificats de
l'équipement
• Portail contrôlé par
l'utilisateur
• CA intégré
On-boarding d'équipements appartenant au salarié
 Stratégies pour contrôler le type d'équipements devant être embarqués
 Gestion des certificats numériques
 Le processus on-boarding automatise la configuration 802.1x et la mise en

service des équipements
 La mise en service des équipements est prise en charge via Aruba QuickConnect
ou l'API Apple OTA
Redirection du
 Quick Connect prend en charge les supplicants natifs sur trafic HTTP
vers URL
Windows Vista, XP, 7, Apple et Android Onboard
Supplicant Oui Initier Oui Succès Oui EAP- Oui Salarié Non
Infos d'iden.
AD
Client ?
auth. 802.1x
TLS ? UNP
Block correspondent
802.1x ? ?
Non Non Oui

Non
UNP Non Oui
Initier Infos d'iden. Invite d'installation de
restreint Block
auth. MAC .1x Quick Connect TM
renvoyé
correspondent auth. .1x réinitiée
? avec EAP-TLS
On-boarding d'équipements appartenant au salarié
ClearPass Auth. AD
RADIUS CoA API XML

UNP « Salarié »
Commutateur Contrôleur WLAN

d'extrémité
Points d'accès
Équipements appartenant
au salarié Équipements appartenant
au salarié
Gestion des invités par le Captive Portal du CPPM
 Offre un auto-enregistrement des invités, un accès sponsorisé aux invités et un pré-
enregistrement des invités.
 Type d'enregistrement des invités
 Authentification MAC et authentification Captive Portal
 Authentification MAC et auto-enregistrement avec sponsor
 Authentification MAC et Captive Portal avec MAC Caching

 La première authentification MAC échoue et le CPPM renvoie un profil « Edge » restreint,
une URL de redirection et une « Restricted AccessPolicyList »
 Si aucune « Restricted AccessPolicyList » n'est renvoyée et préconfigurée/intégrée, la liste
d'accès par défaut est appliquée
 L'invité est redirigé vers le « Guest Registration Captive Portal ».
 L'invité fournit ses informations de connexion.
 Après une authentification réussie, « Guest edge-profile » est renvoyé via le CoA RADIUS
avec la « GuestAccessPolicyList »
 Le commutateur vide le port/supprime le contexte utilisateur pour réinitier
l'authentification en cas de modification de VLAN.
 L'authentification MAC sera un succès à la prochaine connexion de l'invité (dans le temps
défini).
 Le service MAC-AUTH du CPPM doit être configuré pour mettre en mémoire cache les rôles
qui seront renvoyés sur le processus d'authentification MAC suivant.
Gestion des invités par le Captive Portal du CPPM
ClearPass Sponsor de l'invité

Central Captive
Portal  Accès sponsorisé
 L'URL d'enregistrement d'invité contient un lien pour la création
d'un compte
 Le sponsor reçoit un e-mail lorsque l'invité envoie une demande
de compte
 Après approbation, mot de passe de l'invité reçu par e-mail
 Les flux entre le CPPM et OmniSwitch restent les mêmes
Contrôleur WLAN
Commutateur
d'extrémité
Équip.
de Points d'accès
l'invité
Mot de passe
Équipements de
l'invité
Fonction Unified Device Profiling
 Fonction automatisée dans le CPPM. Identifie
 la catégorie d'équipements - Ordinateur, imprimante, AP, etc.
 famille de l'OS - MAC, Android, Windows, Linux
 le nom de l'équipement et la version de l'OS
 Utile pour les équipements câblés silencieux qui ne peuvent pas s'authentifier eux-
mêmes - Imprimantes, téléphones IP, appareils photo, etc.
 Également utilisée pour la configuration du profil des équipements appartenant à un
invité ou un salarié
 Configuration du profil basé sur des données contextuelles
 Identification (fingerprinting) DHCP
 MAC OUI,
 HTTP User Agent
 SNMP ou autres informations d'identité sur l'équipement
 Accès refusé en cas d'usurpation d'identité de l'équipement

 Équipement déconnecté si la signature de l'équipement change
 Le CPPM doit être configuré comme relais DHCP sur le commutateur en plus du
serveur DHCP (ip helper address ).
Unified Host Posture Check
 Détermine le « Network Security Context » en fonction de la posture des hôtes
une fois que l'hôte a été authentifié au niveau du CPPM
 La vérification de la posture est une étape facultative configurée sur ClearPass
pour vérifier l'état de fonctionnement de l'hôte de connexion.
 Assure la conformité aux stratégies d'entreprise
 Si l'authentification MAC initiale des équipements échoue, le commutateur

placera le terminal dans un UNP restreint.
 La détermination de la posture par ClearPass est réalisée par
 un agent permanent fonctionnant sur les hôtes
 Un trafic spécifique sur le port TCP doit être autorisé dans l'UNP restreint
 un agent Web non-permanent
 Le trafic HTTPS doit être autorisé via l'UNP restreint.
 Un équipement déterminé comme défaillant peut être

 bloqué via un message de déconnexion
 « Remediation » – Équipement dirigé vers un portail de correction pour une mise à
niveau du système
Paramètres ACL
Sommaire
1 Objectif ......................................................................................... 3
2 Paramètres ACL ............................................................................... 3
3 Equipements/matériel requis ............................................................... 3
6 Configuration .................................................................................. 4
7 Caractéristiques des ACL ..................................................................... 4
7.1. Paramètres généraux par défaut de la QoS ....................................................... 5
8 Rappel .......................................................................................... 6
8.1. Configuration globale ................................................................................. 6
o 7
8.2. Condition ................................................................................................ 7
8.3. Policy network group .................................................................................. 7
8.4. Policy service group ................................................................................... 7
8.5. Policy mac group ....................................................................................... 8
8.6. Policy port group ....................................................................................... 8
8.7. Action .................................................................................................... 8
R 8
8.8. Règle ..................................................................................................... 9
8.9. Préséance des règles .................................................................................. 9
8.10. Comment la préséance est-elle déterminée ? .................................................... 9
8.11. Consignation ............................................................................................ 9
8.12. Contrôle ................................................................................................. 9
9 Configuration ................................................................................ 10
9.1. Pour filtrer des clients multicast.................................................................. 11
9.2. Filtrage du traffic FTP .............................................................................. 11
9.2.1. Stratégie 1 ................................................................................................. 12
9.2.2. Stratégie 2 ................................................................................................. 12
9.2.3. Stratégie 3 ................................................................................................. 13
2
Paramètres ACL
10 Résumé ....................................................................................... 13
11 Questions ..................................................................................... 13
3
Paramètres ACL
1 Objectif
Ce lab fournit un aperçu des nombreux paramètres ACL sur les OmniSwitch. Vous allez voir
différentes configurations. Cela va vous permettre d’être plus familier avec la syntaxe. Après
avoir complété ce lab, vous aurez un aperçu de la complexité des ACL et des étapes à suivre afin
de la faire fonctionner correctement. La dernière partie vous demandera de créer une
configuration basée sur un scénario.
2 Paramètres ACL
Les produits OmniSwitch ont été conçus avec la Qualité de Service en tête. Ainsi, il y a une
grande variété de fonctions et paramétrages disponibles. De plus, de nouveaux ensembles de
fonctions vont être implémentés en fonction des nouveaux standards et demandes émergentes.
3 Equipements/matériel requis
Deux OmniSwitches et 2 PCs ou plus.
qos (enable, disable, apply, reset, flush), qos port …,
policy (condition, action, rule, …), show qos …, show policy …, policy … group, policy service …
Toutes
4
Paramètres ACL
6 Configuration
Bien que des stratégies puissent être utilisées dans de nombreux types de scénarios de réseau différents,
nous aborderons les points suivants :
Règles ICMP - y compris le filtrage
ACL - utilisées pour le filtrage de la couche 2, de la couche 3/4 et multicast.
La configuration des ACL peut interagir avec d'autres fonctions configurées, comme le SLB, l'agrégation de
liens dynamique (LACP), le 802.1Q, les ports mobiles, le routage IP et la gestion des stratégies LDAP. Il est
également possible de configurer des combinaisons de stratégies. Ces sujets ne seront pas abordés dans ce
cas pratique, l'étudiant devra donc mener des études et des recherches complémentaires.
Servez-vous de la table des associations de conditions du Guide de configuration réseau pour obtenir une
liste des associations valides ainsi que des informations supplémentaires sur ces dernières.
Ce cas pratique aborde les commandes CLI QoS, utilisées spécifiquement pour configurer les listes ACL.
Les listes ACL correspondent en fait à un type de stratégie QoS, et les commandes utilisées pour configurer
les listes ACL sont un sous-ensemble des commandes QoS du commutateur.
7 Caractéristiques des ACL

Ces caractéristiques sont les mêmes que celles de la QoS en général :
Nombre maximal de règles : 2048 (1024 pour l'OS6250 et le 6450, 8192 pour le 6900)
Nombre maximal de conditions : 2048 (8192 pour le 6900)
Nombre maximal d'actions : 2048 (8192 pour le 6900)
Nombre maximal de services : 256 (512 pour le 6900)
Nombre maximal de groupes (réseau, MAC, service, port) : 1024 (2048 pour le 6900)
Les listes ACL assurent une sécurité modérée entre les réseaux. L'illustration ci-dessous montre comment des
listes ACL peuvent être utilisées pour filtrer le trafic de sous-réseau via un réseau privé, fonctionnant
comme un pare-feu interne pour les réseaux locaux.
Lorsque le trafic arrive sur le commutateur, celui-ci vérifie sa base de données de stratégies pour tenter de
faire correspondre les informations de couche 2 ou de couche 3/4 de l'en-tête de protocole à une règle de
stratégie de filtrage. Si une correspondance est trouvée, le commutateur applique le comportement
approprié au flux. Le comportement détermine si un flux est accepté ou refusé. Le comportement général
5
Paramètres ACL
est défini par défaut sur accept (accepté) et des règles individuelles peuvent être configurées avec leur
propre comportement.
7.1. Paramètres généraux par défaut de la QoS
Saisissez la commande qos reset pour remplacer l’ensemble des valeurs des paramètres généraux par les
valeurs par défaut.
Rappelez-vous que la QoS est activée par défaut. Les paramètres généraux par défaut de la QoS définissent
notamment ce qui suit :
- Mode « strict priority queuing » actif
- Les ports taggués 802.1Q et les ports mobiles sont toujours sécurisés ; tout autre port est non sécurisé
- Le comportement pour les trafics « bridged », « routed » (routés) et multicast est défini par défaut
comment étant accepté (« accept »)
- « Debug qos » est défini par défaut sur « info »
- 802.1p et dscp sont définis par défaut sur 0 par port
- Le paramètre de préséance « Policy rules precedence » est défini par défaut sur 0
- « Policy actions » est défini par défaut sur « accept » (acceptée)
- Le « Policy network group » par défaut (appelé « Switch ») contient toutes les adresses IP créées sur
un commutateur
Chaque emplacement possède son propre groupe de ports (« Policy port group ») par défaut (appelé
-
« Slot + numéro », c'est-à-dire Slot01 sur un OS6850)
- En plus de la commande qos reset, les autres commandes globales pouvant être utilisées sont :
qos revert
qos flush
qos disable
Saisissez la commande qos port reset pour réinitialiser les paramètres de port sur leurs valeurs par défaut.
Consultez les guides de configuration pour connaître les paramètres par défaut.
Notes : Dans la version actuelle du logiciel, les options « deny » et « drop » produisent le
même effet, à savoir que le trafic est abandonné silencieusement.
Notes : Il n'existe pas de valeur par défaut pour la commande « policy condition ».
Généralement, pour configurer une liste ACL, la procédure générale suivante est requise :
1. Spécifier le comportement général
2. Créer une condition pour le trafic à filtrer
3. Créer une action pour accepter ou refuser le trafic
4. Créer une règle de stratégie qui associe la condition et l'action
6
Paramètres ACL
8 Rappel
8.1. Configuration globale

La QoS est activée par défaut sur le commutateur. Si les règles QoS sont configurées et appliquées, le
commutateur tente de classer le trafic et d'appliquer les actions appropriées.
- Pour désactiver la QoS, saisissez la commande qos. Entrez :
-> qos disable
La QoS est désactivée instantanément. Lorsque la QoS est désactivée de manière globale, aucun flux entrant
dans le commutateur n'est classé (mis en correspondance avec des stratégies).
- Pour activer à nouveau la QoS, saisissez la commande qos accompagnée de l'option enable. Entrez :
-> qos enable
La QoS est réactivée instantanément. Toutes les stratégies actives sur le commutateur seront utilisées pour
classer le trafic entrant dans le commutateur.
Notes : Des règles de stratégie spécifiques peuvent être activées ou désactivées à l'aide de la
commande policy rule.
Par défaut, les flux bridgés, routés et multicast ne correspondant à aucune stratégie sont acceptés sur le
commutateur. Pour modifier le comportement général par défaut (qui détermine si le commutateur va
accepter, refuser ou abandonner le flux), saisissez le paramètre de comportement souhaité (accept, drop ou
deny) en l’associant à l'une des commandes suivantes : qos default bridged disposition, qos default routed
disposition ou qos default multicast disposition.
- Par exemple, pour refuser tous les flux routés ne correspondant à aucune règle, entrez :
-> qos default routed disposition deny
- Pour activer les paramètres, entrez :

-> qos apply
Habituellement, le comportement est configuré uniquement lorsque vous utilisez des règles pour les listes de
contrôle d'accès (Access Control Lists – ACL).
Notes : Si vous définissez qos default bridged disposition sur deny, l'ensemble du trafic (bridgé
ou routé) ne correspondant à aucune stratégie est abandonné. Si vous créez des ACL
autorisant le transit de certains trafics de couche 2 à travers le commutateur, vous devez
configurer deux règles pour chaque type de trafic de couche 2 : une pour la source et une
pour la destination.
- Quelle commande

Langue

Access Switching - Edition 03 DT00CTE115 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Access Switching - Edition 03 DT00CTE115 PDF

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

OMNISWITCH R6/R7/R8

ACCESS SWITCHING - EDITION 03

 Fonctions prises en charge

 Positionnement sur le marché

2012 2013 2014

OS-6400 OS-6855 OS-6850E OS-6850E

• OS6450L upgrade de license • Relais mDNS pour Apple TV/Airprint

AOS 6.6.4 Nouveau matériel

AOS 6.7.1 Nouveau matériel

7.3.1.R01 OS-6900 OS-10k 7.3.3.R01

2012 2013 2014

2012 2013 2014

Avancé stackable L2-L3

OmniSwitch 6850E-X OmniSwitch 6855

OmniSwitch 6450 OmniSwitch 6450

OmniSwitch 6250 AOS

Metro 8/24 ports

10/100 Gig Gig avec 10 G Renforcé

 Conception respectueuse de l'environnement

P24 22 10/100 POE+ 2 2 225 Externe

24M 24 10/100 4 2 42 Externe

24MD 24 10/100 4 2 30 Cc Externe

OmniSwitch 6850E-X OmniSwitch 6855

OmniSwitch 6450 OmniSwitch 6450

OmniSwitch 6250 AOS

Metro 8/24 ports AOS L2+ GE

10/100 Gig Gig avec 10 G Renforcé

 Jeu de fonctionnalités pour le marché PME:

Solution réseau pour petite entreprise

Modèle Ports RJ-45 Ports fixes Alimentation Ventilation Consommation

Power Supply Specifications

Modèle Tension Tension de sortie Wattage Budget de Efficacité de

OmniSwitch 6850E OmniSwitch 6850E-X OmniSwitch 6855

OmniSwitch 6450 OmniSwitch 6450

OmniSwitch 6250 AOS

Metro 8/24 ports

10/100 Gig Gig avec 10 G Renforcé

 OS6450 - 10L/P10L  Alimentation CA interne

 Module de stacking SFP+ optionnel

 L2+ = Fonctions L2 complètes et routage statique/RIP

 Classification et traitement du premier paquet à la vitesse du

 Prise en charge de l'IEEE 802.3af / IEEE 802.3at - compatible PoE

 Alimentations redondantes CA ou CC internes

 Prise en charge totale de la gestion AOS et d'OmniVista

Groupes de travail de succursales pour petites et moyennes

OS6450-24 (L) 24 0 2 Oui 10 G SFP+ Interne / Interne

OS6450-48 (L) 48 0 2 Oui 10 G SFP+ Interne / Interne

Module Module Module

OS6450-BP Alimentation de secours CA 90 W OS6450 Non-PoE

OS6450-BP-D Alimentation de secours CC 90 W OS6450 Non-PoE

OS6450-BP-PH Alimentation de secours CA 550W OS6450-P24

OS6450-BP-PX Alimentation de secours CA 900 W OS6450-P48

Port 24 ou 48 Gigabits (PoE/PoE+ de modèle Ports 2 GIGABITS SFP+ (évolutifs à 10 Gb)

P48 : Budget PoE 780 W

P24 : Budget PoE 390 W

2xSFP+ 10G OS6450-XNI-U2 (Stacking uniquement)

Module BPS tiroir pour modèles

 Convertisseurs SFP Gigabit

 Convertisseurs SFP 100 Mb

OmniSwitch 6850E OmniSwitch 6855

10/100 Gig Gig avec 10 G Renforcé