Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
Présentation générale des OmniSwitch séries 6250/ 6450/ 6850/ 6860/ 6900
Description du portefeuille LAN des
OS 6250/ 6450/ 6850/ 6860/ 6900
Programme
Présentation du produit
Commutateur empilable
Commutateur d'accès renforcé
Caractéristiques
OS-6450 OS-6250
OS-6450 OS-6250
6.6.3.R01 6.6.4.R01
Mai-12 Juin-13
6.4.5.R02 6.4.6.R01
ERPv2 6850E Split Stack Protection
Kerberos snooping BYOD
Sip snooping OS-9000E mDNS Relay
MC-LAG pour OS9000E
OS-9000E
OS-6900 OS-10k
Evolution des versions logicielles AOS AOS
R8
8.1.1.R01
Virtual Chassis
Access Guardian 2.0
OpenFlow
OS-6860 8.1.1.R01
Mai-14
Entrée de gamme stackable L2+ OmniSwitch 6250 OmniSwitch 6350 OmniSwitch 6450
AOS L2+ Basique L3 AOS L2+ Basique L3 AOS L2+ Basique L3 GE -
Virtual chassis POE
FE GE 1OG uplinks
10/100, 1000 et Routage basique
Fibre Energie verte
Aggrégation
Coeur
Commutateur haut de gamme
modulaire de niveau coeur,
I.S.S.U
aggregation, Data center L2-L3
Haute
disponibilité VRF OmniSwitch 6900 OmniSwitch 10K
Haute MPLS, VPLS AOS avancé L3-L2 OmniSwitch 9000E Modulaire haut de gamme
Performance Virtual Chassis Aggrégation/Coeur Chassis Modulaire AOS Avancé L2-L3 Coeur &
10Gig haute MC-LAG DC TOR 10/40 GE AOS avancé L3 10GE Aggrégation 10/40 GE
densité Energie verte
OMNISWITCH 6250
OmniStack 6250
Position dans le portefeuille des commutateurs empilables
OmniSwitch 6850E
Grand
10/P10/10L/P10L 24/P24/24L/P24L
AOS, L2+, L3 de base, 48/P48/48L/P48L
GigE avec 10 G AOS, L2+, L3 de base,
GigE avec 10 G
Ports de distribution
OmniSwitch Aliment
Mixte Aliment
6250 Nb Type Pile ation de
SFP/RJ45 ation
secours
24 24 10/100 2 2 42 Externe
8M 8 10/100 4 2 42 Externe
Ports HDMI
2 liaisons de stacking 2,5 Gigabits
30/60/150 centimètres Metro
Jusqu'à 8 châssis dans une pile
192 ports FE SFP+
16 ports GigE Interfaces pour uplinks Gigabit supplémentaires
Les modèles PoE et non-PoE peuvent être combinés ou fonction de stacking
Numéro d'élément de pile identifié par les LED 30/60/150 centimètres
des ports en appuyant sur PB Jusqu'à 2 châssis dans une pile
48 ports FE
4 ports GigE
Identification du numéro d'élément de la
pile par logiciel configurable
OMNISWITCH 6350
OmniStack 6250
Position dans le portefeuille des commutateurs empilables
OmniSwitch 6850E
Grand
10/P10/10L/P10L 24/P24/24L/P24L
AOS, L2+, L3 de base, 48/P48/48L/P48L
GigE avec 10 G AOS, L2+, L3 de base,
GigE avec 10 G
10/P10/10L/P10L 24/P24/24L/P24L
AOS, L2+, L3 de base, 48/P48/48L/P48L
GigE avec 10 G AOS, L2+, L3 de base;
GigE avec 10 G
OS6450-48/48L/P48/P48L
48 ports 10/100/1000
Modèle lite (L) : ports non mixtes 10/100 RJ-45 évolutifs pour prendre en charge
10/100/1000 (*)
2 ports GigE fixes SFP/SFP+ évolutifs à 10 G (**)
Ports PoE IEEE 802.3at
Module d'expansion
OS6450-U24
22 ports 10/100/1000 BaseX
2 ports mixtes 10/100/1000 BaseT-SFP
2 ports GigE fixes SFP/SFP+ évolutifs à 10 G (*)
*Licence ports 1G RJ45 optionnelle (OS6450-24/48L-UPGD)
Module d'expansion
**Licence uplink 10 GigE optionnelle (OS6450-SW-PERF )
OmniSwitch 6450
Modèles
Modèle Ports RJ-45 Mixtes Ports SFP Emplacement Stacking Alimentation
10/100/1000 10/100/1000 et fixes (1G/5G) du module primaire / de
SFP secours
OS6450-10L 8 2 2 Non - Interne / -
OS6450- P10L 8 2 2 Non - Interne / -
OS6450-10 8 2 2 Non - Interne / -
OS6450-P10 8 2 2 Non - Interne / -
Options
Mixtes
Ports RJ-45 Ports SFP+ emplacement
Modèle 10/100/1000 et Stacking Alimentation
10/100/1000 fixes (1 G/10 G*) du module
SFP
24 PoE
OS6450-P24 (L) 0 2 Oui 10 G SFP+ Interne/externe
802.3at
48 PoE
OS6450-P48 (L) 0 2 Oui 10 G SFP+ Interne/externe
802.3at
22 SFP
OS6450-U24 2 2 Oui 10 G SFP+ Interne / Interne
100/1000
(*) Nécessite une licence OS6450-SW-PERF pour activer le 10 GigE
(*) Nécessite une licence OS6450-SW-ME pour activer les fonctions de services
Metro
OmniSwitch 6450-(P) 24/48
Module d'extension et alimentations de secours
Module d'extension en option OS6450-CBL-xM
Situé à l'arrière de l'unité Câble de stacking en cuivre à connexion
2 modules de stacking 10 G SFP+ pour port directe SFP+ : x=1m/3m/7m
2 modules uplink Gigabit SFP en fibre pour port
2 modules uplink Gigabit RJ-45 en cuivre pour
port
Alimentations de secours
Modèle
PoE
Non PoE
OmniSwitch 6450
Moyen
OmniSwitch 6450
10/P10/10L/P10L 24/P24/24L/P24L
AOS, L2+, L3 de base 48/P48/48L/P48L
GigE avec 10 G AOS, L2+, L3 de base
GigE avec 10 G
OmniSwitch 6250
Enterprise 24 ports PoE
+ AOS
Metro 8/24 ports V6
Petit
AOS L2+ FE
Alimentations CA et CC modulaires
OmniSwitch 6850E-48X
OS6850E-24 24 4* 2 * *
OS6850E-24X 24 4* 2 2 * *
OS6850E-48 48 4* 2 * *
OS6850E-48X 48 2* 2 2 * *
OS6850E-U24X 2* 24 2 2 * *
Modèles PoE
24 24
OS6850E-P24 24 4* 2
(Unité d'alim. 510 W) (Unité d'alim. 900 W)
24 24
OS6850E-P24X 24 4* 2 2
(Unité d'alim. 510 W) (Unité d'alim. 900 W)
48 25
OS6850E-P48 48 4* 2
(Unité d'alim. 900 W) (Unité d'alim. 900 W)
48 25
OS6850E-P48X 48 2* 2 2
(Unité d'alim. 900 W) (Unité d'alim. 900 W)
P = PoE
H = Alimentation High-PoE
X = Emplacements SFP+ 10 G
OmniSwitch 6850E
Stacking
Tous les modèles de la famille 6850E sont empilables
Caractéristiques
Liaisons de stacking 40 Gigabits dédiées sur chaque modèle
Jusqu'à 8 commutateurs dans une pile
384 ports Gigabits
16 ports 10 Gig
Les modèles PoE et non-PoE peuvent être combinés
Les ID des modules de la pile sont définis à l'aide de la CLI et affichés sur le panneau
Chaque module de la pile peut agir comme module principal
Avantages :
Agit comme un châssis OS-9000E
Châssis virtuel, IP unique pour la gestion
Éléments principal, secondaire, inactif et pass-through dans la pile
Commutation continue intelligente
Agrégation de liens (OmniChannel ou LACP) répartie sur différentes unités
OmniSwitch 6850E
Stacking
Le stacking est réalisé en utilisant soit les câbles de stacking CX4, soit le module SFP+
PoE
Puissance globale Capacité PoE
Alim. de secours 510/900 W
360 W CA 240 W
360 W CA 240 W
Alim. 360/900 W Alim. principale
510 W CA 390 W
900 W CA 780 W
OMNISWITCH 6855
OmniSwitch 6855
Commutateur d'accès LAN renforcé
Commutateur GigE L2/L3 industriel renforcé
Conçu pour fonctionner dans des environnements difficiles
Avantages
Densité de port renforcé plus élevée (jusqu'à 24 GigE) avec débit jusqu'à 35,7 Mpps
Haute performance - transfert plein débit sur tous les ports
Fonctions AOS OS6850E prises en charge
Fonctions L3 définies avec IPv4 et IPv6
Option d'alimentation PoE (4 ports)
Entièrement intégré dans OmniVista
Conçu avec pour objectif la redondance et la disponibilité
Alimentations CA et CC externes, redondantes et échangeables à chaud
Fonctionnement redondant du ventilateur pour
les modèles 24 ports
AOS
Défense, Énergie, Services publics, Transport
Déploiement extérieur (armoire)
V6
OmniSwitch 6855
Description du modèle
Nb max de
Nb max. de ports Nb max. de
ports Nb max. de
OmniSwitch 6855 10 Gigabits
10/100/1000 connecteurs en
connecteurs SFP
PoE Stacking
Base-T RJ -45 cuivre mixtes
Ethernet
OS6855-U10 0 8 2 - 0 N
4
OS6855-14 0 12 - 2 premiers N
ports
OS6855-P14 0 12 - 2 12 N
4
OS6855-24 0 20 4 4 premiers N
ports
OS6855-U24X 2 2 2 24 0 O
OmniSwitch 6855-U24X
Description du modèle et options de port
22 ports SFP enfichables à chaud plus 2 ports mixtes
configurables individuellement
10/100/1000Base-T ou 1000Base-X/100Base-FX
2 ports 10 G SFP+ pour le stacking ou ports uplink
(par défaut)
Possibilité d'empiler 4 unités avec des câbles
en cuivre ou par fibre optique
Cuivre
30 cm, 3 m, 10 m
Fibre
Stacking distant avec 10 km entre deux unités et
40 km couverts par 4 unités dans une boucle de stacking
Système redondant et
alimentations PoE - Branchement
sur le côté
OmniSwitch 6855
Surchauffe
Environnement d'exploitation
Temp. de stockage : -45° à 85° C (-60° à 210° F)
Temp. de fonctionnement : -40° à 75° C ( 70° C pour les plus petits modèles)
Humidité ambiante relative de 5 % à 95 % sans condensation
Adapté à des installations abritées sans armoires chauffées ou refroidies
OmniSwitch 6860/E
OmniSwitch 6860
AOS
Modèles V8
OS6860-24 OS6860-48
24 ports 10/100/1000 BaseT 48 ports 10/100/1000 BaseT
4 ports fixes SFP+ (1 G/10 G) 4 ports fixes SFP+ (1 G/10 G)
2 ports VFL QSFP+ (20 G chacun) 2 ports VFL QSFP+ (20 G chacun)
Alimentation CA et CC Alimentation CA et CC
OS6860-P24 OS6860-P48
24 ports PoE 10/100/1000 BaseT 48 ports PoE 10/100/1000 BaseT
4 ports fixes SFP+ (1 G/10 G) 4 ports fixes SFP+ (1 G/10 G)
2 ports VFL QSFP+ (20 G chacun) 2 ports VFL QSFP+ (20 G chacun)
Alimentation CA 600 W Alimentation 920 W CA
OmniSwitch 6860E
AOS
Modèles évolués (« Enhanced ») V8
OS6860E-24 OS6860E-48
24 ports RJ-45 10/100/1000 BaseT 48 ports 10/100/1000 BaseT
4 ports fixes SFP+ (1 G/10 G) 4 ports fixes SFP+ (1 G/10 G)
2 ports VFL QSFP+ (20 G chacun) 2 ports VFL QSFP+ (20 G chacun)
Alimentation CA et CC Alimentation CA et CC
OS6860E-U28
28 ports SFP 100/1000 Base-X
4 ports fixes SFP+ (1 G/10 G)
2 ports VFL QSFP+ (20 G chacun)
Alimentation CA et CC
OS6860E-P24 OS6860E-P48
24 ports PoE 10/100/1000 BaseT 48 ports PoE 10/100/1000 BaseT
4 ports fixes SFP+ (1 G/10 G) 4 ports fixes SFP+ (1 G/10 G)
2 ports VFL QSFP+ (20 G chacun) 2 ports VFL QSFP+ (20 G chacun)
Alimentation 600 W CA Alimentation 920 W CA
OmniSwitch 6860 et 6860E
Différences
Fonctions disponibles uniquement sur les modèles évolués
Carte de co-processeur intégrée spécialisée
Utilisée pour exécuter des applications supplémentaires
Fonctions Application Monitoring / Fingerprinting s'exécutant avec AOS 8.1.1
Une LED distincte (OK2) à l'avant du châssis indique le statut de la carte du co-processeur
Les 4 premiers ports de l'OS6860E peuvent seulement délivrer une PoE jusqu'à 60 W
par port
Ces ports sont clairement indiqués sur le commutateur
Alimentation CA . Assure Alimentation CC (48 V CC). Alimentation PoE 600 W Alimentation PoE 920 W
une alimentation système Assure une alimentation CA Assure une CA. Assure une
Description de 150 W à un système de 150 W à un alimentation système et alimentation système et
commutateur non-PoE commutateur non-PoE PoE à un commutateur PoE à un commutateur
OS6860 OS6860 PoE 24 ports. PoE 48 ports.
OS6860-24 OS6860-24
OS6860-P24 OS6860-P48
OS6860-48 OS6860-48
Modèles OS6860 OS6860E-P24 OS6860E-P48
OS6860E-24 OS6860E-24
pris en charge
OS6860E-48 OS6860E-48
OS6860-U28 OS6860-U28
Budget max. PoE
avec 1 unité N/A N/A PoE 450 W PoE 750 W
d'alim.
Budget max. PoE
avec 2 unités N/A N/A PoE 900 W PoE 1 500 W
d'alim.
Configurations de OmniSwitch BPS OmniSwitch BPS OmniSwitch BPS OmniSwitch BPS
secours valides OS6860-BP OS6860-BP-D OS6860-BPPH OS6860-BP-BPPX
AOS, L2+, L3 de base AOS, L2+, L3 de base AOS, L2 et L3 avancé AOS, L2 et L3 avancé
Fonctionnalités
Empilable Empilable Empilable Châssis virtuel
Statique de base et
Routage Statique de base et RIP/RIPng Routage IP complet, avancé Routage IP complet, avancé
RIP/RIPng
10/100 ou 10/100/1000
10/100/1000 Mbits/s 10/100 ou 10/100/1000 Mbits/s
Ports utilisateur 10/100 Mbits/s Mbits/s
IEEE 802.3at prise en charge IEEE 802.3at / PoE 60 W sur 4 ports
IEEE 802.3at prise en charge
Capacité de la
24,8 Gbits/s 68 Gbits/s 240 Gbits/s 264 Gbits/s
Fabric
Trois emplacements pour unités d'alimentation PoE Deux emplacements pour unités d'alimentation système
Vue arrière
8 connecteurs DB25
Bloc d'alimentation de secours évolué
N+1 appelé également bloc de secours « SINGLE »
Protège contre les pannes de l'unité d'alimentation primaire du commutateur
Pas contre les pannes de la ligne CA
Configuration ABPS
1 unité 1 unité d'alim.
1 alimentation PoE 1 200 W/ 2 400 W (110 V/220 V CA) d'alim. PoE système 450 W
1 200 W
1 alimentation système 450 W
8 câbles 1 m
Latence sous-microseconde
OS6900-X20
Port de gestion
Ethernet
Module N°2
optionnel
Alimentations intégrées
redondantes (CA ou CC)
Ventilateurs échangeables à
chaud (redondance
ventilateur 3+1),
refroidissement de l'avant
vers l'arrière
OmniSwitch 6900
Modules optionnels
Connexion au commutateur
Gestion des fichiers/répertoires
Chargement d'image logicielle
Méthodes d'accès
Comptes utilisateur
Authentification AAA
Gestion basée sur les rôles AOS
Outils de gestion
L'accès au commutateur peut s'effectuer localement ou à distance.
AOS
R6
Système de fichiers AOS
Mémoire Flash – 128 Mo par module CMM Système de fichiers
Stockage des fichiers de configuration et
fichiers système
Deux versions sur la mémoire Flash,
répertoires WORKING et CERTIFIED
Swlog1.log Les fichiers *.img sont stockés dans les
Network
Swlog2.log répertoires WORKING et CERTIFIED
Boot.params
Restauration de configuration initiale
Switch Basée sur les répertoires WORKING et
CERTIFIED
Répertoire WORKING Répertoire CERTIFIED
Applicable aux fichiers de configuration et
Jdiag.img Jdiag.img
fichiers système
Jsecu.img Jsecu.img
Jbase.img Jbase.img
Une version certifiée (log. + conf.) est utilisée à
Jeni.img Jeni.img
titre de sauvegarde en cas de modification (mise
Jos.img Jos.img
à niveau, etc.).
Répertoire Flash
Organisation Flash AOS
Répertoire Flash
Switch Network
swlog1.log
swlog2.log
policy.cfg
command.log
boot.params
boot.slot.cfg
Principal
WORKING CERTIFIED
boot.cfg boot.cfg
1. Le commutateur opère
à partir du répertoire
CERTIFIED
1
CMM A
---> Les modifications ne peuvent pas être enregistrées directement
dans le répertoire CERTIFIED
Séquence de démarrage système
Les répertoires WORKING et CERTIFIED diffèrent
Le commutateur peut être réinitialisé à partir du répertoire WORKING
Principal
WORKING CERTIFIED
boot.cfg
3
3. Si des changements
sont opérés dans la 2
configuration courante
(running), ils sont 2. La réinitialisation s'opère
sauvegardés dans le à partir du répertoire WORKING
répertoire WORKING -> reload working no rollback-timeout
-> copy running-config
working
Configuration courante (running)
CMM A
boot.cfg boot.cfg
Principal Secondaire
Swlog1.log Swlog1.log
Network Network
Swlog2.log Swlog2.log
Jeni.img Jeni.img
Flash Between
Jeni.img
CMMs : SYNCHRONIZED,
Jeni.img
Jos.img Jos.img
Running Configuration
Jos.img : SYNCHRONIZED, Jos.img
NIs Reload On Takeover : NONE
CMM A CMM B
OmniSwitch
Synchronisation d'horloge des commutateurs principal
et secondaire
Synchronisation des paramètres date et heure entre les commutateurs principal
et secondaire
-> system time-and-date synchro
OmniSwitch
Architecture du logiciel système
-> show running-directory
CONFIGURATION STATUS
Running CMM : PRIMARY,
CMM Mode : DUAL CMMs,
Current CMM Slot :A
Running configuration : WORKING,
Certify/Restore Status : : CERTIFIED
SYNCHRONIZATION STATUS
Flash Between CMMs : SYNCHRONIZED,
Running Configuration : SYNCHRONIZED,
NIs Reload On Takeover : NONE
Swlog1.log Swlog1.log
Network Network
Swlog2.log Swlog2.log
Boot.params Boot.params
Switch Switch
CMM-A
Répertoire WORKING Répertoire CERTIFIED Répertoire WORKING Répertoire CERTIFIED
diag.img diag.img diag.img diag.img
Serveur FTP
WebView
Support USB
Restauration après incident (exige une mise à niveau MiniBoot-uBoot et une structure de
répertoire spécifique dans le logiciel pilote pour stocker les fichiers images)
Chargement/téléchargement de fichiers image et configuration
Toutes les opérations de gestion de fichiers sont prises en charge, y compris les opérations
récursives.
Les commandes CLI utilisées pour le système « /flash file-system » et les systèmes « file-
systems » distants peuvent également être utilisées sur le système « /uflash file-system ».
-> usb enable
-> /uflash Bulk device is created
Node ID 0x2
LUN #0
Vendor Info : PIXIKA
Product ID : USB Flash Drive -> show usb statistics
Product Revision : 4.00 USB: Enabled
Number of Blocks : 509695 USB auto-copy: Disabled
Bytes per Block : 512 USB disaster-recovery: Enabled
Total Capacity : 260963840 Node ID 0x2
LUN #0
TUE MAR 09 15:09:21 : SYSTEM (75) alert message: Vendor Info : PIXIKA
+++ USB Bulk Device mounted at 12 Mbps. Product ID : USB Flash Drive
Product Revision : 4.00
-> usb disable Number of Blocks : 509695
TUE MAR 09 15:13:12 : SYSTEM (75) alert message: Bytes per Block : 512
+++ Device /uflash removed and uninstalled from FS Total Capacity : 260963840
Gestion de la clé Flash USB
Restauration après incident
Commutateur configuré pour
démarrer à partir de la clé
Flash USB
-> usb enable
-> usb disaster-recovery enable
Créez un répertoire nommé « xxxx/certified* »
sur la clé Flash USB comprenant tous les
fichiers images adaptés
Connectez la clé Flash USB au module CMM ; la
mémoire Flash sera reformaté et les images
seront copiées vers le répertoire
/flash/CERTIFIED du module CMM. Le
commutateur redémarrera à partir du
répertoire CERTIFIED.
Jrout.img Base Software CMM Routing (IP and IPX) diag.img diag.img
secu.img secu.img
Jsecu.img Optional Security CMM Security (AVLANS) base.img base.img
eni.img eni.img
Jrelease.img Base Software Release Archive os.img os.img
AOS
R7
Objectifs du module
Ce module couvrira les éléments suivants :
Administration du système AOS R7
ISSU
Gestion des licences logicielles
AOS
Système de fichiers AOS - Multi-image/config
OS 10K OS 6900 Répertoires
Répertoire CERTIFIED
Mémoire Flash 2 Go* 2 Go
Version en lecture seule des fichiers *.img et
Mémoire RAM 4 Go* 2 Go boot.cfg
Les modifications de configuration NE
* par CMM PEUVENT PAS être enregistrées directement
dans le répertoire CERTIFIED
Répertoire d'exécution
Swlog1.log
Répertoire RUNNING
Répertoire dans lequel les modifications de la configuration seront enregistrées.
Il s'agit en général du répertoire à partir duquel le commutateur démarre, mais
n'importe quel répertoire peut être configuré comme étant le répertoire RUNNING.
-> takeover
-> show running directory (affichage du rôle du commutateur (CMM),
principal ou secondaire)
-> show chassis
Commandes Reload
Reload [ secondary] [in | at ]
Cette commande recharge le CMM principal par défaut.
Pas de « failover » pendant le rechargement.
Cette commande peut également être utilisée pour le CMM secondaire.
Reload From
Redémarre immédiatement le CMM principal
Pas de « failover » pendant le rechargement.
Toutes les NI redémarrent, y compris celle du CMM secondaire.
Filtrage intégré
Mécanismes de « pipe » Unix intégrés aux redirections Bash
-> show vlans | more
-> show mac-learning | grep 00:20:da:55:56:76
-> show ip ospf routes | egrep "^10\.10.*" | sort | less
Commandes CLI
AOS/ shell Bash (spécifique aux commutateurs)
Arp, aaa, boardinfo, clear, capability, configuration, copy, clicomp,
cliwrapper, command-log, diusin, debug, ethernet-service, expr, erp-ring
fsck, ftp, freespace, gvrp, hash-control, health, installsshkey, icmp, ipv6,
issu, Ipsec, interfaces, ip, kill, linkagg, lldp, mount, mac-range, mvrp,
modify, mac-learning, multi-chassis, netsec, newfs, no, ntp, nslookup,
pam_cli, powersupply, power, port-session, security, port-mapping, port-
mirroring, port-monitoring, ping6, policy, password, ping, qos, rmon, rcp,
rdf, reload, rls, revokesshkey, rrm, swlog, sftp, system, scp, sflow, show,
snmp, snmp-trap, spantree, ssh, sh, takeover, telnet, tps, traceroute,
traceroute6, tty, temp-threshold, Umount, update, user, udld, Usb, verbose,
vrrp, vlan, vrf, vrrp3, who, webview, write, whoami.
Commandes Busybox (voir www.busybox.net pour référence)
Awk, cat, chmod, cmp, cp, diff, dmesg, du, egrep, fgrep, find, free, grep,
head, less, ls, mkdir, more, mv, reset, rm, rmdir, sed, stty, sync, tail, tftp,
time, vi, wc, xargs
Commandes système
Les commandes de répertoire comprennent les éléments suivants :
pwd - afficher le répertoire actuel
cd – modifier le répertoire
dir – énumérer le contenu du répertoire
mkdir – créer un nouveau répertoire
rmdir – supprimer le répertoire existant
Les commandes de fichiers comprennent les éléments suivants :
ls / rls – énumérer le contenu du répertoire (sans “dir”) / énumérer le contenu du
répertoire CMM secondaire
Cp / rcp – copier un fichier / copier un fichier du CMM secondaire
scp – sécuriser la copie de fichier
mv – déplacer un fichier
vi – appeler l'éditeur
rm / rrm – supprimer un fichier / supprimer du CMM secondaire
Les commandes d'utilitaires comprennent les éléments suivants :
freespace - afficher la capacité de mémoire système de fichiers disponible
fsck – réaliser un contrôle du système de fichiers
Architecture du logiciel système
-> show running-directory
CONFIGURATION STATUS
Running CMM : PRIMARY,
CMM Mode : DUAL CMMs,
Current CMM Slot : A
Running configuration : WORKING,
Certify/Restore Status : CERTIFIED
SYNCHRONIZATION STATUS
Flash Between CMMs : SYNCHRONIZED,
Running Configuration : SYNCHRONIZED,
NIs Reload On Takeover : NONE
Swlog1.log Swlog1.log
Swlog2.log Répertoire Network Swlog2.log Répertoire Network
Policy.cfg Policy.cfg
Boot.params Boot.params
CMM-A
Répertoire CERTIFIED Répertoire WORKING Répertoires définis par Répertoire CERTIFIED Répertoire WORKING Répertoires définis par
l'utilisateur l'utilisateur
Ros.img Ros.img Ros.img
Ros.img Ros.img Ros.img
L'adresse IP des CMM principal et secondaire est stockée dans la NVRAM. (non
requis pour l'accès à distance)
Les modifications enregistrées dans la NVRAM resteront associées au CMM si le CMM
est déplacé sur un châssis différent.
Les adresses IP des ports de gestion Ethernet et les adresses IP des CMM doivent se
trouver sur le même sous-réseau.
Chaque adresse IP doit être unique.
Les deux cartes CMM doivent être présentes et doivent exécuter le code/config
certifié
Les CMM sont mis à niveau en premier
7.2.1.200.R01 – 7.2.1.300.R01 –
Protocole protocole version 2 protocole version 3 ISSU
version 1
branche de
maintenance
7.2.R01
ISSU
Spécifications
Fichiers ISSU :
Remaining
------------+-------------+-----------
Advanced Permanent NA
Gestion de licences par Webview
CONFIGURATION AUTOMATIQUE CLÉ EN MAIN
Configuration automatique clé en main
Installation à distance lorsque la première
opération sur site doit être réalisée par du
personnel non-technique
1. La réponse du DHCP inclut les options
Déploiement par lots automatisé ou mises à niveau « tftp-server-name » et « bootfile-name »
du firmware
Procédure
Aucun fichier "boot.cfg" n'existe, la connectivité IP
(adresse, masque et route par défaut) sera définie
Serveur DHCP
à l'aide du DHCP
Le serveur DHCP renverra le chemin et le nom de OmniSwitch
fichier d'un fichier d'instructions contenant les
éléments suivants :
Firmware
Fichier de configuration
Fichier du script Serveur TFTP
Informations sur le serveur de fichiers
Une fois téléchargé, le fichier d'instructions est
parsé et exécuté
3. FTP stocke le
Instructions
firmware, la config.,
Le premier démarrage nécessite un serveur DHCP les scripts Serveur FTP
et un serveur TFTP
Temps de démarrage augmenté
2. TFTP stocke le fichier
Port de gestion Ethernet non pris en charge
d'instructions.
Nom de fichier et longueur de chemin limités à 63 Peut également stocker le firmware
et 255 caractères et la config.
Pas de prise en charge d'IPv6
Configuration automatique clé en main
Oui
L'offre DHCP Se connecter au Télécharger
serveur Fichier
comprend-elle un firmware
Obtenir fichier d'instructions
serveur TFTP et nom et/ou démarrer
•! Alcatel-Lucent OmniSwitch OS6850 - Instruction de fichier ? d'instructions trouvé ?
config. ?
file
•! Firmware version 2
•Firmware version:OS_6_4_3_339_R01 Non
•Firmware location:/home/ftpboot/firmware
Non Non
•! Configuration file
Non Télécharger
script ?
4
•Config filename:boot_OS6850.cfg
•Config location:/tftpboot/ Oui
•! Debug file
Commutateur disponible
•!Debug filename:AlcatelDebug.cfg à distance
Exécuter script
•!Debug location:/home/ftpboot/debug
•! Script file
•!Script filename:OS6850_script.txt
•! Primary File Server vlan 10
•Primary server: 10.255.204.100 vlan port mobile 1/10
•Primary protocol: FTP vlan 10 mobile-tag enable
•Primary user: tftptest
•! Secondary File Server
•!Secondary server:10.200.110.111
•!Secondary protocol:SFTP
•!Secondary user:admin
MÉTHODES DE CONFIGURATION
Méthodes de configuration
Interface CLI
CLI (Command Line Interface)
Configuration en mode connecté via des sessions en temps réel utilisant des
commandes CLI
Console ou Telnet
….
Ports Ethernet
Options de ports CLI
Définition des paramètres de ports
Slot 6 - Idle
Slot 7 - Idle -> interfaces slot[/port[-port2]] speed {auto | 10 | 100 | 1000 | 10000 |
max {100 | 1000}}
Slot 8 - Idle -> interfaces slot[/port] mode {uplink | stacking}
-> interfaces slot[/port[-port2]] autoneg {enable | disable | on | off}
-> interfaces slot[/port[-port2]] crossover {auto | mdix | mdi}
Slot 1 - Pri -> interfaces slot[/port[-port2]] pause {tx | rx | tx-and-rx | disable}
-> interfaces slot[/port[-port2]] duplex {full | half | auto}
Slot 2 - Sec -> interfaces slot[/port[-port2]] admin {up | down}
-> interfaces slot/port alias description
Slot 3 - Idle -> interfaces slot[/port[-port2]] no l2 statistics [cli]
-> interfaces slot[/port[-port2]] max frame bytes
Slot 4 - Idle -> interfaces slot[/port[-port2]] flood multicast {enable | disable}
-> interfaces slot[/port[-port2]] flood [broadcast | multicast | unknown-unicast|all]
Slot 5 - Idle [enable | disable]
-> interfaces violation-recovery-time
-> interfaces violation-recovery-trap
-> interfaces clear-violation-all
• Ports Ethernet
Fixes 10/100/1000 BaseT
• Ports SFP
Connecteurs SFP pour connecteurs
SFP 100/1000 Base-X
• Ports mixtes
Connecteurs mixtes RJ45/SFP pour
10/100/1000 BaseT ou 1000 Base-X
• Ports XFP
Émetteurs/récepteurs Pluggable
(XFP) petit format 10 Gbit/s
• Ports SFP+
Émetteurs/récepteurs Pluggable
Plus (XFP) petit format 10 Gbit/s
Ports Ethernet
Supervision via la CLI
-> show interfaces port
Slot/ Admin Link Violations Alias
Port Status Status
-----+----------+---------+----------+-------------
1/1 enable down none “ sales "
1/2 enable down none " sales "
1/3 enable down none " sales "
1/4 enable down none " sales "
1/5 enable down none " sales "
1/6 enable down none " sales "
-> show interfaces 1/7 enable down none " sales "
-> show interfaces capability 1/8 enable down none " sales “
….
-> show interfaces flow control ….
-> show interfaces pause
-> show interfaces e2e-flow-vlan -> show interfaces 1/20
-> show interfaces accounting Slot/Port 1/20 :
Operational Status : up,
-> show interfaces counters Last Time Link Changed : TUE NOV 22 12:19:52 ,
-> show interfaces counters errors Number of Status Change: 1,
-> show interfaces collisions Type : Ethernet,
SFP/XFP : Not Present,
-> show interfaces status MAC address : 00:e0:b1:c5:3a:0b,
-> show interfaces port BandWidth (Megabits) : 1000, Duplex : Full,
Autonegotiation : 1 [ 1000-F 100-F 100-H 10-F 10-H ],
-> show interfaces ifg Long Frame Size(Bytes) : 9216,
-> show interfaces flood rate Rx :
Bytes Received : 233117328, Unicast Frames : 51104,
-> show interfaces traffic Broadcast Frames: 22156, M-cast Frames : 3542048,
-> show interfaces transceiver UnderSize Frames: 0, OverSize Frames: 0,
Lost Frames : 0, Error Frames : 0,
CRC Error Frames: 0, Alignments Err : 0,
Tx :
Bytes Xmitted : 14720188, Unicast Frames : 12,
Broadcast Frames: 1870, M-cast Frames : 227257,
UnderSize Frames: 0, OverSize Frames: 0,
Lost Frames : 0, Collided Frames: 0,
Error Frames : 0
Exemple :
« Please supply your user name and password at the prompts » (Merci
d'indiquer votre nom d'utilisateur et votre mot de passe à l'invite de
connexion).
login (nom d'utilisateur) : user123
password (mot de passe) :*****
WebView
Supervision et configuration du commutateur à l'aide de WebView
Intégré dans le logiciel du commutateur
Prise en charge en fonction du navigateur Web
Internet Explorer 6.0 et versions ultérieures pour Windows NT, 2000, XP, 2003
Firefox 2.0 pour Windows et Solaris SunOS 5.10
Configuration WebView
-> ip http server ou https server – Activation de l'application WebView (par défaut)
-> ip http ssl ou https ssl – Mise en œuvre d'une connexion SSL entre le navigateur et le
commutateur (par défaut = désactivée)
-> ip http port ou https port - Modification du numéro de port pour le serveur Web embarqué
-> aaa authentication http local – Vérification de la base de données locale pour
authentification HTTP
-> show ip http
Web Management = on
Web Management Force SSL = off
Web Management Http Port = 80
Web Management Https Port = 443
WebView – Connexion
Page d'accueil WebView Page d'accueil du châssis
Présentation de la
page d'aide
OmniVista
Applications avancées
Prend en charge le protocole SNMP
OmniVista
Sur IPv4 et IPv6
Versions
Infrastructure Omnivista
SNMPv1
2500 Series
SNMPv2
SNMPv3
Omnivista ELM
Elements basés sur le Web
Managers
OmniVista - Applications principales
Applications avancées
Omnivista Discovery
Infrastructure OmniVista Topology
2500 Series
Access Guardian, UNP, HIC
Omnivista ELM Performance
Elements basés sur le Web
Manager
Traps/Events
VLAN Manager
Locator
Policy Mgt
Resource Manager
Inventory
Applications OmniVista
Quarantine Manager and
Remediation
Permet un confinement de tous les
équipements
Applications avancées
OmniVista
SecureView ACL
Permet la configuration de toutes les Infrastructure
listes ACL Omnivista Services Web
Offre une interface XML et une
Omnivista ELM interface Web GUI pour les fonctions
Elements basés sur le Web de supervision
Manager
PolicyView
Permet la configuration de la QoS
SecureView Switch Access
Permet une gestion de tous les utilisateurs
Access Guardian
Permet une gestion proactive de la sécurité réseau
MÉTHODES D'ACCÈS ET COMPTES UTILISATEUR
Méthodes d'accès
Spécifications
Le commutateur peut être paramétré pour autoriser ou refuser certains accès à l'aide des
interfaces de gestion disponibles.
Console, Telnet, HTTP, HTTPS, FTP, Secure Shell et SNMP
Authentification et autorisation
Base de données locale ou externe
Read/Write for families = ip rip ospf bgp vrrp ip-routing ipx ipmr ipms ,
Snmp allowed = YES,
Snmp authentication = SHA,
Snmp encryption = DES
Console-Only = Disabled
Politique relative aux mots de passe et comptes utilisateur
Règles applicables aux mots de passe (accès au commutateur local)
Complexité
nombre minimal de lettres majuscules
lettres minuscules
chiffres
caractères non alphanumériques
nom d'utilisateur interdit, etc.
Historique - 0 à 24 mots de passe dans l'historique
Longueur min. du mot de passe – 0 à 14 caractères
Durée min. et max. du mot de passe – 0 à 999 jours
Si un profil est supprimé mais que le Par défaut, les nouveaux profils ne
nom de profil est toujours associé à permettent pas d'accéder à tous les
un utilisateur, l'utilisateur ne peut ports ou VLAN.
pas se connecter au commutateur.
Comptes utilisateur
Personnalisation de session utilisateur
-> session login-attempt
Nombre d'échecs de connexion au commutateur autorisés avant interruption
de la connexion TCP.
-> session login-timeout
Durée accordée à l'utilisateur pour se connecter au commutateur avant
interruption de la connexion TCP.
-> session banner
Nom de fichier de la bannière (CLI, FTP et/ou HTTP)
-> session timeout
Délai d'inactivité pour une interface FTP, CLI ou HTTP (y compris WebView)
-> session prompt
Configuration de l'invite CLI par défaut pour les sessions Telnet et console
-> user profile save
Sauvegarde des paramètres de compte utilisateur pour les alias, les invites
et les paramètres d'écran page après page.
Accès commutateur authentifié (ASA)
Méthodes d'authentification
Authenticated Switch Access (ASA)
Méthode d'authentification des utilisateurs qui veulent gérer le commutateur
à l'aide de la console, de Telnet, FTP, SNMP, Secure Shell ou HTTP
1
2
4
3
Telnet/HTTP/SNMP/SSH/FTP
Serveur
• L'accès via le port de console (local) est toujours activé. AAA
• Par défaut, l'accès distant est désactivé.
Accès commutateur authentifié
CLI
Serveur local
Accès utilisateur accordé pour gérer le commutateur de secours 3
Authentification locale
aaa authentication <management interface> local
Authentification externe
aaa authentication <management interface> server1 server2 server3 local
Console
Telnet Serveur AAA
FTP principal Serveur AAA
Serveur AAA de secours 2
HTTP de secours 1
SNMP
SSH
par défaut
Serveurs de comptabilisation
Suivi des ressources réseau (temps, paquets, octets, etc.) et de l'activité de l'utilisateur (connexions et déconnexions
de l'utilisateur, nombre de tentatives de connexion, durée des sessions, etc.)
Localisation possible partout dans le réseau
-> aaa accounting session rad
Le commutateur reçoit l'ordre d'envoyer les données de comptabilisation au serveur RADIUS « rad ».
Si l'adresse Loopback0 d'interface est configurée, elle est utilisée pour le champ IP source.
Dans le cas contraire, la première adresse IP de la pile IP est utilisée.
Accès commutateur authentifié
Vérification de la configuration d'accès au commutateur
-> show aaa authentication
Service type = Default
1rst authentication server = rad
2nd authentication server = local
Service type = Console
Authentication = Use Default,
1rst authentication server = rad
2nd authentication server = local
Service type = Telnet
Authentication = Use Default,
1rst authentication server = rad
2nd authentication server = local
Service type = Ftp
Authentication = Use Default,
1rst authentication server = rad
2nd authentication server = local
Service type = Http
Authentication = denied
Service type = Snmp
Authentication = Use Default,
1rst authentication server = rad
2nd authentication server = local
Service type = Ssh
Authentication = Use Default,
1rst authentication server = rad
2nd authentication server = local
NTP
OmniSwitch peut agir en tant que client , serveur ou
peer NTP
Pris en charge sur OmniSwitch 6400, 6850, 6855, 9000, Serveurs de la strate supérieure
9000E
Serveur NTP
Authentification NTP
Services de diffusion NTP
Remarques : Le serveur peut être désactivé uniquement par l'interface comme suit : ntp interface n.n.n.n disable
OMNISWITCH AOS R6/R7/R8
OMNISWITCH AOS R6/R7/R8 LAN
Objectif
Vous allez vous familiariser avec le code d’un OmniSwitch ; le
fonctionnement des répertoires WORKING et CERTIFIED ; le système
d’exploitation, y compris la structure des répertoires, la configuration et
la CLI ; la prise en charge des clés USB ; l’accès distant, l’interface
Webview et les différents droits d’accès d’un utilisateur admin
Mise en œuvre
Pour les sections suivantes, un seul commutateur OmniSwitch est utilisé
Vous pouvez autoriser les ports Ethernet à déterminer automatiquement le débit et le mode duplex ou
décider de les configurer manuellement. Pour afficher ou modifier la configuration des ports Ethernet et
pour récupérer les statistiques de trames et données des compteurs d'erreurs, procédez comme suit.
- Entrez les commandes suivantes :
-> show interfaces slot/port – Tells whether the port is active or not as well as traffic statistics.
-> interfaces slot/port duplex [half,full,auto] – Sets the duplex mode.
-> interfaces slot/port speed [10,100,1000,auto] – Sets the speed.
-> interfaces slot/port admin [up,down] – enable or disable a port.
-> show interfaces status – Display line interface settings.
-> show interfaces slot/port accounting – Gathers frame statistics.
-> show interfaces slot/port counters – Gathers error and frame counts.
-> show interfaces slot/port autoneg – Autonegotiation.
Utilisez la touche « ? » pour tester d'autres commandes.
1.3. Test
- Quelles commandes faut-il utiliser pour obtenir les informations suivantes ?
Version UBOOT-miniboot -> _______________________________
Version de code -> __________________________________
Date de mise à niveau -> _______________________________
Référence de châssis -> __________________________________
Adresse MAC de châssis -> ____________________________
Références d'interfaces réseau (NI) -> ________________________________
La solution OmniSwitch permet à l'utilisateur de conserver deux configurations distinctes, stockées sur le
commutateur. Ces configurations sont stockées dans les répertoires WORKING et CERTIFIED. Le
commutateur peut démarrer à partir de l'une ou l'autre de ces configurations.
Vérifiez que la console est connectée au commutateur à l'aide des paramètres suivants :
BPS – 9600
Data Bits – 8
Parity – None
Stop Bits – 1
Flow Control - None
- Après reconnexion, vérifiez le répertoire à partir duquel le commutateur a redémarré. Il peut s'agir soit du
répertoire CERTIFIED, soit du répertoire WORKING. Le commutateur démarre à partir du répertoire
CERTIFIED lorsque les configurations contenues dans répertoires WORKING et CERTIFIED diffèrent. Si les
configurations sont identiques, y compris le code et le fichier boot.cfg, le commutateur démarre à partir
5
Getting started with AOS Operating system
- Vérifions à présent la version du code exécutée sur le commutateur ainsi que les fichiers stockés dans les
deux répertoires WORKING et CERTIFIED. Ces thèmes seront détaillés ultérieurement.
- Entrez les commandes suivantes :
-> show running-directory
-> ls /flash/working
-> ls /flash/certified
- Le commutateur peut être forcé à démarrer à partir du répertoire WORKING, même lorsque les
configurations sont différentes. Si des changements ont été effectués mais n'ont pas été enregistrés, vous
serez invité à confirmer la réinitialisation.
- Entrez la commande suivante :
-> reload working no rollback-timeout
Confirm Activate (Y/N) : y
- Pour vérifier la version de code exécuté par le commutateur, entrez la commande suivante :
-> show microcode
Package Release Size Description
-----------------+-------------------------+---------+-----------------------------------
Jbase.img 6.1.1.403.R01 10520989 Alcatel-Lucent Base Software
Jos.img 6.1.1.403.R01 1828255 Alcatel-Lucent OS
Jadvrout.img 6.1.1.403.R01 1359435 Alcatel-Lucent Advanced Routing
2.2. Test
- Quelle commande faut-il utiliser pour redémarrer un commutateur avec la configuration par défaut ?
- Quelle commande faut-il utiliser pour définir la version du code d'exploitation exécuté sur un
commutateur ?
- Comment vous déconnectez-vous d'une session de console ?
6
Getting started with AOS Operating system
3 Système d'exploitation
Ce cas pratique va permettre de vous familiariser avec le système d'exploitation OmniSwitch, y compris la
structure des répertoires, la configuration et la CLI.
Ce cas pratique présente les commandes nécessaires pour naviguer dans la structure des répertoires du
commutateur. Il introduit également l'interface CLI, la fonction d'édition des lignes de commandes ainsi que
la sauvegarde et l'application des fichiers de configuration.
Le « ?’ » peut être utilisé pour obtenir la liste des commandes possibles. Lorsqu'il est
entré à la suite des premières lettres d'une commande, il permet également d'obtenir
une liste des paramètres disponibles.
- Vous pouvez désormais modifier la commande si nécessaire. Vous pouvez également utiliser les flèches
pour naviguer à travers les commandes précédentes.
- Vous pouvez enfin afficher une liste de commandes entrées précédemment, copier l'une de ces
commandes sur l'interface CLI, la modifier si nécessaire et l'entrer de nouveau.
La commande « copy working certified » ne doit être utilisée que si la configuration dans
le répertoire WORKING est identifiée comme correcte (ou valide).
3.3.
- Les commandes précédentes ont permis de créer trois VLAN portant chacun un numéro distinct. La saisie
des commandes entraîne des changements à la configuration dite « Running Configuration ». Ces
changements ont été effectués instantanément mais n'ont pas été écrits de manière permanente. Pour le
démontrer, réinitialisons le commutateur avec la commande suivante :
-> reload working no rollback-timeout
- Lorsque le commutateur redémarre, reconnectez-vous et vérifiez les VLAN que vous avez créés.
-> show vlan
- Vous constatez que les VLAN que vous avez définis n'existent pas. Pourquoi ? Parce-que les changements
ont été effectués sur la configuration « Running » mais n'ont pas été enregistrés. Renouvelons maintenant
l'opération mais, cette fois, sauvegardons les changements effectués dans le répertoire WORKING.
- Le fichier de configuration lu par le commutateur lors de l'initialisation est appelé « boot.cfg ». Le fichier
« boot.cfg » peut exister dans l'un ou l'autre des répertoires WORKING ou CERTIFIED.
- Entrez les commandes suivantes :
-> write memory
File /flash/working/boot.cfg replaced.
This file may be overwritten if “takeover” is executed before “certify”
- La commande ci-dessus permet d'écrire la configuration en cours (« Running Configuration ») sur le fichier
« boot.cfg » dans le répertoire WORKING. Désormais, si le commutateur est réinitialisé à partir du
répertoire WORKING, la configuration sera sauvegardée. À présent, redémarrons le commutateur en
lançant une commande de réinitialisation à partir de la configuration stockée dans le répertoire WORKING.
- Entrez la commande suivante :
-> reload working no rollback-timeout
- Lorsque le commutateur redémarre, reconnectez-vous et entrez la commande pour afficher les VLAN.
- Entrez la commande suivante :
-> show vlan
- Vous constatez que les VLAN sont toujours présents parce qu'ils ont été sauvegardés dans le fichier
« boot.cfg » du répertoire WORKING et que le commutateur a redémarré à partir de ce répertoire.
- Le fichier « boot.cfg » contient la configuration du commutateur qui est lue lors de son initialisation. Nous
étudierons ce fichier dans la section suivante.
- En utilisant le paramètre « no rollback-timeout » avec la commande de téléchargement, le commutateur
applique la configuration de manière permanente. Le paramètre « rollback-timeout » peut être utilisé
pour forcer le commutateur à redémarrer automatiquement au terme d'un délai donné. La commande
suivante force la réinitialisation du commutateur à partir du répertoire WORKING, puis de nouveau au
bout d'une minute.
-> reload working rollback-timeout 1
- Vous remarquez que les VLAN n'apparaissent plus, parce que le commutateur s'est réinitialisé à partir du
répertoire CERTIFIED. Pour afficher le répertoire à partir duquel le commutateur a démarré, procédez
9
Getting started with AOS Operating system
comme suit.
- Entrez la commande suivante :
-> show running-directory
CONFIGURATION STATUS
Running CMM : PRIMARY,
CMM Mode : MONO CMM,
Current CMM Slot : A,
Running configuration : CERTIFIED,
Certify/Restore Status : CERTIFIED NEEDED
SYNCHRONIZATION STATUS
Running Configuration : NOT SYNCHRONIZED,
- Le commutateur a démarré à partir du répertoire CERTIFIED parce que les changements sauvegardés dans
le répertoire WORKING n'avaient pas été sauvegardés dans le répertoire CERTIFIED, entraînant ainsi une
différence entre les deux répertoires.
- Les changements ne peuvent pas être écrits directement dans le répertoire CERTIFIED. Ils doivent être
copiés dans le répertoire CERTIFIED à partir du répertoire WORKING. Redémarrons une dernière fois le
commutateur à partir du répertoire WORKING.
- Entrez la commande suivante :
-> reload from working no rollback-timeout
- L'état « Certify/Restore Status » affiche l'information « CERTIFY NEEDED ». Cette donnée signale que le
contenu du répertoire WORKING n'a pas été copié dans le répertoire CERTIFIED. Entrez la commande pour
copier la configuration du répertoire WORKING dans le répertoire CERTIFIED.
- Entrez la commande suivante :
-> copy working certified
- La commande ci-dessus certifie le répertoire WORKING. Vous disposez désormais d'une configuration de
secours stockée dans le répertoire CERTIFIED. Entrez la commande permettant de vérifier l'état
« Certify/Restore » : l'état « CERTIFIED » s'affiche.
-> show running-directory
CONFIGURATION STATUS
Running CMM : PRIMARY,
CMM Mode : MONO CMM,
Current CMM Slot : A,
Running configuration : WORKING,
Certify/Restore Status : CERTIFIED
SYNCHRONIZATION STATUS
Running Configuration : SYNCHRONIZED,
- Les commandes ci-dessus affichent la configuration en cours à l'écran. Vous pouvez effectuer une capture
de votre configuration vers un fichier texte. Vous pouvez utiliser l'une ou l'autre des commandes.
- Entrez la commande suivante :
-> configuration snapshot all snapall
Par défaut, tous les fichiers Snapshot sont placés dans le répertoire root /flash.
- La commande ci-dessus appelle l'éditeur vi mais vous autorise uniquement à visualiser le fichier. Notez la
syntaxe du fichier ASCII. Utilisez les touches « j » et « k » pour naviguer respectivement vers le haut et
vers le bas.
Si vous entrez « vi » au lieu de « view », vous pourrez utiliser l'éditeur vi pour modifier
le fichier. Fermez l'affichage du fichier Snapshot. Si vous utilisez vi, tapez « <esc> :q! »
pour quitter la session vi.
- Vous n'avez pas besoin de créer un instantané de l'ensemble de la configuration du commutateur. Pour
créer un instantané de la seule configuration VLAN, procédez comme suit.
Type the following:
-> vlan 5-7
-> show vlan
-> configuration snapshot vlan snapvlan
- Seule la configuration VLAN est copiée sur un fichier « snapvlan » dans le répertoire en cours. Vous
pouvez spécifier d'autres options pour la création d'instantanés. Entrez la commande suivante pour voir les
autres paramètres et faites un test en créant d'autres instantanés.
- Entrez la commande suivante :
-> configuration snapshot ?
- Une fois la syntaxe vérifiée, vous pouvez appliquer l'instantané au commutateur. Supprimons certains
VLAN existants et réappliquons-les ensuite à l'aide d'un instantané des VLAN.
- Entrez les commandes suivantes :
-> no vlan 5-7
-> show vlan
- Vous constatez que les VLAN ont été supprimés. Appliquez l'instantané des VLAN préalablement
sauvegardé.
-> configuration apply snapvlan
-> show vlan
- Le fichier Snapshot utilisé dans la commande sera réappliqué et les VLAN 5, 6 et 7 seront recréés. Cette
commande peut être utilisée pour appliquer un instantané d'un autre commutateur pour faciliter la
11
Getting started with AOS Operating system
configuration.
Vérifiez auprès du formateur qu'une clé USB est disponible, ainsi que la présence d'un port USB sur
l'OmniSwitch
- Saisissez les commandes suivantes pour récupérer et transférer des fichiers du commutateur au clé flash
USB.
-> usb enable
-> cp /flash/working/boot.cfg /uflash/boot.cfg
- Vérifiez ensuite que les fichiers ont été transférés sur votre clé USB.
-> cd /uflash
-> ls
5
Par défaut, l'accès distant n'est pas autorisé sur le commutateur OmniSwitch. Il s'agit d'une mesure de sécurité
destinée à empêcher les accès non autorisés. Pour autoriser l'accès distant, y compris Telnet et WebView
(HTTP), le commutateur doit être dûment configuré.
- Supprimez la configuration des précédents exercices et redémarrez le commutateur à partir du répertoire
WORKING
- Entrez les commandes suivantes :
-> rm /flash/working/boot.cfg
-> reload working no rollback-timeout
- Si vous n’avez pas de second PC, débranchez votre connexion et connectez vous avec le port Ethernet
directement sur le port 1/1 du commutateur. Modifiez les paramètres de la carte réseau de votre PC avec
les paramètres suivants :
12
Getting started with AOS Operating system
IP Address: 10.0.1.2
Netmask: 255.255.255.0
Def. Gateway: 10.0.1.1
- Si vous avez un second PC, configurez sa carte réseau avec les paramètres ci-dessus et débranchez vous de
votre connexion console.
- Vérifiez que vous disposez de la connectivité IP en émettant une requête ping via le PC lié au
commutateur. Une fois la connectivité IP établie, entrez la commande pour afficher le statut « Web
Management » (gestion Web) en cours.
- Entrez la commande suivante :
-> show http
Web Management = on
Web Management Force SSL = off
Web Management Http Port = 80
Web Management Https Port = 443
- Lancez un navigateur Web et entrez l'adresse IP (10.0.1.1) du commutateur dans l'adresse URL.
Si un message s'affiche dans votre navigateur indiquant que la gestion Web est désactivée,
procédez comme suit pour activer la gestion « Web Management ».
-> ip http server
- Essayez de vous connecter en utilisant admin/switch. Vous n'êtes toujours pas en mesure de vous
connecter et de configurer le commutateur avec WebView.
- Vous devriez recevoir un message signalant que le nom d'utilisateur et/ou le mot de passe ne sont pas
valides. Affichez les paramètres d'authentification AAA actuels.
- Entrez la commande suivante :
-> show aaa authentication
- Dans la section HTTP, il est indiqué que l'accès HTTP est refusé. Par défaut, tout accès distant est
désactivé. Activons à présent l'accès distant.
- Entrez les commandes suivantes :
-> aaa authentication http local
-> show aaa authentication
- Cette opération configure le commutateur afin qu'il vérifie la base de données locale pour chaque type de
connexion.
Vous pouvez également entrer la commande « aaa authentication default local ». La base de
données locale sera vérifiée par le commutateur pour tous les types d'accès (FTP, TELNET, etc.).
- Réessayez de vous connecter à distance via votre navigateur. Vous devriez à présent avoir accès au
commutateur.
5.3 Test
- Quelle commande doit-on utiliser pour définir une adresse IP 10.10.10.1/24 destinée au VLAN 10 sur un
commutateur OmniSwitch?
- Quelles sont les opérations à effectuer sur un commutateur OmniSwitch avant de démarrer une session
WebView ?
- Dans WebView, comment définit-on une temporisation d'inactivité (Inactivy Timer) de gestion Web (Web
Management) à 4 minutes par défaut ?
6
6.1. Accès Telnet
- Entrez les commandes suivantes sur le commutateur pour le configurer afin qu'il vérifie la base de données
locale en cas de tentative de connexion TELNET.
-> aaa authentication telnet local
- Vous êtes désormais autorisé à accéder au commutateur à l'aide d'une connexion TELNET. Déconnectez-
vous du commutateur distant.
14
Getting started with AOS Operating system
- L'accès TELNET peut être désactivé si nécessaire. Ouvrez une connexion à la console sur le commutateur
distant et suivez la procédure ci-dessous pour contrôler l'état « Remote access status », puis désactivez
l'accès.
- Entrez la commande suivante :
-> show aaa authentication
- Vous constatez que l'authentification TELNET est effectuée localement ou par la base de données interne
du commutateur. Aucune authentification externe (RADIUS, LDAP) n'est effectuée à ce stade.
-> show aaa authentication
Service type = Default
1rst authentication server = local
Service type = Console
1rst authentication server = local
Service type = Telnet
Authentication = Use Default,
1rst authentication server = local
Service type = Ftp
1rst authentication server = local
Service type = Http
Authentication = Use Default,
1rst authentication server = local
Service type = Snmp
1rst authentication server = local
Service type = Ssh
Authentication = Use Default,
1rst authentication server = local
- À présent, désactivons l'accès TELNET et essayons de nous reconnecter. Depuis la connexion de console,
procédez comme suit :
- Entrez les commandes suivantes :
-> no aaa authentication telnet
-> show aaa authentication
Service type = Default
1rst authentication server = local
Service type = Console
1rst authentication server = local
Service type = Telnet
Authentication = Denied,
Service type = Ftp
1rst authentication server = local
Service type = Http
Authentication = Use Default,
1rst authentication server = local
Service type = Snmp
1rst authentication server = local
Service type = Ssh
Authentication = Use Default,
1rst authentication server = local
WORKING
Vous devrez peut-être également supprimer le fichier « userTable5 » du répertoire réseau avant de
redémarrer le commutateur.
Ce fichier contient tous les utilisateurs existant dans la base de données du commutateur.
-> rm network/UserTable5
- Les deux utilisateurs suivants doivent au minimum être affichés : « admin » et « default ». Étudiez les
droits de lecture et d'écriture pour chaque utilisateur et chaque domaine, ainsi que les droits SNMP.
Admin – Utilisateur disposant par défaut de tous les droits. L'utilisateur Admin est autorisé à configurer le
commutateur et à créer des utilisateurs supplémentaires.
Default – Ce compte ne peut pas être utilisé pour se connecter au commutateur. Ces droits sont appliqués à
l'ensemble des nouveaux utilisateurs créés sur le commutateur. Par défaut, les nouveaux utilisateurs n'ont
pas de droits. Toutefois, les droits de l'utilisateur « default » peuvent être modifiés si nécessaire.
-> show user
User name = admin
Password expiration = None,
Read-Only for domains = None,
Read/Write for domains = All ,
SNMP allowed = NO
- Comme vous pouvez le constater, les nouveaux utilisateurs n'ont aucun droit d'administration par défaut
(dans la section suivante, nous verrons comment créer de nouveaux utilisateurs et configurer leurs droits).
- À présent, nous allons créer deux nouveaux utilisateurs appelés « userread » et « userwrite », auxquels
nous affecterons des mots de passe. Puis, nous sauvegarderons la configuration.
- Entrez la commande suivante :
-> user userread password userread
(Vous avez créé un nouvel utilisateur mais il ne dispose pour le moment d'aucun droit. Cet utilisateur ne
dispose d'aucun droit parce que les droits utilisateur par défaut sont associés à tous les nouveaux
utilisateurs et qu'aucun droit n'est associé par défaut à l'utilisateur. Si vous n'associez aucun droit à un
utilisateur, ce dernier ne pourra même pas se connecter.)
-> user userread read-only ip
-> user userwrite password userwrite
16
Getting started with AOS Operating system
- Essayez à présent de vous reconnecter avec l'un des profils utilisateur créés. Essayez ensuite d'entrer les
quatre commandes suivantes : show vlan, show ip interface, ip interface… et reload.
- Entrez les commandes suivantes :
-> exit
login: userread
password: userread
-> show vlan
-> show ip interface
-> ip interface vlan-1-20 address 192.168.20.1/24 vlan 1
-> reload all
- L'une de ces quatre commandes a-t-elle fonctionné ? Testez différentes commandes pour comprendre le
type d'accès que vous ouvrent vos droits.
-> show vlan
ERROR: Authorization failed. No functional privileges on this command
- Connectez-vous en tant qu'utilisateur « userwrite » et réessayez les trois mêmes commandes. Qu'avez-
vous appris ?
- À présent, reconnectez-vous en tant qu'utilisateur « admin » et affichez les nouveaux utilisateurs.
- Entrez les commandes suivantes :
-> exit
login: admin
password: *****
-> show user
- Vous verrez s'afficher les droits que vous avez affectés aux profils « userread » et « userwrite ».
User name = userread
Password expiration = None,
ReadOnly for domains = ,
Read only for families = ip ,
Read/Write for domains = None,
SNMP allowed = NO
- Modifions à présent les droits associés à l'utilisateur « userread » et observons les changements.
- Entrez les commandes suivantes :
-> user userread read-only all
-> show user userread
-> write memory
- Vous constatez que cet utilisateur dispose à présent d'un accès en lecture.
-> show user userread
User name = userread
Password expiration = None,
Read-Only for domains = All,
Read/Write for domains = None ,
SNMP allowed = NO
- Connectez-vous en tant qu'utilisateur « userread » et entrez les commandes suivantes. Vous constatez que
vous pouvez à présent visualiser les informations.
- Entrez les commandes suivantes :
-> exit
login: userread
password: ********
-> show vlan
-> show user
-> show chassis
17
Getting started with AOS Operating system
- Voyons à présent si cet utilisateur peut effectuer des modifications sur le commutateur.
- Entrez la commande suivante :
-> vlan 2
- Un message d'erreur vous informe que vous n'êtes pas autorisé à lancer cette commande. En tant
qu'utilisateur « userread », vous disposez uniquement de droits de lecture, pas de droits d'écriture.
-> vlan 2
ERROR: Authorization failed. No functional privileges on this command
- Reconnectez-vous sous le profil Admin et modifiez les droits « userwrite » pour pouvoir effectuer des
changements sur le commutateur.
- Entrez les commandes suivantes :
-> exit
login: admin
password: *****
-> user userwrite read-write all
-> show user userwrite
-> write memory
- Vous constatez que cet utilisateur dispose à présent des droits en écriture.
-> show user userwrite
User name = userwrite
Password expiration = None,
Read-Only for domains = None,
Read/Write for domains = All ,
SNMP allowed = NO
- Connectez-vous en tant qu'utilisateur « userwrite » et entrez la commande de création d'un VLAN. Vous
pouvez désormais créer des VLAN car vous disposez de tous les droits en écriture.
- Entrez les commandes suivantes :
-> exit
login: userwrite
password: *********
-> vlan 2
- Ce processus accorde à l'utilisateur des droits de lecture seule (read-only) pour les commandes dans le
domaine de couche L2 (Layer 2 domain).
-> show user userread
User name = userread,
Password expiration = None,
Read-Only for domains = Layer 2,
Read/Write for domains = All ,
SNMP allowed = NO
- Vous pouvez exécuter les commandes VLAN parce qu'elles se trouvent dans le domaine de couche L2.
Toutefois, la commande « running-directory » échoue car vous n'avez pas accès au domaine « admin ».
-> show running-directory
ERROR: Authorization failed. No functional privileges on this command
- Une liste des domaines et des commandes associées est disponible dans le guide utilisateur. Les mêmes
droits de domaine s'appliquent à l'accès en écriture.
7
7.1. Profils d'utilisateur final
Le profil d'utilisateur final est semblable à la gestion de partitions, avec la possibilité supplémentaire de
limiter les VLAN et ports auxquels un utilisateur peut accéder.
- Commençons par créer quelques VLAN et un nouvel utilisateur appelé « customer1 ».
- Entrez les commandes suivantes :
-> vlan 100
-> vlan 200
-> vlan 300
-> user customer1 password customer1
- Créons à présent un profil d'utilisateur final avec un accès en lecture/écriture mais limitons ce profil aux
VLAN 100-200.
- Entrez les commandes suivantes :
-> end-user profile profile1 read-write all
-> end-user profile profile1 vlan-range 100-200
-> end-user profile profile1 port-list 1/1-12
- Déconnectez-vous et reconnectez-vous sous le compte utilisateur que vous venez de créer. Exécutez
ensuite les commandes énumérées ci-dessous. Vous constatez que vous n'avez pas accès au VLAN 300
parce qu'il ne fait partie du profil utilisateur associé au « customer 1 ».
-> exit
login: customer1
password: *********
-> show vlan
-> vlan 300 port default [slot /port] (port within the port-list as specified in the profile)
Objectif
Vous allez vous familiariser avec les fichiers image stockés dans le
commutateur et la procédure de mise à niveau du code
Mise en œuvre
Client 5 6450A
6450B
Client 6
1/1
1/1
5 6
Client 9
1/2 1/2 Client 10
- Ouvrez une session sur la console du commutateur 6450-A ou B avec les informations d'identification
suivantes :
Login: admin
Password: switch
- Avant de procéder à des mises à niveau, vérifiez les versions actuelles du code sur le commutateur.
- Entrez les commandes suivantes :
-> show microcode loaded – Version currently loaded
-> show microcode working – Version in WORKING directory
-> show microcode certified – Version in CERTIFIED directory
- Ces commandes décrivent chaque fichier image et indiquent leur version actuelle dans les différents
répertoires.
-> show microcode working
Package Release Size Description
-----------------+---------------+--------+-----------------------------------
Gbase.img 6.6.4.425.R01 17499295 Alcatel-Lucent Base Software
Gos.img 6.6.4.425.R01 1864653 Alcatel-Lucent OS
Geni.img 6.6.4.425.R01 5470896 Alcatel-Lucent NI software
Gsecu.img 6.6.4.425.R01 607273 Alcatel-Lucent Security Management
3
Installing and Upgrading Code
Demandez à votre formateur comment ouvrir et configurer un client virtuel avec le labo
distant.
- Attribuez une adresse IP dans le même sous-réseau à votre PC et vérifiez qu'une connectivité IP est établie
en envoyant une requête ping au commutateur depuis le PC.
Pour transférer les fichiers à l'aide du FTP, vous devez tout d'abord configurer le commutateur de
manière à ce qu'il accepte les connexions FTP.
- Demandez à votre formateur de vous montrer comment obtenir le code pour mettre à niveau le
commutateur si nécessaire.
- Utilisez un programme FTP ou la ligne de commande pour FTP du PC vers le commutateur.
- Une fois connecté, saisissez la commande suivante pour afficher le répertoire actuel :
-> pwd
- Une fois que le commutateur est redémarré et que tout fonctionne correctement, utilisez la commande
ci-dessous pour copier le répertoire WORKING vers le répertoire CERTIFIED.
-> copy working certified
2.3. Test
Quelle est la commande utilisée pour autoriser l'accès du FTP au commutateur ?
Quelle est la commande utilisée pour qu'un nouveau fichier image soit disponible au redémarrage ?
Gestion VLAN - Objectifs de la formation
Grâce à cette formation, vous :
Comprendrez la mise en œuvre et les
fonctions VLAN des commutateurs basés sur
AOS
Découvrirez comment :
déployer un VLAN statique ou dynamique afin de
segmenter un réseau
configurer le VLAN Tagging sur les liens Ethernet High
Availability
gérer un client DHCP
mettre en œuvre et contrôler le protocole MVRP AOS
Operating
System
Extensive Enhanced
Manageability Security
Réseaux VLAN - Présentation
VLAN - LAN virtuel
Domaine de diffusion
Gestion de réseau simplifiée
Réseau plus sécurisé
Rouge
VLAN
VLAN
Jaune
Bleu
VLAN
Appartenance au VLAN - Périphérique d’accès
Comment les ports sont-ils affectés à un VLAN ?
VLAN 1
Routeur virtuel
1/2
VLAN 2
VLAN 5
1/4
VLAN 6
1/6
Appartenance VLAN dynamique
VLAN dynamiques
L'affectation du VLAN dépend du terminal ou de l'utilisateur :
Orienté terminal: le VLAN dépendra des critères de trafic (MAC@, etc.)
Orienté utilisateur: VLAN authentifié (IEEE 802.1X pour une sécurité renforcée)
VLAN 1
Routeur virtuel
VLAN 2
VLAN
VLAN 4
VLAN 5
VLAN 6
Appartenance VLAN dynamique
Règles applicables aux ports
Terminaux Appletalk
Protocole/Réseau IPX
192.168.10.0/24
0005d3 :123456
Appartenance VLAN dynamique
Types de règles
Terminaux Appletalk
Protocole/Réseau IPX Adresse MAC
Simple
Plage
Protocole
IP
IPX
DECNET
APPLETALK
Spécifié par Ether-type
Spécifié par DSAP et SSAP
Spécifié par SNAP
Adresse de couche
192.168.10.0/24 réseau
Sous-réseau IP
Numéro de réseau IPX
0005d3 :123456
Appartenance VLAN dynamique - Règles DHCP
Appartenance au VLAN DHCP
Règles Ports DHCP
Génération de requêtes DHCP par les terminaux
sur ces ports
2 Le relais BootP fournit la requête
au serveur DHCP
Règles d'adressage MAC/MAC DHCP 1 Le client ayant besoin d'une adresse IP apparaît
Génération de requêtes DCHP par des terminaux
dans le VLAN DHCP par défaut
avec des adresses MAC spécifiées
Relais BootP
Règles génériques DHCP Relais BootP
Tout non-respect de l'un de ces critères est considéré comme une « violation » et le
terminal ne peut alors être affecté à aucun VLAN.
Si l'adresse IP d'un utilisateur change en cours de connexion,
L’utilisateur sera déconnecté
un Trap SNMP sera généré 192.168.10.2 192.168.10.3
AAAAAA:AAAAAA BBBBBB:BBBBBB
Règles de « binding » autorisées
MAC + IP + Port
MAC + Port
Port + Protocole
3/1 3/2
192.168.10.4
3/3 DDDDDD:DDDDDD
Connexion réussie
L’adresse MAC du client est associé au VLAN correspondant.
Exécution commutateur
Agent d'authentification
Hôte
utilisant
le client VLAN
802.1x par défaut Serveur RADIUS, TACACS+
ou LDAP
Supplicant
Utilisateur
VLAN
cible
Réseaux VLAN
CLI
Définition d'un VLAN et de son interface de routage
-> vlan 2
-> ip interface training_lab address 192.168.10.1 vlan 2
Commandes optionnelles
-> vlan 4 enable
-> vlan 4 stp disable
-> vlan 4 name Engineering
Encadrez la chaîne de caractère avec des guillemets si le nom du VLAN comprend plusieurs termes séparés par
des espaces.
-> vlan 10-15 100-105 200 name “Training Network”
-> vlan 10 mtu-ip 1000
Configuration de la taille maximum de paquets MTU (Maximum Transmission Unit) autorisée pour tous les ports
associés au VLAN 10
Contrôle
-> show vlan 4
-> show vlan port
-> show ip interface
VLAN avec port statique
Exemple
VLAN VLAN
Données Voix Serveur DHCP
Téléphone IP
VLAN Données VLAN Voix
VLAN 2 VLAN 3
@IP dynamique @IP dynamique
Contrôle
-> show vlan 4
-> show vlan port
-> show vlan rules
-> show vlan 4 rules
-> show vlan port mobile
Règles de mobilité VLAN
Exemple
VLAN VLAN
Données Voix Serveur DHCP
Téléphone IP
VLAN Données VLAN Voix
VLAN 2 VLAN 3
@IP dynamique @IP dynamique
1. Type de trame
2. MAC DHCP
3. Plage d'adresses MAC DHCP
4. Port DHCP
5. DHCP générique
6. MAC-Port-IP
7. MAC-Port Binding
8. Port-Protocole Binding
9. Adresse MAC
10. Plage d'adresses MAC
11. Adresse réseau
12. Protocole
13. Défaut (pas de correspondance -> port VLAN par défaut)
Mobilité VLAN
Comportement par défaut
Gestion VLAN par défaut
VLAN par défaut
-> vlan port slot/port default vlan {enable | disable}
Activé -> l'utilisateur associe le VLAN par défaut lorsqu'aucune règle ne correspond (par défaut)
Désactivé -> le trafic utilisateur est refusé lorsqu'aucune règle ne correspond
Activé -> l'utilisateur rejoint le VLAN par défaut lorsque le trafic expire (par défaut)
Désactivé -> l'utilisateur demeure membre du VLAN même après expiration du trafic
Appartenance au VLAN
802.1Q
Comment les ports sont-ils affectés aux VLAN ?
Trames balisées
802.1Q
Tag VLAN 802.1P
Modification de l'en-tête MAC 802.3 Champ trois bits dans l'en-tête 802.1Q
4 096 Tags VLAN uniques (adresses) Jusqu'à 8 priorités distinctes possibles
VLAN ID == GID == VLAN Tag Fonctionnalité devant être intégrée dans le
Hardware
4 octets
VLAN - Configuration
VLAN 3 VLAN 3
3/4 VLAN 2
3/4
VLAN 2
VLAN 1 VLAN 1
-> show vlan 3 port
-> show 802.1q 3/4
VLAN - Tag mobile
Affectation dynamique des ports mobiles à plus d’un VLAN simultanément
OmniPCXEnterprise
Serveur de
communication
VLAN Voix
Paquets taggés
VLAN Données
Avec tag=3
-> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} { enable | disable}
Active/désactive le MVRP sur un ou des ports ou agrégats spécifiques du commutateur
-> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} registration {normal | fixed |
forbidden}
Normal : l'enregistrement et le désenregistrement des VLAN sont autorisés
Les VLAN peuvent être mappés soit dynamiquement (par le biais du MVRP), soit statiquement (par le biais de l'application de gestion),
sur ce port
Fixed : Seul le mappage statique des VLAN est autorisé sur le port mais le désenregistrement des VLAN dynamiques
ou statiques créés précédemment n'est pas autorisé
Forbidden : l'enregistrement ou le désenregistrement de VLAN dynamiques n'est pas autorisé sur le port. Tous les
VLAN dynamiques créés précédemment seront désenregistrés.
IEEE 802.1ak MVRP
Configuration CLI
-> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} applicant {participant | non-
participant | active}
Le mode Applicant définit si oui ou non des échanges MVRP PDU sont autorisés sur un port en fonction de l'état du
Spanning Tree.
Normal participant : La machine d'état participe normalement aux échanges du protocole MRP pour les ports en
mode Forwarding uniquement
Non-participant: La machine d'état n'envoie aucun message MRP
Active: La machine d'état participe normalement aux échanges du protocole MRP à la fois pour les ports en mode
Forwarding et les ports en mode Blocking. Ce mode est un mode propriétaire Alcatel-Lucent.
-> mvrp {linkagg <agg_num [-agg_num2]> | port <slot/port [– port2]>} restrict-vlan-registration vlan
<vlan-list>
Empêche le processus MVRP d'enregistrer dynamiquement les VLAN spécifiés sur le commutateur
IEEE 802.1ak MVRP
Supervision CLI
-> show mvrp ?
timer statistics port linkagg configuration
Sommaire
1 OBJECTIF ....................................................................................... 2
2 VLANs ........................................................................................... 2
3 Equipement/Matériel Requis ................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Configuration VLAN ........................................................................... 3
6.1. Création de VLAN supplémentaires ................................................................. 6
6.2. Mobilité .................................................................................................. 8
7 Résumé ....................................................................................... 11
8 Test ........................................................................................... 11
2
Réseaux VLAN
1 OBJECTIF
Ce lab est conçu pour vous familiariser avec les VLANs sur les OmniSwitch.
2 VLANs
Les VLANs offrent la capacité de séparer le réseau en de multiples domaines de broadcast. Celà
peut être fait statiquement ou dynamiquement en créant des policies. De plus, les ports des
routeurs peuvent être assignés à des VLANs afin d’autoriser le traffic à être commuté au niveau
3.
3 Equipement/Matériel Requis
Un OmniSwitch (n’importe quel modèle)
2 PCs ou plus.
4 Commandes associées
vlan, show vlan, show vlan [vid], ip interface,
show vlan [vid] ports, vlan [vid] ip, vlan [vid] mac
5 Plates-formes supportées
Toutes
3
Réseaux VLAN
6 Configuration VLAN
Client 7 Client 3
A Exercice sur labo distant
1/22 Réseaux VLAN
1/1
3
1/2
Client 8 Client 4
A 4 4 OS 6850E
1/22
1/1
4
1/2
- Dans sa configuration par défaut, le commutateur ne possède qu'un VLAN : le VLAN 1. Il s'agit du VLAN par
défaut et tous les ports sont initialement associés à ce VLAN. Vous NE POUVEZ PAS supprimer ce VLAN
mais vous pouvez le désactiver si vous le souhaitez.
- Exécutons la commande permettant d'afficher les VLAN qui existent sur un commutateur et les
informations relatives à un VLAN unique.
-> show vlan
stree mble src
vlan type admin oper 1x1 flat auth ip tag lrn name
-----+-----+------+------+------+------+----+-----+-----+------+----------
1 std on off on on off on off on VLAN 1
- Consultez les guides de l'utilisateur pour obtenir des données détaillées sur le contenu des colonnes
suivantes :
Name : VLAN 1,
Administrative State: enabled,
Operational State : disabled,
1x1 Spanning Tree State : enabled,
Flat Spanning Tree State : enabled,
Authentication : disabled,
IP Router Port : off,
IPX Router Port : none,
Mobile Tag : off,
Source Learning : enabled
Router Vlan : no
Notes : L'état « Administrative State » du VLAN est activé tandis que l'état « Operational
State » est désactivé. Un VLAN qui ne comprend aucun membre est considéré comme ne
fonctionnant pas.
- Vous pouvez également dresser la liste des ports et des VLAN qui leur sont associés. Remarque : à ce
stade, vous ne disposez d'aucun port actif permettant d'activer l'exploitation du VLAN.
-> show vlan port (or 'show vlan 1 port' to display just vlan 1 ports)
vlan port type status
------+-------+---------+-------------
1 1/1 default inactive
1 1/2 default inactive
1 1/3 default inactive
1 1/4 default inactive
1 1/5 default inactive
1 1/6 default inactive
1 1/7 default inactive
1 1/8 default inactive
1 1/9 default inactive
1 1/10 default inactive
1 1/11 default inactive
1 1/12 default inactive
1 1/13 default inactive
1 1/14 default inactive
1 1/15 default inactive
1 1/16 default inactive
1 1/17 default inactive
1 1/18 default inactive
1 1/19 default inactive
1 1/20 default inactive
1 1/21 default inactive
1 1/23 default inactive
1 1/24 default inactive
- Pour afficher l'affectation d'un VLAN à un ou plusieurs ports spécifiques, entrez la commande suivante :
-> show vlan port 1/1
vlan type status
--------+---------+--------------
1 default inactive
Pour obtenir la connectivité IP sur une interface VLAN (non nécessaire pour la connectivité vers d'autres
clients/serveurs au sein d'un VLAN), vous devez affecter une adresse IP à un port de routeur virtuel et
l'associer au VLAN. Vous pouvez ensuite utiliser cette adresse IP pour la connectivité IP et pour la
commutation de couche L3. Pour cela, il vous faut tout d'abord créer l'adresse IP et l'associer à un VLAN.
- Entrez les commandes qui suivent, sachant que « int_1 » est l'alias du VLAN et que « 192.168.10.X »
correspond à l'adresse IP d'interface. Remplacez X par la référence de votre commutateur. L'exemple qui suit
s'applique au commutateur 3 :
-> ip interface int_1 address 192.168.10.3/24
-> show ip interface
Total 3 interfaces
Name IP Address Subnet Mask Status Forward Device
--------------------+---------------+---------------+------+-------+--------
5
Réseaux VLAN
Notes : il est possible de regrouper les deux dernières commandes en une seule comme suit :
-> ip interface int_1 address 192.168.10.3/24 vlan 1
-> show ip interface
Total 3 interfaces
Name IP Address Subnet Mask Status Forward Device
--------------------+---------------+---------------+------+-------+--------
Loopback 127.0.0.1 255.0.0.0 UP NO Loopback
dhcp-client 0.0.0.0 0.0.0.0 DOWN NO vlan 1
int_1 192.168.10.3 255.255.255.0 DOWN NO vlan 1
Observez le contenu du champ « Status ». La valeur « DOWN » indique qu'aucun port actif ou équipement n'a
été associé au VLAN auquel le routeur virtuel a été affecté. Lorsqu'une interface de routeur virtuel se trouve
à l'état « DOWN », la connexion à cette interface est impossible ; elle ne peut pas répondre aux requêtes
PING ni être informée des mises à niveau de routage. Toutefois, le domaine de diffusion de la couche L2 n'est
pas affecté.
Activons à présent un port dans le VLAN 1 pour modifier la valeur d'état et la passer à « UP » avec la
procédure suivant.
- Connectez le PC1 à un port Ethernet du commutateur. Rappelez-vous que tous les ports par défaut sont
membres du VLAN 1 : vous pouvez donc utiliser le port de votre choix.
- Sur le labo distant, activez l'interface associée :
-> interfaces 1/1 admin up
Tous les ports appartenant actuellement au VLAN 1, cette procédure le rend actif.
À présent que le VLAN possède un port actif, modifions les données IP du PC1 et envoyons une requête PING à
l'interface de routage associée au VLAN 1.
6
Réseaux VLAN
Actuellement, un seul VLAN est créé sur le commutateur. Les étapes suivantes indiquent comment créer un
second VLAN, activer l'IP sur le VLAN, déplacer des ports dans le VLAN et transférer des paquets IP entre
VLAN.
- Créez tout d'abord un nouveau VLAN et affectez-lui une adresse IP comme précédemment :
-> vlan 20
-> ip interface int_20 address 192.168.20.3/24
-> ip interface int_20 vlan 20
Vous allez à présent affecter un port au VLAN 20, connecter un client 7 à ce port et modifier son adresse IP
pour permettre la communication vers l'interface du routeur virtuel. Rappelez-vous que tous les ports
appartiennent au VLAN 1 par défaut et que vous devez donc déplacer un port vers le VLAN 20.
Vérifiez que vous avez connecté le PC2 à l'emplacement et au port définis ci-dessus.
Le schéma suivant représente la configuration actuelle. Par défaut, le commutateur achemine les paquets
entre les VLAN 1 et VLAN 20 à l'aide des interfaces Virtual IP que vous avez créées.
VLAN 1 VLAN 20
Adresse IP = 192.168.10.103 Adresse IP = 192.168.20.107
Passerelle par défaut = 192.168.10.3 Passerelle par défaut = 192.168.20.3
Client 3 Port du VLAN 1 Client 7 Port du VLAN 20
- À partir du client 7, envoyez une requête ping au port du routeur virtuel du VLAN 20 (ex. envoyez une
requête ping au 192.168.20.1)
Notes : Cette requête doit aboutir étant donné que le port se trouve sur la même plage de
sous-réseaux IP.
- À partir du client 7, envoyez une requête ping au port du routeur virtuel du VLAN 1 (ex. ping
192.168.10.1)
Notes : Cette requête doit aboutir puisque vous avez associé la passerelle par défaut du PC2 à
l'interface de routeur virtuel du VLAN 20. Le commutateur achemine alors les paquets vers
l'interface int_1.
8
Réseaux VLAN
- À partir du client 7, envoyez une requête ping au client 3. (Par exemple, ping 192.168.10.103)
Notes : Cette requête doit aboutir puisque vous avez associé la passerelle par défaut à
l'interface de routeur virtuel du VLAN 20. Le commutateur achemine alors le paquet contenant
la requête dans une seule direction et renvoie la réponse au VLAN 20.
- Effectuez les mêmes étapes à partir du client 3, c'est-à-dire 1) envoyez une requête ping au routeur
virtuel du VLAN 1, 2) envoyez une requête ping au routeur virtuel du VLAN 20 et 3) envoyez une requête
ping au client 7.
Vous devez recevoir des réponses positives à chacune des requêtes ping envoyées. Si ce n'est pas le cas,
vérifiez votre adresse IP (et la passerelle) à la fois sur le PC et sur le commutateur.
- Pour contrôler les associations VLAN, procédez comme suit. Entrez les commandes suivantes :
-> show vlan
-> show vlan 1
-> show vlan 1 port
-> show vlan 20
-> show vlan 20 port
-> show ip interface
6.2. Mobilité
Vous venez de voir comment associer des ports aux VLAN de manière statique. Dans cette section, vous
apprendrez à configurer la mobilité pour associer dynamiquement des MAC en fonction du trafic reçu.
Tout d'abord, commencez par déplacer le port auquel le PC2 est connecté vers le VLAN 1 par défaut.
- Saisissez les commandes suivantes :
-> vlan 1 port default 1/2 (or the port you configured earlier)
Une fois le port configuré en tant que port mobile, vous devez créer une règle à laquelle le client 7
correspondra. Les règles sont appliquées aux VLAN et les terminaux (MAC) deviennent membres d'un VLAN
lorsqu'ils respectent une règle.
Vous constatez que, pour le moment, aucune règle n'existe. Vous allez maintenant créer une règle à laquelle
le client 7 correspondra.
- Vous venez de créer une règle d'adressage IP. Cette règle précise qu'un terminal envoyant du trafic vers
une adresse IP source dans le sous-réseau 192.168.20.0/24 devient membre du VLAN 20.
-> show vlan rules
Legend: type: * = binding rule
À ce stade, le port auquel le client 7 est connecté n'est pas encore membre car aucun trafic n'a été envoyé
pour déplacer dynamiquement le port. Créez à présent du trafic qui corresponde à la règle nouvellement
10
Réseaux VLAN
- À partir du client 7, envoyez une requête ping à l'adresse IP de routeur virtuel associée au VLAN 20.
Notes : Vous devez obtenir des réponses positives, le PC ayant été déplacé dynamiquement
vers le VLAN 20 puisqu’il envoie du trafic depuis une adresse IP source 192.168.20.0/24, qui
correspond à la règle du VLAN 20.
Les commandes ci-dessus montrent que le port a bien été associé au VLAN 20 et que l'adresse MAC du
client 7 est connue du VLAN 20.
L'adresse MAC de votre PC se trouve dans les deux VLAN car elle était, à l'origine, l'adresse MAC source connue
du VLAN 1. Après 300 secondes (délai par défaut), votre adresse MAC disparaît du VLAN 1 et demeure
uniquement dans le VLAN 20.
- La règle d'adressage réseau IP est une des méthodes de déplacement dynamique des terminaux. Avec les
commandes suivantes, testez la création d'une règle d'adressage MAC et d'une règle de protocole IP.
-> vlan 30
-> ip interface int_30 address 192.168.30.3/24 vlan 30
-> vlan 30 mac <client 7's mac address>
-> vlan 40
-> ip interface int_40 address 192.168.40.3/24 vlan 40
-> vlan 40 protocol ip-e2
7 Résumé
Les VLANs sont un concept important à comprendre lorsque vous configurez un OmniSwitch. Ils
ont la capacité de séparer le réseau en de multiples domaines de broadcast. Cela peut être fait
statiquement ou dynamiquement. De plus, afin que des équipements de différents VLANs
puissent communiquer, ils doivent être routé. Une interface virtuelle du routeur peut être
associé à chaque VLAN afin de permettre le routage du traffic.
8 Test
2. Désignez deux méthodes de ce cas pratique utilisées pour associer un port à un VLAN.
3. Quel type de règle(s) a été utilisé pour déplacer dynamiquement un port dans un VLAN ?
4. Faut-il nécessairement qu'un protocole de routage soit configuré pour router le trafic entre les VLAN
d'un même commutateur ?
5. Pour qu'un VLAN achemine le trafic, que faut-il créer sur le commutateur ?
7. Quelle est la commande permettant de déplacer un port vers un VLAN par défaut différent ?
8. Quelles sont les deux commandes permettant de vérifier à quel VLAN un port est associé ?
VLANS ET TAG 802.1Q
Sommaire
1 Objectif ......................................................................................... 2
2 802.1Q .......................................................................................... 2
3 Equipement/Matériel requis ................................................................. 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Supprimer la configuration et initialiser l’interface IP du VLAN 1 ..................... 3
7 Etapes du lab .................................................................................. 3
7.1. Création d'un VLAN supplémentaire ................................................................ 4
7.2. Configuration de l’IEEE 802.1Q ...................................................................... 4
8 Résumé ......................................................................................... 6
9 Questions ....................................................................................... 6
2
802.1Q
1 Objectif
Ce lab est conçu afin de vous familiariser avec le IEEE802.1Q. Deux OmniSwitch doivent être
utilisés afin de comprendre le principe ; n’importe quelle combinaison de commutateurs va
fonctionner.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER EN COORDINATION AVEC UN AUTRE GROUPE!
2 802.1Q
Dans un environnement de niveau 2, le VLAN par défaut d’un port est utilize pour commuter le
traffic via une connection physique entre commutateurs. Dans un environnement IEEE 802.1Q, le
VLAN par défaut pour un port est commuté, tous les autres VLANs seront marqués avec le tag
IEEE 802.1Q.
3 Equipement/Matériel requis
Deux OmniSwitches de n’importe quel type (OS9xxx, OS685x, OS6450 ou OS6250)
Deux PCs
4 Commandes associées
vlan <vid> 802.1q slot/port, vlan <vid> no 802.1q,
show 802.1q slot/port
5 Plates-formes supportées
Toutes
3
802.1Q
- Avant de commencer cet exercice, supprimez le fichier « boot.cfg » du répertoire Working de tous les
commutateurs et redémarrez ces derniers pour que les exercices précédents n'affectent pas les résultats
(sur labo distant, réinitialisez le pod) :
-> rm /flash/working/boot.cfg (R6 & R7)
-> reload working no rollback-timeout (R6)
-> reload from working no rollback-timeout (R7)
- Sur chaque commutateur, créez une interface de routeur virtuel pour le VLAN 1 avec une adresse IP dans
le sous-réseau 192.168.10.X/24, où X représente le numéro du commutateur utilisé.
-> ip interface “int_1” address 192.168.10.x/24 vlan 1 (R6 & R7)
- Connectez un PC au port VLAN 1 de chaque commutateur. Dans ce type de configuration par défaut, tous
les ports appartiennent au VLAN 1. N'oubliez pas de configurer vos PC pour le sous-réseau VLAN 1, c'est-à-
dire de leur attribuer des adresses IP dans le sous-réseau 192.168.10.0/24. Activer le port 1/1 dédié au PC
pour chaque commutateur.
-> interfaces 1/1 admin up (R6)
-> interfaces 1/1 admin-state enable (R7)
- Interconnectez vos commutateurs à l'aide du port 3. N'oubliez pas d'activer le port sur le labo distant :
-> interfaces 1/3 admin up (R6)
-> interfaces 1/3 admin-state enable (R7)
7 Etapes du lab
192.168.10.101 192.168.10.102
Client 1 Client 2
A A
EMP 1/1 EMP 1/1
2 3
1/3 1/3
VLAN 1 : 192.168.10.1 VLAN 1 : 192.168.10.2
802.1Q VLAN 11 : 192.168.11.1
VLAN 12 : 192.168.12.1
802.1Q VLAN 11 : 192.168.11.2
VLAN 12 : 192.168.12.2
A A
1/3 1/22 1/22 1/3
2 3 OS 6900T
4 4 4 4 OS 6850E
1/1 1/1 VLAN 1 : 192.168.10.4
VLAN 1 : 192.168.10.3
VLAN 11 : 192.168.11.3 VLAN 11 : 192.168.11.4
VLAN 12 : 192.168.12.3 VLAN 12 : 192.168.12.4
Client 3 Client 4
192.168.10.103 192.168.10.104
4
802.1Q
- Pour afficher les adresses IP sur vos commutateurs, saisissez la commande suivante :
-> show ip interface
Total 3 interfaces
Name IP Address Subnet Mask Status Forward Device
--------------------+---------------+---------------+------+-------+--------
Loopback 127.0.0.1 255.0.0.0 UP NO Loopback
dhcp-client 0.0.0.0 0.0.0.0 DOWN NO vlan 1
int_1 192.168.10.3 255.255.255.0 UP YES vlan 1
- Vérifiez que les deux PC peuvent envoyer une requête ping à leurs interfaces de routeur respectives.
- Vérifiez qu'une connexion physique existe entre les deux commutateurs et que les deux PC peuvent
envoyer une requête ping aux deux routeurs et l'un à l'autre.
- Affichez le tableau d'adresses MAC pour visualiser les adresses MAC apprises, ainsi que les ports sur
lesquels elles ont été apprises :
-> show mac-learning (R7)
-> show mac-address-table (R6)
Legend: Mac Address: * = address not valid
- Vous devez vous connecter au PC de votre voisin à l'aide du VLAN 1. Il s'agit du VLAN bridgé. Créez
maintenant deux VLAN supplémentaires sur chaque commutateur. Ces VLAN seront taggués via la même
liaison physique à l'aide du taggage 802.1Q. Saisissez les commandes suivantes sur chaque commutateur :
(remplacez X par votre numéro de commutateur)
-> vlan 11-12
-> ip interface int_11 address 192.168.11.X/24 vlan 11
-> ip interface int_12 address 192.168.12.X/24 vlan 12
switch1-> show ip interface
Total 5 interfaces
Name IP Address Subnet Mask Status Forward Device
--------------------+---------------+---------------+------+-------+--------
Loopback 127.0.0.1 255.0.0.0 UP NO Loopback
dhcp-client 0.0.0.0 0.0.0.0 DOWN NO vlan 1
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
int_11 192.168.11.1 255.255.255.0 DOWN NO vlan 11
int_12 192.168.12.1 255.255.255.0 DOWN NO vlan 12
Les interfaces IP de nos VLAN 11 et 12 sont inactives car aucun des deux VLAN n'a de membres.
5
802.1Q
Notes : Si un VLAN n'a aucun membre, l'interface IP est inactive et ne sera pas annoncée au
système autonome AS (Autonomous System) de couche 3.
En règle générale, trois liaisons physiques sont nécessaires pour obtenir une connectivité de couche 2 entre
les deux commutateurs pour l'ensemble des trois VLAN. Nous allons cependant configurer le taggage 802.1Q
de manière à transporter les données provenant des trois VLAN sur une seule liaison physique.
- Entrez les commandes suivantes (hypothèse de départ : connexion voisine = emplacement 1/ port 3)
-> vlan 11-12 802.1q 1/3 (R6)
-> vlan 11-12 member port 1/3 tagged (R7)
-> show vlan 11 port (R6)
-> show vlan 11 members (R7)
port type status
---------+---------+--------------
1/3 qtagged forwarding
A noter qu’un port physique DOIT systématiquement posséder au moins une liaison VLAN (le VLAN par défaut
du port) par pont.
- Envoyez une requête ping aux interfaces de routeur voisines des VLAN 11 et 12.
- Voyez ce qu'il se passe si vous modifiez l'adresse IP de votre PC et la déplacez vers le VLAN 11 ou 12, et si
vous envoyez ensuite une requête ping à toutes les interfaces IP. Avant d'effectuer cette démarche sur
votre commutateur, n'oubliez pas de déplacer le port auquel votre PC est connecté dans le VLAN
approprié :
-> vlan 11 port default 1/1 (port PC is connected to)
- En plus de l'envoi d'une requête ping et de l'utilisation de tracert sur votre PC, vous pouvez utiliser les
commandes suivantes sur le commutateur pour vérifier le fonctionnement :
-> show vlan port (R6)
-> show vlan members (R7)
-> show ip interface
6
802.1Q
Vous pouvez désormais envoyer une requête ping à n'importe quelle adresse de notre exemple de réseau,
puisque chaque commutateur taggue les données passant sur la liaison entre les deux commutateurs, ce qui
permet d'envoyer chaque paquet sur la même liaison physique tout en conservant le bon VLAN lors du
transfert vers le commutateur distant. Comment votre PC est-il en train de communiquer ? Les paquets sont-
ils bridgés ? Routés ? Les deux ? Comment le savez-vous ?
8 Résumé
Ce lab vous a présenté la fonction 802.1Q sur les OmniSwitch. Le 802.1Q est utilisé pour
supporter de nombreux domaines de broadcast, ou VLANs, à travers le même lien physique. Ceci
est accompli en ajoutant de nouvelles informations au paquet connu sous le nom de tag de
VLAN. Ce tag détermine à quel VLAN appartient le paquet.
9 Questions
3. Faut-il déplacer un port dans les VLAN 11 ou 12 avant d'envoyer une requête ping à l'une des
interfaces ? Pourquoi ?
4. Indiquez dans quelle situation une liaison de base par pont a été utilisée dans ce cas pratique.
5. Indiquez dans quelle situation un taggage 802.1Q a été réalisé dans ce cas pratique.
6. Indiquez dans quelle situation un routage a été utilisé dans ce cas pratique.
OMNISWITCH AOS R6/R7/R8
OMNISWITCH AOS R6/R7/R8 LAN
Objectif
L’objectif de ce cas pratique est de vous familiariser avec la fonction
MVRP et de vous apprendre comment la configurer à l’aide de la CLI.
1 Activation du MVRP
Le MVRP est principalement utilisé pour nettoyer le trafic broadcast inutile et le trafic unicast inconnu, et
créer et gérer dynamiquement les VLAN.
Le MVRP doit être activé de manière globale sur un commutateur pour que ce dernier puisse commencer à
transférer des trames MVRP.
Pour activer le MVRP, le commutateur doit être en mode « Spanning-Tree Flat ».
- Sur le commutateur 6850E-A ou B, entrez les commandes suivantes :
6850E-A/B -> mvrp enable
ERROR: STP Mode is 1X1
Le MVRP peut être activé sur des ports, qu'il soit activé de manière globale ou non. Toutefois,
pour que le port devienne un participant actif, le MVRP doit être activé de manière globale sur
le commutateur. Par défaut, le MVRP est désactivé sur les ports. Pour activer le MVRP sur un
port défini, utilisez la commande « mvrp port »
Remarques : Le MVRP ne peut être configuré que sur des ports fixes, 802.1 Q ou agrégats. Il ne
peut pas être configuré sur des ports miroirs, agrégats, mobiles, VPLS Access et VLAN Stacking
User.
1/3 00:d0:95:fc:9f:51
- Notez que les VLAN 555 et 777 ont été créés automatiquement :
6900-A/B -> show vlan
stree mble src
vlan type admin oper 1x1 flat auth ip ipx tag lrn name
-----+------+------+------+------+------+----+-----+-----+-----+-----+----------
1 std on on on on off on NA off on VLAN 1
555 mvrp on on off on off off NA off on VLAN 555
777 mvrp on off off on off off NA off on VLAN 777
Ce module couvrira:
Comment configurer et superviser les
paramètres de gestion Power Over
Ethernet
High
Availability
AOS
Operating
System
Extensive Enhanced
Manageability Security
OmniSwitch 6250/6400/6450/6850E/6855/9000
Power Over Ethernet
Spécifications
IEEE 802.3af et/ou IEEE 802.3at DTE Power via MDI
Longueur de câble prise en charge : 100 m
Alimentation en ligne par défaut par port
Nombre total de ports compatibles PoE par commutateur
Normes IEEE prises en IEEE 802.3af, 802.3at IEEE 802.3af IEEE 802.3af, 802.3at IEEE 802.3af, 802.3at
charge
Statut admin PoE par Activé
déf.
Statut opér. PoE par déf. Désactivé (la PoE doit être activée commutateur par commutateur (commande « lanpower start »)
Plateformes prenant en OS6250-P24 OS 6400-P24 & P48 OS 6850-P10 OS 6450-P24
charge la PoE
OS 6850-P10L OS 6450-P48
Longueur de câble prise 100 mètres (environ)
en charge
Nbre total de ports 24 24 ou 48 8 24 ou 48
compatibles PoE par
commutateur
Puissance par déf. de 240 W (PS 360 W) 120 W 390 W (PS de secours 530 W)
l'alim. en ligne
390 W (PS 510 W) 780 W (PS de secours 900 W)
disponible par
commutateur
Puissance par déf. de Ports 1-6, 23/24 ou 25/26 : 15,4 W
l'alim. en ligne 30 W
disponible
Ports (7-24) : 16 W
Plage de puissances de Ports 1-6, 23/24 ou 25/26 : 3- 3–18 W Ports 1-8 : 3-30 W 3-30 W
l'alim. en ligne autorisée 30 W
par port
Ports (7-24) : 3 - 16 W
Alimentation PoE 225 W 390 W (510 W PS) 120 W 390 W (PS 530 W)
240 W (360 W PS) 780 W (PS 900 W)
OmniSwitch 6850E/6855/9000
Spécifications Power over Ethernet
OmniSwitch 6850E OmniSwitch 6855 OmniSwitch 9000
Statut opér. PoE par déf. Désactivé (la PoE doit être activée commutateur par commutateur (commande « lanpower start »)
Plateformes prenant en charge la OS 6850-P24, P24L, P24X, P48, OS 6855-14 OS9600, 9700/9702, 9800
PoE P48L, P48X
OS 6855-24 Module OS9-GNI-P24
Longueur de câble prise en charge 100 mètres (environ)
Nbre total de ports compatibles PoE 24 ou 48 4 premiers ports 96 (OS9600) ; 192 (OS9700) ; 384
par commutateur (OS9800)
Puissance par déf. de l'alim. en 240 W (PS 360 W)
ligne disponible pour chaque
390 W (PS 510 W)
emplacement
Plage de puissances de l'alim. en 37-240 (PS 360 W) 260 W
ligne autorisée pour chaque
37–390 (PS 510 W)
emplacement
Puissance par déf. d'alim. en ligne 15,4 W 15,4 W
disponible
Plage de puissance d'alim. en ligne 3–18 W 3-20 W 3–18 W
autorisée par port
Alimentation PoE 390 W (PS 510 W) 80 W (OS6855-C24) 240 W de PoE avec PS 360 W
240 W (PS 360 W) 66 W (OS6855-C14) 390 W de PoE avec PS 510 W
OmniSwitch 6250/6400/6450/6850E/6855/9000
Gestion de l'alimentation PoE
Protocole LLDP
Objectifs du module
Ce module couvrira :
La configuration des paramètres du
protocole LLDP
IEEE 802.1AB – Link Layer Discovery Protocol
(LLDP)
High
Availability
AOS
Operating
System
Extensive Enhanced
Manageability Security
Protocole LLDP
IEEE 802.1AB – Link Layer Discovery Protocol (LLDP)
Éléments de gestion et protocole multi-constructeur standard et extensibles utilisés dans la découverte
des topologies réseau et l'échange de la configuration et des capacités des périphériques
Je suis un OXE
commutateur
Je suis un
commutateur
Je suis un
PBX-IP
Je suis un
Je suis un Je suis un
commutateur
commutateur commutateur
Je suis un
Je suis un commutateur
commutateur
Je suis un PC
Je suis un PC Je suis un
téléphone IP
Je suis un
téléphone IP
LLDP
Configuration et supervision
Active un flux LLDP PDU sur un port, un slot ou tous les ports d'un commutateur
-> lldp {slot/port | slot | chassis} lldpdu {tx | rx | tx-and-rx | disable}
Envoyé/reçu même sur des ports STP en mode Block
LLDP-PDU
Champs optionnels d'extension
802.1: Vlan name, port vlan
802.3: MAC Phy
MED: Power and Capability
Inventory Management
Network Policy
LLDP-Media Endpoint Devices (LLDP-MED)
Fonctionnalités
Network
Policy
Location ID
Extended
Power-via-MDI
Inventory
LLDP-MED
Admin
1 2
Téléphone IP
Configuration
Stratégies réseau LLDP
Définir si des LLDP-MED TLV sont inclus dans les LLDPDU transmises
-> lldp {slot/port | slot | chassis} tlv med {power | capability | network policy}
{enable | disable}
Admin
OMNISWITCH AOS R6/R7/R8
OMNISWITCH AOS R6/R7/R8 LAN
Objectif
Configurer les paramètres LLDP sur la gamme de produits OmniSwitch.
Mise en œuvre
- Deux commutateurs OmniSwitch seront utilisés dans les sections suivantes.
Le LLDP (Link Layer Discovery Protocol) est une norme émergente qui offre une solution aux problèmes de
configuration provoqués par les réseaux en expansion. Le LLDP prend en charge le logiciel de gestion réseau
utilisé pour la gestion complète du réseau. Le LLDP est mis en œuvre conformément à la norme
IEEE 802.1AB.
Les informations échangées, transmises sous forme de LLDPDU, sont au format TLV (Type, Length, Value).
Les informations à la disposition du logiciel de gestion de réseau doivent être aussi récentes que possible ;
les informations des équipements distants sont donc mises à jour régulièrement.
- Pour activer la transmission et la réception de LLDPDU sur un port, entrez les commandes suivantes sur les
deux commutateurs :
-> interfaces 1/11 admin up
-> lldp 1/11 lldpdu tx-and-rx
- Pour contrôler le statut de la notification par port en cas de modification d'un équipement distant associé
à un port, utilisez la commande suivante :
-> lldp 1/11 notification enable
Le statut administratif de la LLDPDU doit être défini sur « receive » avant d'utiliser cette
commande.
- Pour contrôler les TLV de gestion par port à intégrer dans les LLDPDU, utilisez la commande suivante :
-> lldp 1/11 tlv management port-description enable
- Les commandes ci-dessous spécifient le commutateur qui contrôlera les TLV de gestion par port à intégrer
dans les LLDPDU. Elles permettront d'obtenir des informations supplémentaires, telles que la description
du système, le nom, les capacités et l'adresse IP de gestion des équipements voisins.
- Entrez les commandes suivantes sur les deux commutateurs :
-> lldp 1/11 tlv management system-name enable
-> lldp 1/11 tlv management system-description enable
-> lldp 1/11 tlv management system-capabilities enable
-> lldp 1/11 tlv management management-address enable
- Pour afficher les informations du système distant, entrez la commande suivante sur le commutateur
distant :
-> show lldp remote-system
Comparez le résultat de cette commande avec celui de la même commande saisie auparavant.
- Pour afficher les informations de configuration LLDP générale des ports LLDP, entrez la commande
suivante :
-> show lldp config
----------+-------------------------------------------+-----------------+-------
| Admin | Notify | Std TLV | Mgmt | 802.1 | 802.3| MED
Slot/Port | Status | Trap | Mask | Address | TLV | Mask | Mask
----------+----------+----------+----------+----------+----------+------+------
1/11 Rx + Tx Disabled 0x00 Enabled Disabled 0x00 0x00
OmniSwitch 6250/6400/6450/6850E/6855
Stacking
Objectifs du module
Ce module couvrira :
Le design d'un stacking de commutateurs
OS6400, OS6450, 6855/6850E et 6250
Description d’un stacking de commutateurs
OmniSwitch 6400, 6450, 6855/6850E et 6250
AOS
OmniSwitch 6250/6400/6450/6850E
Stacking
OmniSwitch 6250/6400/6450/6850E – Empilement (Stacking)
Présentation générale
OmniSwitch 6450
2 liaisons de stacking 5 Gb dédiées sur 6450-10
2 unités maximum dans une pile de 6450-10
Stacking
2 liaisons de stacking 10 Gb dédiées sur les
commutateurs 6450-24/48/U24
5G Full Duplex Jusqu'à 8 unités dans une pile de 6450-24/48/U24
Stacking de commutateurs OmniSwitch 6855
Présentation générale
Deux ports SFP+ 10 G, situés à l'arrière de -> interfaces 1/25 mode stacking
l'unité, peuvent être utilisés pour le stacking WED Nov 04 09:08:29 : HSM-CHASSIS (101) info message:
ou les uplinks +++ Ni 1 Port 25,26 are set to stackable for next boot:OK
-> reload working no rollback-timeout
Port de stacking A sur port de stacking B Port de stacking A sur port de stacking A
Connexion redondante du câble de stacking entre le Port de stacking B sur port de stacking B
commutateur supérieur et le commutateur Connexion redondante du câble de stacking entre
inférieur le commutateur supérieur et le commutateur
Nécessaire pour une redondance effective à travers inférieur
la pile Nécessaire pour une redondance effective à travers
la pile
OmniSwitch
Rôles des CMM dans une pile
Dans un châssis virtuel, un commutateur peut assumer 4 rôles différents.
Si un commutateur assume le rôle suivant :
Principal
Le CMM principal prend en charge toutes les fonctions du châssis (gestion, mise à niveau du Firmware, SNMP,
diagnostic du commutateur, retour arrière...) et agit comme contrôleur « principal » de la pile.
Secondaire
Le CMM secondaire est le CMM de secours de la pile. Il est prêt à assumer le rôle de CMM principal si le commutateur
principal se déconnecte ou est défaillant.
Inactif (Idle)
Le CMM inactif est considéré comme une NI (Network Interface) dans un châssis.
Ce commutateur est prêt à assumer le rôle de CMM secondaire en cas de perte du commutateur principal.
Pass-through
En cas de duplication du Slot-Id, le rôle Pass-through est attribué au commutateur démarré en second.
Ce commutateur ne fait pas partie de la pile, mais il ne bloque pas le trafic qui le traverse
(pas d'interruption de la pile).
Son Slot-Id doit être redéfini, et le CMM doit être redémarré pour devenir « Idle ».
Le processus « Stack Manager » (présent sur tous les CMM) est le premier à
être lancé pour définir le rôle des CMM lors du démarrage d'une pile.
Stacking OmniSwitch
Configuration des « Slot-Id » (ID d’emplacement)
Un commutateur utilise un Slot-Id unique dans la pile virtuelle. Ce Slot-Id peut
être :
Attribué dynamiquement en l'absence du fichier « boot.slot.cfg » (ou en cas de
conception clé en main).
Le commutateur ayant l'adresse MAC la plus basse reçoit le Slot-Id 1 et le rôle de CMM principal.
Le commutateur connecté au commutateur principal sur le port A de la pile reçoit le Slot-Id 2 et devient le CMM secondaire.
Le commutateur connecté au commutateur secondaire sur le port A de la pile reçoit le Slot-Id 3 et devient un CMM « Idle » et...
Les commutateurs sont interconnectés, mais un délai de 15 s s'écoule entre chaque démarrage
de commutateur (méthode du temps de disponibilité du châssis)
Lorsqu'ils sont attribués manuellement, les Slot-Id sont gérés commutateur par
commutateur
Tous les commutateurs démarrent simultanément, le commutateur ayant le Slot-Id 1 devient le
CMM principal...
OmniSwitch
Supervision du stacking
Contrôle du statut de la pile
Modifications
reload all(1)
Confirm Reload All (Y/N) : Y
OmniSwitch
Redémarrage de la pile ou du CMM
Réinitialisation de toute la pile en une seule fois (rappelez-vous que la pile
doit être synchronisée !)
"reload all"
Au prochain démarrage, le commutateur ayant le Slot-Id le plus bas devient le CMM principal, le
suivant devient le CMM secondaire... Mais les CMM peuvent démarrer depuis le répertoire Certified s'il
existe une différence entre les répertoires Working et Certified
Recommandations
Ne tentez jamais de faire fonctionner plus de huit commutateurs dans une
seule pile.
Vérifiez que tous les commutateurs utilisent la même version logicielle
« copy flash-synchro » doit être utilisé
Évitez de dupliquer les numéros d'emplacement enregistré
-> write-memory
Working Certified
CMM
principal
Config. courante
(Running)
Working Certified
CMM
principal
Config. courante
(Running)
Working Certified
CMM
principal
Config. courante
(Running)
Working Certified
CMM
principal
Config. courante
(Running)
Working Certified CMM
secondaire
CONFIGURATION STATUS
Running CMM : PRIMARY,
CMM Mode : DUAL CMMs,
Current CMM Slot :A
Running configuration : WORKING,
Certify/Restore Status : : CERTIFIED
SYNCHRONIZATION STATUS
Flash Between CMMs : SYNCHRONIZED,
Running Configuration : SYNCHRONIZED,
NIs Reload On Takeover : NONE
Principal
Secondaire
X
Principal
Avec conservation de l'adresse MAC
Le nouveau CMM principal utilise l'adresse Idle
MAC de l'ancien
Sec.
Configurable par l'utilisateur (désactivé par
défaut).
Idle
Un trap est envoyé pour avertir
l'administrateur d'un éventuel doublon des Idle
adresses MAC
L'utilisateur est autorisé à libérer
explicitement l'adresse MAC de base
conservée
Conservation de l'adresse MAC
Configuration de la CLI
Sommaire
1 Objectif ......................................................................................... 2
2 Informations matérielles et opération ..................................................... 2
3 Equipements/matériel requis ............................................................... 2
4 Commandes utilisées ......................................................................... 2
5 Plates-formes supportées .................................................................... 2
6 Configuration d’un châssis virtuel de deux OS 6450 ..................................... 3
6.1. Sélection du module de gestion primaire ......................................................... 3
6.2. Configuration du châssis virtuel ..................................................................... 3
6.3. Utilisation de l'adresse MAC du châssis ............................................................ 5
6.4. Utilisation des informations sur le slot enregistré ............................................... 5
6.5. Utilisation du temps de disponibilité du commutateur ......................................... 5
6.6. Collecte d'informations sur le châssis virtuel ..................................................... 6
6.7. Opérations de maintenance .......................................................................... 8
6.8. Synchronisation logicielle ............................................................................ 9
7 Test de résilience ........................................................................... 12
7.1. Perte de câble de stacking ......................................................................... 12
7.2. Perte du CMM principal ............................................................................. 12
8 Suppression de la configuration de la pile ............................................... 13
9 Résumé ....................................................................................... 13
10 Questions ..................................................................................... 13
2
Châssis virtuel (Stacking)
1 Objectif
Ce Lab a pour but de vous familiariser avec le concept de châssis virtuel. En plus de fonctionner comme un
commutateur autonome, les 6450 peuvent également être liés ensemble afin de fonctionner comme un
commutateur unique connu sous le nom de stack. Avec un stack, les utilisateurs peuvent facilement étendre
leur capacité de commutation en ajoutant tout simplement des commutateurs au stack. De plus, les stacks
fournissent une résilience accrue ainsi que des fonctions de redondance.
Les termes module, commutateur, slot et éléments sont utilisés afin d’identifier un commutateur unique
dans le stack. Les termes Chassis Management Module (CMM) et module de management font référence aux
commutateurs qui ont un rôle primaire ou secondaire dans un stack. Les 6450 ayant un rôle idle dans le stack
servent principalement d’interface réseau additionnel et on y fera référence en tant que Network Interface
(NI).
Notes
Vous ne pouvez pas mélanger des commutateurs OS6450, OS6850 et OS6250 dans la même stack – tous les
commutateurs d’une stack doivent être de la même famille mais peuvent être des modèles différents de la
même famille.
3 Equipements/matériel requis
4 Commandes utilisées
5 Plates-formes supportées
Client 5 Client 6
1/11 1/11
1/1
5 1/12 1/12
6 1/1
5 6 OS 6450P10
À ce stade, ne branchez pas les câbles de stacking sur l'un des deux commutateurs.
Lors de la configuration du câblage de la pile, gardez à l'esprit que, par défaut, le commutateur connecté au
port de stacking A du commutateur principal aura le rôle de module de gestion secondaire.
Pour éviter un passage en mode pass-through suite à un redémarrage, vérifiez que toutes les valeurs de slot
enregistrées pour les deux commutateurs sont uniques.
Avant de commencer cet exercice, supprimez les éventuelles configurations antérieures des commutateurs pour
éviter qu'un exercice précédent n'affecte les résultats. Supprimez également toutes les pré-configurations de
slot en supprimant le fichier /flash/boot.slot.cfg, puis redémarrez le commutateur. Pour l'exercice sur labo
distant, réinitialisez le pod.
Notes : Une pile de commutateurs destinée à servir de châssis virtuel doit être associée à un mécanisme
permettant de sélectionner de manière dynamique le commutateur de la pile qui assumera le rôle de module
de gestion principal. Il existe trois méthodes de sélection du commutateur principal. Ces méthodes sont les
suivantes :
- temps de disponibilité du châssis
- numéro de slot enregistré
- adresse MAC du châssis
Le numéro de slot enregistré est celui que le commutateur occupera après un redémarrage. Il est stocké dans le
fichier boot.slot.cfg du commutateur. Au démarrage, le commutateur lit ce fichier pour connaître le numéro de
slot qui lui a été attribué. Il occupe ensuite ce numéro de slot dans la pile.
Si, dans une configuration en pile, les slots de certains commutateurs n'ont pas été pré-configurés, le numéro de
slot de chaque commutateur est attribué dynamiquement par le logiciel système. Les numéros de slot peuvent
également être attribués manuellement par l'utilisateur. Cette méthode est recommandée pour le stacking.
- Sur le commutateur 6450-A, activez la liaison de stacking, définissez le numéro de slot 1, activez le mode
stacking et rechargez le commutateur :
4
Châssis virtuel (Stacking)
- Procédez de la même manière sur le commutateur 6450-B, mais avec le numéro de slot 2 :
6450-B -> interfaces 1/11-12 admin up
6450-B -> write memory
6450-B -> stack set slot 1 saved-slot 2
6450-B -> stack set slot 1 mode stackable reload
CMM in slot 2
Model Name: OS6450-10,
Description: CMM,
Part Number: 903005-90,
Hardware Revision: 08,
Serial Number: P0980781,
Manufacture Date: FEB 27 2013,
Firmware Version: n/a,
Admin Status: POWER ON,
Operational Status: SECONDARY,
Power Consumption: 0,
Power Control Checksum: 0xe489,
CPU Model Type : MV88F6281 Rev 2,
MAC Address: e8:e7:32:78:ae:ac,
Par défaut, le rôle de module de gestion principal sera donné au commutateur dont l’adresse MAC est la plus
basse sur le châssis.
Toutefois, pour que cela se produise, tous les commutateurs de la pile doivent être redémarrés à moins de
15 secondes les uns des autres. De plus, aucune information de slot ne doit être pré-configurée sur les
commutateurs de la pile (/flash/boot.slot.cfg). Du fait de ces deux conditions, la méthode de sélection du
module principal par l'adresse MAC se produit généralement avec de nouveaux commutateurs « prêts à
l'emploi ».
Le numéro de slot enregistré est celui que le commutateur occupera après un redémarrage. Ces informations
sont stockées dans le fichier boot.slot.cfg du commutateur. Au démarrage, le commutateur lit ce fichier pour
connaître le numéro de slot qui lui a été attribué. Il occupe ensuite ce numéro de slot dans la pile.
Si, dans une configuration en pile, les slots de certains commutateurs n'ont pas été pré-configurés, le numéro de
slot de chaque commutateur est attribué dynamiquement par le logiciel système. Les numéros de slot peuvent
également être attribués manuellement par l'utilisateur. Cette méthode est recommandée pour le stacking.
L'utilisateur peut contourner les méthodes utilisant l'adresse MAC et le slot enregistré pour déterminer le module
de gestion principal de la pile. Il doit pour cela contrôler le temps de disponibilité des commutateurs dans la
pile. Si tous les éléments d'une pile sont éteints, l'utilisateur peut forcer un commutateur particulier à devenir le
module principal en allumant ce commutateur et en attendant au moins 15 secondes avant d'en allumer un
autre. Cette méthode peut être utile si l'utilisateur souhaite qu'un commutateur occupant un emplacement
spécifique, par exemple le commutateur le plus haut de la pile, devienne le module principal.
De même que dans la méthode utilisant l'adresse MAC la plus basse, le numéro de slot 1 est attribué
dynamiquement au module de gestion principal lorsque la pile est démarrée.
Notes : Bien qu'il soit recommandé, pour des raisons de facilité de gestion, que les numéros de
slot soient attribués en commençant par le numéro de slot 1, ce procédé n'est pas obligatoire.
En d'autres termes, une pile de quatre commutateurs peut avoir des numéros de slot 3, 4, 5 et
6. Il est toutefois important que chaque élément d'une pile soit associé à un seul et unique
numéro de slot. N'attribuez pas un même numéro de slot à deux éléments d'une pile, auquel
cas un ou plusieurs commutateurs passeront de force en mode pass-through. Il est également
conseillé de configurer les numéros de slot de haut en bas pour faciliter la gestion.
6
Châssis virtuel (Stacking)
- Pour obtenir des informations sur des éléments matériels et logiciels du châssis virtuel, entrez les
commandes suivantes :
OS6450-A -> show hardware info
CPU Type : Marvell Feroceon,
Flash Manufacturer : Micron Technology, Inc.,
Flash size : 134217728 bytes (128 MB),
RAM Manufacturer : Nanya Technology,
RAM size : 268435456 bytes (256 MB),
Miniboot Version : 6.6.3.259.R01,
Product ID Register : 07
Hardware Revision Register : 30
FPGA Revision Register : 6
Chassis 2
Model Name: OS6450-10,
Description: 8 10/100/1000 + 2 Combo + 2 5G STK/UPLINK,
Part Number: 903005-90,
Hardware Revision: 08,
Serial Number: P0980781,
Manufacture Date: FEB 27 2013,
Admin Status: POWER ON,
Operational Status: UP,
MAC Address: e8:e7:32:78:ae:ac,
Un commutateur passe en mode pass-through après avoir tenté de rejoindre une pile et s'être fait refuser le
statut de module principal, secondaire ou inactif. Lorsqu'un commutateur est en mode pass-through, ses ports
Ethernet sont verrouillés (c'est-à-dire qu'ils ne peuvent pas laisser passer le trafic). Ses connexions par câble de
stacking restent toutefois pleinement fonctionnelles et peuvent laisser passer le trafic vers d'autres
commutateurs de la pile. Le mode pass-through offre donc un mécanisme permettant d'empêcher une rupture
du bus de stacking.
La raison la plus courante du passage d'un ou de plusieurs commutateurs en mode pass-through est l'attribution
d'un même numéro de slot à deux éléments de la pile. Pour éviter un passage en mode pass-through, il est donc
utile de noter les numéros de slot déjà attribués aux éléments de la pile. Les numéros de slot attribués sont
stockés dans le fichier boot.slot.cfg du répertoire « /flash » de chaque commutateur.
9
Châssis virtuel (Stacking)
Si la pile est démarrée et qu'un même numéro de slot a été attribué à deux ou plusieurs commutateurs, le
commutateur ayant l'adresse MAC la plus basse est autorisé à s'activer et fonctionne normalement. Dans le
même temps, les commutateurs auxquels le même numéro de slot a été attribué et ayant une adresse MAC plus
élevée s'activent en mode pass-through.
- Si nous avions redémarré les deux commutateurs, celui ayant l'adresse MAC la plus basse aurait été le
commutateur principal. Étant donné que nous avons seulement modifié la configuration du slot 2, cela ne
s'est pas produit. Pour que le commutateur en mode pass-through repasse en mode normal, nous devons
modifier à nouveau le numéro de slot et recharger la pile complète :
OS6450-A -> stack set slot 1001 saved-slot 2
OS6450-A -> reload all
Confirm Reload All (Y/N) : y
- Pour synchroniser les paramètres date et heure entre le commutateur principal et le commutateur
secondaire, entrez les commandes suivantes :
OS6450-A -> system time-and-date synchro
OS6450-A -> show system
System:
Description:Alcatel-Lucent OS6450-10 6.6.4.177.R01 GA, May 24, 2013.,
Object ID: 1.3.6.1.4.1.6486.800.1.1.2.1.12.1.1,
Up Time: 0 days 0 hours 7 minutes and 17 seconds,
Contact: Alcatel-Lucent, http://alcatel-lucent.com/wps/portal/enterprise,
Name: switch415,
Location: Unknown,
Services: 72,
Date & Time:TUE JAN 23 2001 22:24:10 (UTC)
Flash Space:
Primary CMM:
Available (bytes): 57632768,
Comments : None
12
Châssis virtuel (Stacking)
7 Test de résilience
La resilience du chassis virtuel va être testé dans le cas de la perte d’un câble de stacking et de la perte de
la CMM principale.
Branchez deux PC sur deux commutateurs (NI) différents de la pile et lancez une requête ping entre les deux PC.
Retirez l'un des câbles redondants (non disponible lors d'un exercice sur labo distant). Perdez-vous des pings ?
Vérifiez le statut des deux commutateurs et la topologie de stacking.
Lancez une requête ping entre les deux PC branchés sur des commutateurs différents. Réalisez un basculement
commutateur/CMM pendant le ping entre les PC.
- Connectez-vous au commutateur secondaire actuel :
OS6450-A -> takeover
Confirm Takeover (Y/N) :
->
13
Châssis virtuel (Stacking)
Avant de passer aux autres exercices, il est recommandé de supprimer la configuration de la pile.
- Entrez les commandes suivantes sur le commutateur principal :
OS6450-A -> stack set slot 1 standalone
OS6450-A -> stack set slot 2 standalone
OS6450-A -> rm boot.slot.cfg
9 Résumé
10 Questions
Ce module couvrira :
Le fonctionnement de l'agrégation de
liens sur des commutateurs basés sur
AOS
Comment configurer:
l'agrégation de liens statique High
Availability
l'agrégation de liens dynamique
le contrôle de l'équilibrage de charge AOS
Operating
System
Extensive Enhanced
Manageability Security
Groupes d'agrégation de liens
Présentation générale
Le lien logique peut être attribué de manière statique à n'importe quel VLAN
Le protocole 802.1q peut être configuré sur le lien agrégé logique
Groupes d'agrégation de liens
-> static agg 1/1 agg num 8 (R6) -> linkagg static port 1/1* agg 8 (R7/8)
-> static agg 1/2 agg num 8 -> linkagg static port 1/2 agg 8
-> static agg 1/3 agg num 8 -> linkagg static port 1/3 agg 8
-> static agg no 1/3 (R6) -> no linkagg static port 1/3* (R7/8)
*chassis/slot/port pour V8
Groupes d'agrégation de liens dynamique
CLI
*chassis/slot/port pour V8
Contrôle
-> show linkagg
Number Aggregate SNMP Id Size Admin State Oper State Att/Sel Ports
------+----------+--------+-----+-------------+------------+-------------
1 Static 40000001 8 ENABLED UP 2 2
2 Dynamic 40000002 4 ENABLED DOWN 0 0
3 Dynamic 40000003 8 ENABLED DOWN 0 2
4 Static 40000005 2 DISABLED DOWN 0 0
-> show linkagg port 2/1
Dynamic Aggregable Port
SNMP Id : 2001,
Slot/Port : 2/1,
Administrative State : ENABLED,
Operational State : DOWN,
Port State : CONFIGURED,
Link State : DOWN,
Selected Agg Number : NONE,
Primary port : UNKNOWN,
LACP
Actor System Priority : 10,
Actor System Id : [00:d0:95:6a:78:3a],
Actor Admin Key : 8,
Actor Oper Key : 8,
Partner Admin System Priority : 20,
Partner Oper System Priority : 20,
Partner Admin System Id : [00:00:00:00:00:00],
Partner Oper System Id : [00:00:00:00:00:00],
Partner Admin Key : 8,
Partner Oper Key : 0,
Attached Agg Id : 0,
Actor Port : 7,
Actor Port Priority : 15,
Partner Admin Port : 0,
Partner Oper Port : 0,
Partner Admin Port Priority : 0,
Partner Oper Port Priority : 0,
Actor Admin State : act1.tim1.agg1.syn0.col0.dis0.def1.exp0,
Actor Oper State : act1.tim1.agg1.syn0.col0.dis0.def1.exp0,
Partner Admin State : act0.tim0.agg1.syn1.col1.dis1.def1.exp0,
Partner Oper State : act0.tim0.agg1.syn0.col1.dis1.def1.exp0
Contrôle de l'équilibrage de charge
Groupes d'agrégation de liens
Contrôle du hachage (hash control)
Deux algorithmes de hachage Mode « court »
disponibles Source N° de lien
Mode « court » : Addresse
N° de lien
Modes de hachage par défaut
Plateforme Mode de hachage par défaut
9000/9000E Étendu Port UDP/TCP
Sommaire
1 Objectif ......................................................................................... 2
2 Agrégation de liens ........................................................................... 2
3 Equipement/matériel requis ................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Suppression de la configuration ............................................................. 2
7 Configuration .................................................................................. 3
7.1. Agrégation statique .................................................................................... 3
7.2. Agrégation dynamique ................................................................................ 6
8 Résumé ......................................................................................... 7
9 Questions ....................................................................................... 7
2
Agrégation de liens
1 Objectif
Ce lab a pour but de vous familiariser avec les liens d’agrégation. Deux OmniSwitch sont nécessaires pour ce
lab; utilisez n’importe quelle combinaison de commutateurs.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER AVEC UN AUTRE GROUPE!
2 Agrégation de liens
L’agrégation de liens permet de combiner plusieurs ports physiques en un port logique afin d’ajouter de la
bande passante ainsi que de la redondance; l’agrégation peut être réalisée statiquement en utilisant
OmniChannel ou dynamiquement en utilisant le protocole IEEE 802.3ad (LACP).
3 Equipement/matériel requis
Deux OmniSwitches de n’importe quel type (OS6900, OS6850, OS6450)
Deux PCs
4 Commandes associées
show linkagg, static linkagg, static agg [slot/port],
show linkagg port, lacp linkagg # size #,
lacp agg [slot/port] actor admin key #
5 Plates-formes supportées
Toutes
6 Suppression de la configuration
Avant de commencer ce lab, supprimez le fichier boot.cfg dans le repertoire Working sur tous les
commutateurs et redémarrez afin que les labs precedents n’influent pas sur le résultat de ce lab (ou
alors, faites un reset du pod sur le le remote lab):
-> rm /working/boot.cfg
-> reload working no rollback-timeout (R6)
-> reload from working no rollback-timeout (R7)
3
Agrégation de liens
7 Configuration
Labo distant
A Agrégation de liens A
Client 1 EMP Client 2
EMP
192.168.10.101 192.168.10.102
1/1 2/1 2/1 1/1
2 2/2 2/2 3
192.168.10.1 192.168.10.2 Client 4
Client 3
192.168.10.103
A A 192.168.10.104
1/22 1/22
1/1 1/23 1/23 1/1
4 1/24 1/24
5
192.168.10.3 192.168.10.4
- Définissez un agrégat de liens statique ainsi que sa taille sur les DEUX commutateurs, en entrant :
-> static linkagg 5 size 2 (R6)
-> linkagg static agg 5 size 2 (R7)
Dans cet exemple, 5 représente l’identifiant de l’agrégat et 2 est le nombre maximum de ports
dans l’agrégat.
- Vérifiez ce que vous avez fait jusqu'ici. Notez que l'état est défini sur DOWN.
-> show linkagg
Min
Number Aggregate SNMP Id Size Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+----+------------+--------------+-------------
5 Static 40000005 2 1 ENABLED DOWN 0 0
-> show linkagg 5 (R6)
-> show linkagg agg 5 (R7)
Static Aggregate
SNMP Id : 40000005,
Aggregate Number : 5,
SNMP Descriptor : Omnichannel Aggregate Number 5 ref 40000005 size 2,
Name : ,
4
Agrégation de liens
- Ajoutez des ports à votre agrégat en entrant : static agg [slot/port] agg num # (R6) or linkagg static port
[slot/port] agg # (R7),
-> static agg 1/23 agg num 5 (R6)
-> static agg 1/24 agg num 5 (R6)
-> linkagg static port 2/1-2 agg 5 (R7)
Dans cet exemple, les ports 1/23 et 1/24 ont été ajoutés à l’agrégat 5 sur le commutateur 6850
et les ports é/1 et 2/2 ont été ajoutés à l’agrégat 5 sur le commutateur 6900.
- Voyons ce que nous avons accompli. (Notez ces informations pour les comparer aux résultats que vous
obtiendrez lorsque vous connecterez vos commutateurs et répéterez ces étapes.)
-> show linkagg
Min
Number Aggregate SNMP Id Size Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+----+------------+--------------+-------------
5 Static 40000005 2 1 ENABLED DOWN 0 2
Static Aggregate
SNMP Id : 40000005,
Aggregate Number : 5,
SNMP Descriptor : Omnichannel Aggregate Number 5 ref 40000005 size 2,
Name : ,
Admin State : ENABLED,
Operational State : DOWN,
Aggregate Size : 2,
Aggregate Min-Size : 1,
Number of Selected Ports : 2,
Number of Reserved Ports : 2,
Number of Attached Ports : 0,
Primary Port : NONE
- Connectez maintenant vos commutateurs via les ports de l'agrégat de liens 5, ou affichez l'interface
correspondante sur le labo distant (dans l'exemple ci-dessus, 1/23 du commutateur 1 au 1/23 du
commutateur 2, et 1/24 du commutateur 1 au 1/24 du commutateur 2.))
- En utilisant les commandes apprises précédemment, comparez les résultats :
-> show linkagg
Min
Number Aggregate SNMP Id Size Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+----+------------+--------------+-------------
5 Static 40000005 2 1 ENABLED UP 2 2
Aggregate Number : 5,
SNMP Descriptor : Omnichannel Aggregate Number 5 ref 40000005 size 2,
Name : ,
Admin State : ENABLED,
Operational State : UP,
Aggregate Size : 2,
Aggregate Min-Size : 1,
Number of Selected Ports : 2,
Number of Reserved Ports : 2,
Number of Attached Ports : 2,
Primary Port : 1/24
- Testez votre configuration à l'aide d'un test ping. En d'autres termes, envoyez une requête ping à tous vos
routeurs et PC depuis la session de la console et depuis chaque PC.
- Pour connaître les capacités de redondance, supprimez un lien et contrôlez les résultats de vos tests ping.
- Nous allons maintenant procéder à un exercice de configuration similaire en utilisant la norme IEEE
802.3ad (LACP). Avant de poursuivre, supprimez le groupe d'agrégation de liens statique que vous avez
créé. Vous pouvez soit réinitialiser votre commutateur sur les valeurs d'usine par défaut, soit supprimer ce
groupe manuellement.
- Notez que vous ne pouvez pas supprimer un groupe d'agrégation de liens si des ports lui sont toujours
associés :
-> no static linkagg 5 (R6)
ERROR: LAERR53 Static aggregate not empty deletion failed
-> no linkagg static agg 5 (R7)
ERROR: Static aggregate not empty deletion failed
Vérifiez que les groupes d'agrégation de liens sont supprimés sur les deux commutateurs comme décrit ci-
dessus. Il est inutile de débrancher physiquement les connexions pour passer au prochain exercice de ce cas
pratique.
6
Agrégation de liens
- Nous définirons tout d'abord un agrégat de liens dynamique, appelé 5 comme précédemment, avec 2 ports
maximum.
-> lacp linkagg 5 size 2 actor admin key 5 (R6)
-> linkagg lacp agg 5 size 2 actor admin-key 5 (R7)
- Contrairement aux agrégats de liens statiques, pour lesquels les ports sont associés physiquement au
numéro d’agrégat de liens, les ports sont associés à un agrégat de liens dynamique à l'aide de la clé
« actor admin key » (clé admin de l'acteur). Bien que dans l'exemple ci-dessus l'« actor admin key » soit
identique au numéro de l’agrégat de liens, cette similitude n'est pas une obligation étant donné que la clé
admin à une signification locale uniquement.
-> show linkagg
Min
Number Aggregate SNMP Id Size Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+----+------------+--------------+-------------
5 Dynamic 40000005 2 1 ENABLED DOWN 0 0
- Notez qu'aucun port n'est associé à l’agrégat. À l'aide de l'« actor admin key » attribuée à l'agrégat de
liens, nous allons maintenant associer les ports :
-> lacp agg slot/port actor admin key 5 (R6)
-> linkagg lacp port slot/port actor admin-key 5 (R7)
-> show linkagg
Min
Number Aggregate SNMP Id Size Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+----+------------+--------------+-------------
5 Dynamic 40000005 2 1 ENABLED UP 2 2
- Testez votre configuration à l'aide d'un test ping. En d'autres termes, envoyez une requête ping à tous vos
routeurs et PC depuis la session de la console et depuis chaque PC.
- Pour connaître les capacités de redondance, supprimez un lien (ou affichez les interfaces) et contrôlez les
résultats de vos tests ping.
7
Agrégation de liens
8 Résumé
Ce lab vous a initié à l’agrégation de liens sur les OmniSwitch. L’agrégation de liens vous permet
des grouper plusieurs ports physiques dans un lien logique. Ce lien logique peut être utilisé pour
augmenter la bande passante d’une connexion principale.
9 Questions
1. Quelle commande est utilisée pour ajouter un port 5/10 à un agrégat de liens dynamique 7 ?
2. Quelle commande est utilisée pour consulter l'état d'un agrégat de liens particulier ?
3. Les clés « actor admin key » doivent-elles obligatoirement être identiques aux deux extrémités du lien
physique ?
802.1Q ET AGREGATION DE LIENS
Sommaire
1 Objectif ......................................................................................... 2
2 802.1Q et aggregation de liens .............................................................. 2
3 Equipement/matériel requis ................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Supprimer la configuration .................................................................. 2
7 Configuration .................................................................................. 3
7.1. Création d’un VLAN supplémentaire ............................................................... 4
7.2. Agrégation de liens - Dynamique .................................................................... 4
7.3. Configuration 802.1Q.................................................................................. 5
8 Résumé ......................................................................................... 6
9 Questions ....................................................................................... 6
2
802.1Q et agrégation de liens
1 Objectif
Ce lab vous permet de vous familiariser avec le 802.1Q sur des liens d’agrégation. Deux OmniSwitch vont être
utilisés; utilisez n’importe quelle combinaison de switch.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER AVEC UN AUTRE GROUPE!
3 Equipement/matériel requis
Deux OmniSwitches de n’importe quel type (OS6900, OS6850, OS6450)
Deux PCs
4 Commandes associées
show linkagg, static linkagg, static agg [slot/port],
show linkagg port, lacp linkagg # size #,
lacp agg [slot/port] actor admin key #, show linkagg,
static linkagg, static agg [slot/port],
show linkagg port, lacp linkagg # size #,
lacp agg [slot/port] actor admin key #
5 Plates-formes supportées
Toutes
6 Supprimer la configuration
Avant de commencer le lab, supprimez le fichier boot.cfg du repertoire Working sur tous les commutateurs et
redémarrez afin que les labs precedents n’influent pas sur les resultants de ce lab:
-> rm /working/boot.cfg
-> reload working no rollback-timeout (R6)
-> reload from working no rollback-timeout (R7)
3
802.1Q et agrégation de liens
7 Configuration
Labo distant
A 802.1Q et agrégation de liens A
Client 1 Client 2
EMP EMP
192.168.10.101 192.168.10.102
1/1 2/1 2/1 1/1
2 2/2 2/2 3
192.168.10.1 192.168.10.2
Client 3 Client 4
A
192.168.10.103 192.168.10.104
A
1/22 1/22
1/1 1/23 1/23 1/1
4 1/24 1/24
5
192.168.10.3 192.168.10.4
1/8 1/8
2 3 OS 6900T A A
4 5 OS 6850E
6 6 OS 6450
- Identifiez vos deux commutateurs. Sur chaque commutateur, créez une interface de routeur virtuel pour
le VLAN 1 avec une adresse IP 192.168.10.X/24, où X représente le numéro du commutateur utilisé :
-> ip interface “int_1” address 192.168.10.X/24 vlan 1
Branchez un PC sur un port VLAN 1 de chaque commutateur. N'oubliez pas de configurer vos PC pour le sous-
réseau VLAN 1, c'est-à-dire de leur attribuer des adresses IP dans le sous-réseau 192.168.10.0/24.
Interconnectez vos commutateurs ou affichez les interfaces correspondantes.
4
802.1Q et agrégation de liens
- Vous devez disposer d'une connectivité au PC de votre voisin avec le VLAN 1. Pour le vérifier, entrez une
commande ping sur le PC. Il s'agit du VLAN bridgé.
- Créez maintenant deux VLAN supplémentaires, le VLAN 11 et le VLAN 12, et attribuez-leur des interfaces
IP. Le VLAN 11 utilisera le sous-réseau 192.168.11.0.24 et le VLAN 12 le sous-réseau 192.168.12.0/24.
Entrez les commandes suivantes sur chaque commutateur : (remplacez X par votre numéro de
commutateur)
-> vlan 11-12
-> ip interface int_11 address 192.168.11.X vlan 11
-> ip interface int_12 address 192.168.12.X vlan 12
À ce stade, vous devez être en mesure d'envoyer une requête ping aux DEUX interfaces IP VLAN 1 depuis l'un
des PC, mais vous NE pouvez PAS envoyer de requête ping à L'UNE des interfaces VLAN 11 ou VLAN 12.
Pourquoi ?
Vous ne pouvez pas envoyer de requête ping à l'une des interfaces VLAN 11 ou VLAN 12 puisque nous n’avons
pas encore de membres dans ces VLAN. Modifiez le VLAN par défaut du PC 2 pour le définir sur VLAN 11 (ainsi
que la configuration IP du PC 2). Vous devez désormais être en mesure d'envoyer une requête ping à
l'interface IP 192.168.11.2 ainsi qu'à l'interface IP 192.168.10.2.
Bien que nous puissions utiliser aussi bien un agrégat de liens statique que dynamique, nous utiliserons la
configuration dynamique dans ce cas pratique puisqu'il s'agit du standard de l'industrie.
- Nous définirons tout d'abord un agrégat de liens appelé 5, prenant en charge 2 ports maximum, comme
réalisé précédemment dans l'exercice du cas pratique Agrégation de liens :
-> lacp linkagg 5 size 2 actor admin key 5 (R6)
-> linkagg lacp agg 5 size 2 actor admin-key 5 (R7)
Nos tests ping doivent être identiques aux précédents étant donné que les VLAN supplémentaires ne sont pas
encore associés à nos ports d'agrégat de liens.
En règle générale, trois liaisons physiques sont nécessaires pour obtenir la connectivité de couche L2 entre
les deux commutateurs pour l'ensemble des trois VLAN. Nous allons cependant configurer le taggage 802.1Q
pour transporter des données provenant des trois VLAN sur un seul groupe d'agrégation de liens.
- Vous constatez que le groupe d'agrégation de liens transporte des données tagguées des VLAN 11 et 12.
Vous disposez désormais d’une connectivité totale entre le PC et n'importe quel autre PC et toutes les
interfaces de routeur.
- Voyez ce qu'il se passe si vous modifiez l'adresse IP de votre PC et la déplacez vers le VLAN 11 ou 12, et si
vous envoyez une requête ping à toutes les interfaces IP. Avant d'effectuer cette procédure sur votre
commutateur, n'oubliez pas de déplacer le port auquel votre PC est connecté dans le VLAN approprié.
6
802.1Q et agrégation de liens
8 Résumé
Ce lab vous a initié à l’agrégation de liens sur les OmniSwitch. L’agrégation de liens vous permet
des grouper plusieurs ports physiques dans un lien logique. Ce lien logique peut être utilisé pour
augmenter la bande passante d’une connexion principale.
9 Questions
1. Quelle commande est utilisée pour ajouter un port 5/10 à un groupe d'agrégation de liens
dynamique 7 ?
2. Quelle commande est utilisée pour consulter l'état d'un agrégat de liens particulier ?
3. Quelle commande est utilisée pour déterminer à quel port un VLAN est associé ?
6. Lorsque du trafic traverse un agrégat de liens configuré avec le 802.1Q, est-il bridgé ? Routé ? Les
deux ?
OmniSwitch AOS R6/R7/R8
Ce module couvrira:
La mise en œuvre du Spanning Tree
sur des commutateurs basés sur AOS
Modes STP
Protocoles STP
Comment mettre en œuvre : High
Availability
les modes 1x1 et FLAT
les protocoles Spanning Tree AOS
Operating
System
802.1D/802.1w Extensive
Manageability
Enhanced
Security
Objectif
Empêcher la formation de boucles dans le réseau
Permettre une reconfiguration automatique en cas de modification de la
topologie
X X
Liaison active
Liaison en veille
Spanning Tree
Paramètres
Modes
Mode Flat – une instance Spanning Tree par commutateur
Mode 1x1 – une instance Spanning Tree par VLAN (par défaut)
Les connexions multiples entre des commutateurs sont considérées comme des
chemins redondants, même si elles sont configurées dans différents VLAN.
Les paramètres STP sont configurés pour le VLAN 1.
Les ports fixes (non taggués) et taggués 802.1Q sont pris en charge dans chaque
VLAN.
BPDU toujours non tagguée
Lorsque vous passez du mode Spanning Tree 1x1 au mode Flat, les ports conservent
leurs associations aux VLAN, mais sont inclus dans une instance Spanning Tree unique
qui couvre tous les VLAN.
vlan1 vlan1
vlan2 X vlan2
vlan3 X vlan3
Spanning Tree
Mode 1X1
Une instance STP unique est activée pour chaque VLAN configuré sur le
commutateur.
vlan1 vlan1
vlan2 vlan2
vlan3 vlan3
Spanning Tree
Protocoles
Protocoles
Algorithme et protocole Spanning Tree (STP) standard 802.1D
Algorithme et protocole Rapid Spanning Tree (RSTP) 802.1w (par défaut)
MSTP (Multiple Spanning Tree Protocol) 802.1s
Protocole RRSTP (Ring Rapid Spanning Tree Protocol)
X 5 états de port
Disabled (désactivé)
Blocking (blocage)
20 sec
État opérationnel État du port STP Port actif ?
Activé Blocking Non
Listening (écoute)
15 sec
Activé Listening Non
Activé Learning Oui Learning
Activé Forwarding Oui (apprentissage) 15 sec
Désactivé Disabled Non
Forwarding // Blocking
Spanning Tree Protocol
IEEE 802.1D
Forwarding
3 états de port
Disabled (désactivé) État opérationnel État du port Port actif ?
RSTP
Blocking (blocage) Activé Learning Oui
Forwarding // Discarding
Rapid Spanning Tree Protocol
802.1w
Alternate Port (port alternatif) - Offre un autre chemin vers le Root Bridge
en cas de panne du Root Port sur son propre bridge.
PPC (Port Path Cost) 16 bits PPC (Port Path Cost) 32 bits
If path_cost=0 If path_cost=0
Vitesse de Valeur IEEE recom. - 16 bits Vitesse de Valeur IEEE recom. - 32 bits
la liaison la liaison
10 Mbits/s 100 10 Mbits/s 2,000,000
100 Mbits/s 19 100 Mbits/s 200,000
1 Gbit/s 4 1 Gbit/s 20,000
10 Gbits/s 2 10 Gbits/s 2,000
->bridge path cost mode auto ->bridge path cost mode 32bit
->spantree path-cost-mode auto ->spantree path-cost-mode 32bit
Per VLAN Spanning tree
PVST+
PVST+ PVST+
Propriétaire Cisco
-> bridge port {slot/port | agg_num} pvst+ {auto | enable | disable} (R6)
-> spantree pvst+compatibility {port slot/port* | linkagg linkagg_id}
{enable | disable | auto} (R7/8)
*chassis/slot/port pour R8
Par défaut, un port est configuré en mode auto PVST+ sur un OmniSwitch (V6)
Spanning Tree
Valeurs par défaut
Remarques
Sommaire
1 Objectif ......................................................................................... 2
2 Spanning Tree.................................................................................. 2
3 Equipement/Matériel requis ................................................................. 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Configuration .................................................................................. 3
6.1. Configuration STP ...................................................................................... 3
6.2. Spanning Tree mode 1x1 ............................................................................. 6
6.3. Spanning Tree mode Flat ............................................................................. 6
6.4. Convergence Spanning Tree – 802.1d .............................................................. 7
6.5. Convergence Spanning Tree – 802.1w .............................................................. 9
6.6. Multiple Spanning Tree ............................................................................. 10
7 Résumé ....................................................................................... 13
8 Test ........................................................................................... 13
2
Arborescence “Spanning Tree”
1 Objectif
Ce lab est conçu pour vous familiariser avec les options du Spanning Tree Protocol (STP) sur
l’OmniSwitch. Deux OmniSwitch doivent être utilisés pour comprendre ce principe, n’importe
quelle combinaison de commutateur peut fonctionner.
2 Spanning Tree
Le Spanning Tree Protocols (STP) est un concept important pour comprendre les réseaux
commutes. Nous allons discuter des différentes configurations STP, incluant le STP simple vs
multiple, le STP rapide et le 802.1s.
3 Equipement/Matériel requis
Deux OmniSwitches de n’importe quel type (OS9xxx, OS6850, OS6450 ou OS6250)
Un PC
4 Commandes associées
show spantree, show spantree <vid> port, show spantree port forward, show spantree port
block, bridge mode, , bridge <vid> mode, vlan stp, bridge msti, bridge cist
5 Plates-formes supportées
Toutes
3
Arborescence “Spanning Tree”
6 Configuration
Labo distant
A A Spanning Tree
EMP EMP Client 2
Client 1
1/1 2/1 2/1
3
1/1
2 2/2 2/2
Client 3 Client 4
A A
1/22 1/22
1/1 1/23 1/23 1/1
4 1/24 1/24
5
Client 5 Client 6
1/11 1/11
1/1
6 1/12 1/12
6 1/1
1/8 1/8
2 3 OS 6900T A A
4 5 OS 6850E
6 6 OS 6450P10
Le Spanning Tree peut être configuré de différentes manières en fonction de la configuration du réseau.
Certaines commandes STP courantes seront présentées dans la première section.
Pour s'assurer que de précédents exercices n'affecteront pas celui-ci, rétablissez les valeurs d'usine par
défaut des commutateurs ou réinitialisez le pod :
-> rm /flash/working/boot.cfg
-> reload working no rollback-timeout
- Bridgez deux OmniSwitch avec au moins deux câbles. Sur le labo distant, activez les interfaces associées.
Dans les exemples ci-dessous, nous avons utilisé les ports 1/23-24.
-> show spantree 1 (R6)
-> show spantree vlan 1 (R7)
Spanning Tree Parameters for Vlan 1
Spanning Tree Status : ON,
Protocol : IEEE Rapid STP,
mode : 1X1 (1 STP per Vlan),
Priority : 32768 (0x8000),
Bridge ID : 8000-00:e0:b1:6b:31:58,
Designated Root : 8000-00:d0:95:e4:2b:48,
Cost to Root Bridge : 4,
Root Port : Slot 1 Interface 23,
Next Best Root Cost : 4,
Next Best Root Port : Slot 1 Interface 24,
TxHoldCount : 3,
Topology Changes : 2,
4
Arborescence “Spanning Tree”
Vous obtenez les paramètres STP du VLAN 1 configurés. Notez le mode (1X1), qui signifie que chaque VLAN
exécute un STP distinct. Notez également les paramètres Bridge ID et Designated Root. S'ils sont identiques,
votre commutateur est le Root Bridge (bridge racine) du VLAN 1.
Votre commutateur est-il le Root Bridge ?
-
Dans le cas contraire, où se trouve le Root Bridge ?
-
Dans la capture d'écran ci-dessus, ce commutateur n'est pas le Root Bridge. Le Root Bridge, dans cet
exemple, est à un coût de chemin de 4, sur l'emplacement 1 port 23. Puisque nous savons que le Gigabit
Ethernet, par défaut, possède un coût de chemin de 4, nous pouvons en déduire que le Root Bridge est le
voisin en amont de ce port. Si le coût de chemin était de 8, nous aurions pu en déduire que le Root Bridge
était 2 sauts plus loin (en supposant des configurations par défaut) sur le port 1/23.
Notes : Nous pouvons également déduire de la capture ci-dessus que notre STP est
relativement stable, que 12 heures se sont écoulées depuis la dernière modification de la
topologie (Topology Age) et que la topologie n'a été modifiée que 2 fois.
Par défaut, la priorité du bridge est définie sur 32768 (0x8000). Puisque toutes les priorités sont identiques
par défaut, le commutateur ayant l'adresse MAC la plus basse est désigné comme Root Bridge.
-----+------+------------+---------+-------+-----------+---------
1 1/24 BLK 4 ALT DIS
Les commandes ci-dessus permettent d'afficher le statut et les paramètres de chaque port, ainsi que les ports
en mode Forwarding et ceux en mode Blocking. Si votre commutateur n'est pas le Root Bridge, vous devez
avoir au moins un port en mode Blocking pour empêcher une boucle. Notez également qu'un seul côté de la
ou des liaisons dispose d'un port en mode Blocking, ce qui permet aux voisins de conserver la possibilité
d'initier une modification de la topologie en cas de défaillance.
Qu'est-ce qui détermine le côté de la liaison ayant un port Blocking ?
-
Notez également que des données transitent entre les commutateurs ; il s'agit de l'échange BPDU entre les
commutateurs.
- Affichez les calculs statistiques sur les ports Forwarding (lancez la commande plusieurs fois pour voir
l'incrément du décompte des paquets) :
-> show interfaces 1/23
Slot/Port 1/23 :
Operational Status : up,
Last Time Link Changed : FRI DEC 14 11:09:09 ,
Number of Status Change: 1,
Type : Ethernet,
SFP/XFP : Not Present,
MAC address : 00:e0:b1:6b:31:70,
BandWidth (Megabits) : 1000, Duplex : Full,
Autonegotiation : 1 [ 1000-F 100-F 100-H 10-F 10-H ],
Long Frame Size(Bytes) : 9216,
Rx :
Bytes Received : 122952, Unicast Frames : 11,
Broadcast Frames: 93, M-cast Frames : 1688,
UnderSize Frames: 0, OverSize Frames: 0,
Lost Frames : 0, Error Frames : 0,
CRC Error Frames: 0, Alignments Err : 0,
Tx :
Bytes Xmitted : 8900, Unicast Frames : 11,
Broadcast Frames: 2, M-cast Frames : 113,
UnderSize Frames: 0, OverSize Frames: 0,
Lost Frames : 0, Collided Frames: 0,
Error Frames : 0
- Branchez un PC sur chaque commutateur et configurez une interface IP pour le VLAN 1 (remplacez x par
votre numéro de commutateur) :
- Depuis le PC, commencez à envoyer des requêtes ping en continu sur l'interface de routeur du
commutateur voisin :
c:\ ping -t 192.168.10.1
Une fois que votre requête ping a abouti, retirez le branchement permettant le transfert entre les deux
commutateurs. Notez à quelle vitesse le Rapid STP récupère suite à une panne de liaison. Regardez à
nouveau les commandes précédentes.
En utilisant les paramètres de configuration déjà définis, créez un VLAN supplémentaire et déplacez un port
dans ce VLAN. Vous verrez comment le mode 1X1 fonctionne sur un OmniSwitch.
- Entrez les commandes suivantes (sur les deux commutateurs) : (remplacez slot/port par le 2nd port
connectant vos OmniSwitch)
-> vlan 2
-> vlan 2 port default slot/port (R6)
-> vlan 2 members port slot/port untagged (R7)
-> show spantree 2
-> show spantree 2 ports
Notez que le commutateur exécute un STP différent pour chaque VLAN, en raison d'un mode bridge défini sur
1X1, ou d'un STP différent pour chaque VLAN. Même s'il existe deux connexions physiques entre les
commutateurs, la connexion n'est jamais interrompue étant donné que chacun est dans un domaine VLAN et
STP différent. Simultanément à l'exécution de votre précédent test ping, débranchez le câble du port du
VLAN 2 entre les commutateurs. Vous remarquerez que cela n'a aucun effet sur l'état Spanning Tree du
VLAN 1.
Rebranchez le câble et passez à l'étape suivante de l'exercice.
L'OmniSwitch peut être lancé en mode Single STP ou en mode Flat. Le mode Flat ignore toutes les
informations VLAN et considère la totalité du commutateur comme un domaine STP unique.
Un message vous indique qu'un STP unique est configuré sur le châssis. Lors d'un fonctionnement en mode
Flat, le commutateur ne permettra des modifications du STP que sur le VLAN 1.
Notez que le port du VLAN 2 est en mode Blocking et affiché comme un port bridge 1 même s'il se trouve
dans un VLAN distinct. En mode Flat, il n'existe qu'une seule instance STP, par conséquent, même si les deux
ports sont dans des VLAN différents, le STP les voit comme un seul domaine STP.
Le protocole Fast STP permet au commutateur de passer en mode Forwarding presque immédiatement en
cas de modification de la topologie STP. Dans la section précédente de ce cas pratique, vous avez
déterminé la vitesse à laquelle la convergence STP se produisait lors de l'exécution du protocole Rapid STP
par défaut. La différence majeure entre les protocoles STP IEEE 802.1d et 802.1w est la vitesse à laquelle la
convergence se produit.
8
Arborescence “Spanning Tree”
- Pour constater cette différence, repassez le STP en mode 1X1 et revenez au protocole STP 802.1d :
Notez que le VLAN 1 est associé au protocole STP IEEE 802.1D STP et que le VLAN 2 est associé au protocole
Rapid STP IEEE 802.1w, ce qui prouve que vous pouvez combiner les protocoles sur un même commutateur.
Nous n'avons actuellement aucune boucle dans notre réseau. Ajoutons un port pour chaque VLAN entre les
commutateurs, de sorte à avoir deux ports connectant les commutateurs sur le VLAN 1 et deux ports
connectant le commutateur sur le VLAN 2 (ce qui revient à assigner un VLAN 1 Tag au port qui est par défaut
sur le VLAN 2, et un VLAN 2 Tag au port qui est par défaut sur le VLAN 1). Notez que les requêtes ping
transmises par votre PC se sont interrompues lorsque vous avez ajouté le 2 nd port au VLAN 1. Notez
également le temps qu'il a fallu au port pour reprendre le transfert. Rappel : à chaque modification physique,
le protocole STP doit refaire converger le réseau.
9
Arborescence “Spanning Tree”
- Avant de poursuivre, déterminez quel port est en mode Forwarding et quel port est en mode Blocking sur
le Non-Root Bridge.
-> show spantree ports blocking
Testez maintenant le temps de basculement lors d'un fonctionnement en mode STP 802.1d standard :
- Lancez une requête ping continue depuis les PC.
- Notez le temps nécessaire à la requête ping pour reprendre. Il doit être d'environ 30 secondes lors de la
reconfiguration du STP 802.1d.
Le protocole Fast (ou Rapid) Spanning - 802.1w - peut réduire de manière considérable le temps nécessaire
au STP pour faire converger le réseau.
Modifiez le protocole utilisé et effectuez le même test. Rebranchez les deux liaisons physiques du VLAN.
Notez le protocole actuellement utilisé. Notez également les nouvelles valeurs des paramètres Next Best
Root Cost et Port. Testez le temps de convergence comme dans l'étape précédente :
- Notez le peu de temps nécessaire à la requête ping pour reprendre. C'est l'un des avantages du protocole
Rapid STP.
10
Arborescence “Spanning Tree”
L'IEEE 802.1s est une norme IEEE permettant de configurer plusieurs instances STP sur le commutateur. Son
fonctionnement est similaire à celui du mode 1X1, mais elle permet d'attribuer plusieurs VLAN à une seule
instance STP.
Avant de commencer, rétablissez les valeurs d'usine par défaut de vos commutateurs afin qu'aucune action
effectuée précédemment ne modifie les résultats. Si vous ne vous rappelez plus de la procédure à suivre,
demandez de l'aide à votre formateur.
Les commandes ci-dessus permettent de passer le commutateur en mode Flat, de configurer un nom de
région Multiple STP et un niveau de révision, et enfin d'activer le protocole IEEE MSTP. Les modes 1X1 et
MSTP ne peuvent pas être configurés en même temps ; et le commutateur doit être configuré en mode Flat
Spanning Tree.
Notez les valeurs du paramètre Cost to Root Bridge dans l'exemple ci-dessus. Le Multiple STP utilise une
valeur de coût de chemin de 32 bits que l'on peut comparer à la valeur de coût de chemin de 16 bits utilisée
par défaut par les protocoles 802.1d/802.1w.
11
Arborescence “Spanning Tree”
Pour utiliser le protocole 802.1s, créez des VLAN 2 à 10 sur les deux commutateurs et tagguez-les en utilisant
une liaison physique unique.
Entrez/effectuez ce qui suit : (remplacez « X » par l'ID VLAN)
- Connectez les OmniSwitch avec une seule liaison physique.
- Vérifiez maintenant la manière dont fonctionne le 802.1s avec l'instance Single STP par défaut
uniquement, appelée « Common and Internal Spanning Tree » (CIST) :
-> show spantree cist
Spanning Tree Parameters for Cist
Spanning Tree Status : ON,
Protocol : IEEE Multiple STP,
mode : FLAT (Single STP),
Auto-Vlan-Containment: Enabled ,
Priority : 32768 (0x8000),
Bridge ID : 8000-00:e0:b1:6b:31:58,
CST Designated Root : 8000-00:d0:95:e4:2b:48,
Cost to CST Root : 0,
Next CST Best Cost : 0,
Designated Root : 8000-00:d0:95:e4:2b:48,
Cost to Root Bridge : 20000,
Root Port : Slot 1 Interface 24,
Next Best Root Cost : 0,
Next Best Root Port : None,
TxHoldCount : 3,
Topology Changes : 1,
Topology age : 00:03:40,
Current Parameters (seconds)
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Parameters system uses when attempting to become root
System Max Age = 20,
System Forward Delay = 15,
System Hello Time = 2
Vous constatez que tous les VLAN appartiennent à l'instance CIST, que l'instance CIST est créée par défaut et
que tous les VLAN du commutateur sont associés par défaut à cette instance.
- Créez maintenant 2 instances STP supplémentaires et associez-leur les VLAN appropriés. Entrez les
commandes suivantes :
-> bridge msti 1 (R6)
-> spantree msti 1 (R7)
-> bridge msti 2 (R6)
-> spantree msti 2 (R7)
-> bridge msti 1 vlan 1-5 (R6)
12
Arborescence “Spanning Tree”
Notez que les VLAN 1 à 10 ont été supprimés du CIST et associés à une MSTI (Multiple Spanning Tree Instance)
comme configuré ci-dessus. Vérifiez maintenant le Root Bridge des MSTI.
- Entrez les commandes suivantes : (remplacez slot/port par la connexion physique du commutateur)
-> show spantree mst port 1/24 (the slot/port # interconnecting the switches)
MST Role State Pth Cst Edge Boundary Op Cnx Loop Guard Note Vlans
-----+------+-----+--------+----+--------+------+----------+------+-----
0 DESG FORW 20000 NO NO PTP DIS
1 DESG FORW 20000 NO NO PTP DIS 1-5
2 DESG FORW 20000 NO NO PTP DIS 6-10
Notez que les deux MSTI ont le même Root Bridge. L'équilibre des charges peut être obtenu en modifiant la
priorité d'une des MSTI.
Vous constatez que le commutateur prend le rôle de Root Bridge pour la MSTI 1 et tous les VLAN qui lui sont
associés. Entrez également la valeur de la priorité.
13
Arborescence “Spanning Tree”
Rappelez-vous, dans le Multiple Spanning Tree, la priorité de bridge est la valeur attribuée au paramètre
« Bridge Priority » PLUS la valeur de l'instance MSTI. Dans cet exemple, nous avons configuré le MST 1 avec
une priorité de bridge de 4096, la priorité de bridge est donc désormais de 4097 (4096 + 1).
7 Résumé
Ce lab vous a initié aux opérations STP sur un OmniSwitch. Le STP peut être configure en mode
flat ou multiple. Le STP multiple est utile dans un environnement avec de multiples VLANs afin
que chaque VLAN ai sa propre instance STP. Le mode bridge est utilisable pour le 802.1d ou
802.1w pour de meilleurs temps de convergence. Finalement, le 802.1s est utilisé pour autoriser
de multiples instances STP.
8 Test
4. À quel moment est-il approprié d'exécuter un Spanning Tree simple sur un commutateur entier ?
5. Quelle est la configuration Spanning Tree par défaut de votre commutateur ? (Entourez les réponses
correctes)
Interfaces IP
Objectifs du module
Vous apprendrez comment configurer les
paramètres IP d'un commutateur
OmniSwitch AOS.
Interface de routeur IP
Paramètres facultatifs
Interface client DHCP
Interface Loopback0
High
Multinetting AOS
Operating
System
Extensive Enhanced
Manageability Security
INTERFACE DE ROUTEUR IP
Interface VLAN IP - CLI
Création d'un nouveau VLAN avec un ID VLAN (VID) défini
La description du nom est facultative
-> vlan vid [enable | disable] [name description] (R6)
-> vlan vid admin-state {enable | disable} name description (R7/8)
-> ip interface if_name [address ip_address] [mask subnet_mask] [admin [enable | disable]]
[vlan vid] [forward | no forward] [local-proxy-arp | no local-proxy-arp] [eth2 | snap] [primary | no
primary]
Forward (transfert)
L'interface envoie des trames IP à d'autres sous-réseaux
Par défaut
Primary (principale)
Défini l'interface IP comme l'interface principale du VLAN
Par défaut, la première interface liée à un VLAN devient l'interface principale de ce VLAN
Interface VLAN IP
Fonction Local-proxy-arp
-> ip interface name [address ip_address] [mask subnet_mask] [admin [enable |
disable]] [vlan vid] [forward | no forward] [local-proxy-arp | no local-proxy-arp]
[eth2 | snap] [primary | no primary]
ARP normal
Permet à l'administrateur réseau de Ext proxy ARP
configurer la fonction proxy sur le
commutateur
Local Proxy ARP
ARP
Commutateur B
Fonction activée par VLAN
ARP
Commutateur Commutateur
Toutes les requêtes ARP reçues A C
sur les ports membres du VLAN
génèrent une réponse incluant
l'adresse MAC du port du routeur IP
virtuel du VLAN.
PC 1 PC 2
192.168.10.101 192.168.10.102
Interface VLAN IP
Fonction Local-proxy-arp
Commandes de la fonction « Proxy ARP »
-> ip interface name [address ip_address] [mask subnet_mask] [vlan vid]
[local-proxy-arp | no local-proxy-arp]
Pour identifier une interface Loopback0, entrez Loopback0 comme nom d'interface
-> ip interface Loopback0 address 100.10.1.1
Création de l'interface annoncée automatiquement par les protocoles RIP et OSPF
(pas par le protocole BGP)
Utilisation
RP (Rendez-Vous Point) dans PIMSM
Adresse IP agent sFlow
IP source de l'authentification RADIUS
Client NTP
Échange de trafic BGP
ID de routeur OSPF
Identification du commutateur et des traps depuis une station NMS (c'est-à-dire OmniVista)
Possibilité pour les applications de choisir l'adresse IP de
l'interface/Loopback0
Les applications pourront choisir l'adresse IP de l'interface source
N'importe quelle adresse IP d'interface/ loopback
Pour le VRF en particulier, basé sur une commande spécifique de l'application
Telnet Interface de sortie OUI - Peut être initiée dans n'importe quel VRF
FTP Interface de sortie NON - Ne peut être initiée que dans le VRF par défaut
SSH Interface de sortie OUI - Peut être initiée dans n'importe quel VRF
Inclut scp sftp
TFTP Interface de sortie NON - Ne peut être initiée que dans le VRF par défaut
Relais DHCP
Possibilité de transférer des paquets
Serveur Client
DHCP/BootP entre les VLAN DHCP DHCP
Relais DHCP
DHCP par VLAN
-> ip helper address <Server Addr>
LAN
Plusieurs DHCP par VLAN
130.1.1.1
-> ip helper address <address1> <address2> vlan <id> VLAN 3
Client Client
DHCP DHCP
Relais de port UDP générique
Relais pour ports de service UDP génériques
En d'autres termes, NBNS/NBDD, d'autres ports de service UDP connus (« well-
known »), et des ports de service qui ne sont pas connus (« not well-known »)
*V7/8
Multinetting
Possibilité d'attribuer plusieurs sous- Re-numérotation du sous-réseau lors de
réseaux IP à un même VLAN la transition
8 sous-réseaux maximum par VLAN (V6)
Davantage d'hôtes dans un domaine de
16 sous-réseaux maximum par VLAN (V7/8) broacast que l'adressage ne le permet
Possibilité de routage entre des Serveur multi-homed sur un seul port
interfaces multi-netted du commutateur
Protocoles de routage dynamique pris en
charge sur les interfaces multi-netted Sous-réseau IP VLAN
Protocole VRRP pris en charge 192.168.10.0/24
Listes ACL prises en charge 192.168.11.0/24
Relais UDP/DHCP pris en charge
VLAN 10
Le trafic broadcast émanant d’un sous-
réseau sera vu par les utilisateurs dans Interface « Sales »
différents sous-réseaux
192.168.10.1
Interface « Marketing »
192.168.11.1
Le trafic broadcast du réseau 192.168.10.0 sera vu par les utilisateurs du réseau 192.168.11.0.
MULTINETTING
Sommaire
1 Objectif ......................................................................................... 2
2 Multinetting .................................................................................... 2
3 Equipement Requis............................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Configuration .................................................................................. 3
6.1. Configuration VLAN .................................................................................... 3
6.2. Routage .................................................................................................. 3
7 Résumé ......................................................................................... 5
8 Questions ....................................................................................... 5
2
Multinetting
1 Objectif
Ce lab va vous initier à la function Multinetting sur les OmniSwitch. Le multinetting permet la création de
multiples interfaces IP sur un seul VLAN. Trois OmniSwitch sont requis afin d’effectuer ce lab, utilisez
n’importe quel type de commutateurs.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER AVEC UN AUTRE GROUPE!
2 Multinetting
Dans ce lab, vous allez utiliser le CLI pour créer de multiples interfaces IP pour un VLAN. Du routage RIP sera
également utilisé.
Ce lab, comme tout autre lab utilisant du niveau 3, implique des connaissances basiques sur le produit
OmniSwitch. Comme les commandes permettant la création de VLANs, l’association de ports à des VLANs et
la création d’interfaces IP virtuelles. Référez vous aux labs précédents ou au guide CLI pour plus
d’informations.
3 Equipement Requis
Trois OmniSwitches (OS6900, OS685x, OS6450 ou OS6250)
Trois PCs
4 Commandes associées
ip interface <name> address <ip_address> vlan <vid>
5 Plates-formes supportées
Toutes
3
Multinetting
6 Configuration
Client 1/2
Labo distant
192.168.10. Multinetting
A 1
192.168.11.
EMP 1/1
1 1 Réseau d'administration
Client 3/4 3 4 VLAN 1
1/3 1/7
2 3 OS 6900T
4 5 OS 6850E
192.168.10. 6 6 OS 6450
3
192.168.13.
1/1 1/3 1/7
3 1/5 1/5
5 61
VLAN A 6
1/22 1/1
1/8
A A 192.168.10.
5 Client 5/6
192.168.15.
5
Pour s'assurer que de précédents exercices n'affecteront pas celui-ci, rétablissez les valeurs d'usine par
défaut des commutateurs ou réinitialisez le pod : VLAN 1
-> rm /flash/working/boot.cfg
-> reload working no rollback-timeout
- Sur chaque commutateur, entrez les commandes suivantes : (remplacez X par votre numéro de
commutateur)
ALL-> ip interface int_1 address 192.168.10.X vlan 1
ALL-> ip interface int_1_1 address 192.168.1X.X vlan 1
6.2. Routage
- Afin d'avertir les autres réseaux, activez le RIP sur l'interface 192.168.10.X et créez une route-map pour
4
Multinetting
répartir les routes (n'oubliez pas de remplacer « X » par votre numéro de commutateur) :
6900 -> ip load rip
6900 -> ip rip admin-state enable
6900 -> ip rip interface int_1
6900 -> ip rip interface int_1 admin-state enable
6900 -> ip route-map switchXrip sequence-number 10 action permit
6900 -> ip redist local into rip route-map switchXrip admin-state enable
- Maintenant que le RIP a été activé et que le filtre adéquat a été configuré, les routes de votre voisin
commencent à apparaître. Depuis votre PC, envoyez une requête ping aux autres interfaces IP. Vous devez
être en mesure de communiquer en routant le trafic entre les différents sous-réseaux IP, même si ces
derniers se trouvent sur le même VLAN.
7 Résumé
Ce Lab vous a initié à la function Multinetting. Le multinetting permet de créer à de multiples interfaces IP
d’être associées à un même VLAN. Mais le traffic doit quand même être routé d’un sous-réseau IP à l’autre.
8 Questions
1. Le trafic broadcast envoyé sur le réseau 192.168.10.0 est-il visible sur le réseau 192.168.1#.0?
2. Les deux interfaces ayant été associées au VLAN 1, pourquoi le protocole RIP devait-il être activé ?
3. Que change le Multinetting au concept selon lequel le VLAN est un domaine de broadcast ?
OMNISWITCH AOS R6/R7/R8
Routage IP
Objectifs du module
Vous apprendrez des solutions
alternatives pour mettre en œuvre un
routage IP de base disponible sur les
commutateurs OmniSwitch AOS.
Routage statique et options associées
Avantages de l'utilisation du protocole RIP
dans un réseau OmniSwitch
Configuration de base High
Availability
Supervision
AOS
Operating
System
Extensive Enhanced
Manageability Security
FONDAMENTAUX DU ROUTAGE STATIQUE ET
DYNAMIQUE
Routage statique versus routage dynamique
Routes statiques
Saisies manuellement par l'administrateur réseau
À chaque modification de la topologie réseau, l'administrateur doit mettre les routes
à jour
Les routes statiques ont toujours la priorité sur les routes dynamiques
Adaptées aux environnements dans lesquels le trafic réseau est relativement
prévisible et dans lesquels la conception du réseau est relativement simple.
Par défaut, les routes statiques sont prioritaires sur les routes dynamiques
Le nombre limite de sauts est de 15 (16 est considéré comme inatteignable pour
empêcher les boucles)
RIP I (RFC-1058)
Un seul masque pour tous les sous-réseaux d'un réseau
Mises à jour envoyées en broadcast
RIP II (RFC-1723)
Transporte des informations supplémentaires sur le masque de sous-réseau
Transporte des informations de routage vers le saut suivant
Mises à jour transmises comme en multicast (224.0.0.9)
Prend en charge l'authentification
Limites RIP
Diamètre maximal de réseau = 15.
Les mises à jour régulières incluent la totalité de la table de routage toutes les
30 secondes environ
Convergence faible
RIPv1
Les mises à jour sont envoyées en broadcast
Routage « Classful » qui ne transporte pas la longueur du préfixe dans les mises à jour
Pas de mécanisme d'authentification
RIP - Commandes CLI
Configuration minimale
Redistribution nécessaire
Seules les routes RIP apprises et l'interface Loopback0 sont annoncées
par défaut.
Les routes locales doivent être redistribuées.
name
----------------+-----+------------+----------+----------------
30.30.30.1 30 enabled enabled 5/5(0)
RIP/RIP2
Sommaire
1 Objectif ......................................................................................... 2
2 RIP/RIP2 ........................................................................................ 2
3 Equipement/matériel requis ................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Configuration .................................................................................. 3
6.1. Activation du RIP ....................................................................................... 3
6.2. Configuration des interfaces RIP .................................................................... 5
6.3. Vérification du Backbone ............................................................................. 6
6.4. Distribution des routes ................................................................................ 7
7 Fonctionnalités RIP avancé .................................................................. 9
7.1. Mise à jour RPI en utilisant V1 et V2 ............................................................... 9
7.2. Métriques .............................................................................................. 10
7.3. Authentification RIP - Simple ...................................................................... 11
8 Résumé ....................................................................................... 12
9 Questions ..................................................................................... 12
2
RIP/RIP2
1 Objectif
Ce lab introduit la notion de RIP/RIP2 sur les OmniSwitch. Celà comprend le chargement du RIP et
l’activation de la version 1 ou 2. Trois OmniSwitch vont être utilisés; n’importe quelle combinaison de
commutateur peut être utilisée.
CELA SIGNIFIE QUE VOUS ALLEZ DEVOIR TRAVAILLER AVEC UN AUTRE GROUPE!
2 RIP/RIP2
Ce lab introduit la notion de protocole de routage RIP/RIP2. Nous allons également discuter des tables de
routage et comment les afficher.
Ce lab, comme les autres labs de niveau 3, implique une bonne connaissance des produits OmniSwitch. Des
commandes spécifiques comme la création de VLANs, associer des ports à des VLANs et créer des interfaces
IP ne seront pas listées. Référez vous aux labs précédents ou au guide CLI si nécessaire.
3 Equipement/matériel requis
Trois OmniSwitch de n’importe quel type (OS9xxx, OS6850, OS6450 ou OS6250)
Trois PCs
4 Commandes associées
show ip rip, ip load rip, ip rip, show ip routes
IP rip status enable
5 Plates-formes supportées
Toutes
3
RIP/RIP2
6 Configuration
Labo distant
RIP/RIP2 Int_101
192.168.101.1
A VLAN 101
EMP 1/1 1 Réseau d'administration
3 4
1/3 1/7
2 3 OS 6900T
Int_X 4 5 OS 6850E
Int_103 192.168.10.X
192.168.103.3 VLAN 1 6 6 OS 6450
VLAN 103
1/3 1/7
1/5 1/5 1/1 Int_105
5 6 A 6 192.168.105.5
1/22 1/1 1/8 VLAN 105
A A
Client 3/4 Client 5/6
Cet exercice porte sur les protocoles de routage RIP et RIP 2. Si un commutateur est démarré sans aucun
protocole de routage activé, il faut commencer par charger les protocoles de routage dans la mémoire et les
activer avant de les configurer.
Pour s'assurer que de précédents exercices n'affecteront pas celui-ci, rétablissez les valeurs d'usine par
défaut des commutateurs ou réinitialisez le pod :
-> rm /flash/working/boot.cfg
-> reload working no rollback-timeout
- Lorsque les commutateurs ont terminé leur cycle de démarrage, configurez les paramètres du VLAN 1 et
interconnectez les commutateurs. Vérifiez que vous disposez d'une connectivité de base de couche 2
avant de poursuivre. Comme dans les autres exercices, remplacez X par votre numéro de commutateur.
N'oubliez pas d'activer tous les ports nécessaires (uplink et clients).
Loopback0 = 10.X.X.X
VLAN 1 :
Interface IP = int_1
Adresse IP = 192.168.10.X/24 (X = votre numéro de commutateur)
Ports par défaut = All
- Une fois que votre connectivité L2 entre tous les commutateurs est satisfaisante, chargez le kernel RIP et
activez le protocole RIP :
-> show ip rip
4
RIP/RIP2
- Notez que le statut du protocole RIP est toujours « Disabled ». L'étape suivante consiste à activer le
protocole lui-même.
R6-> ip rip status enable
R7-> ip rip admin-state enable
- Nous avons chargé le protocole RIP, mais nous devons encore l'attribuer à des interfaces IP. Utilisez les
commandes RIP permettant d'afficher le statut (rappelez-vous du « ? ») :
La prochaine étape de la configuration consiste à activer le RIP sur nos interfaces IP virtuelles.
5
RIP/RIP2
Les commandes ci-dessus ont activé le RIP sur l'interface 192.168.10.1 appelée « int_1 ».
Notez la version RIP envoyée et reçue par défaut.
Les commandes ci-dessus ont activé le RIP sur l'interface 192.168.10.3 appelée « int_1 ».
Notez la version RIP envoyée et reçue par défaut.
Les commandes ci-dessus ont activé le RIP sur l'interface 192.168.10.5 appelée « int_1 ».
Notez la version RIP envoyée et reçue par défaut.
- Étant donné que nous avons déjà interconnecté les commutateurs lors des étapes précédentes, nous
devons voir le RIP commencer à interagir avec ses voisins (notez que le résultat variera légèrement en
fonction de votre station) :
6900-> show ip rip routes
Legends: State: A = Active, H = Holddown, G = Garbage
Destination Gateway State Metric Proto
---------------+-----------------+----+------+------
10.1.1.1/32 +10.1.1.1 A 1 Redist
10.3.3.3/32 +192.168.10.3 A 2 Rip
7
RIP/RIP2
- Notez l'affichage des adresses Loopback0 de vos voisins apprises via le RIP. Les adresses Loopback0 seront
toujours annoncées, même s'il n'y a aucun utilisateur sur le commutateur ; aucune re-distribution de route
n'est nécessaire. Un VLAN doit être associé pour être actif et annoncé.
- Prenez note du nombre de mises à jour envoyées et reçues et de la valeur de l'attribut secs since last
update (nombre de secondes depuis la dernière mise à jour). Dans l'exemple ci-dessus, le 6900 devrait
recevoir une autre mise à jour du 6450 dans 3 secondes (rappel : la temporisation de mise à jour par
défaut du RIP est de 30 s), et 8 secondes avant, recevoir une mise à jour du commutateur 2.
- Créons davantage de VLAN pour que nos tables de routes contiennent plus que des routes locales. Créons
un VLAN 101, adresse IP 192.168.101.1/24 sur le commutateur 6900, un VLAN 103,
adresse IP 192.168.103.3/24 sur le 6850E et un VLAN 105, adresse IP 192.168.105.5/24 sur le 6450.
6900-> vlan 101
6900-> ip interface int_101 address 192.168.101.1/24 vlan 101
6900-> show ip interface
Name IP Address Subnet Mask Status Forward Device
-------------------+---------------+---------------+------+-------+--------
EMP 10.4.5.1 255.255.255.0 UP NO EMP
EMP-CMMA 0.0.0.0 0.0.0.0 DOWN NO EMP
Loopback 127.0.0.1 255.255.255.255 UP NO Loopback
Loopback0 10.1.1.1 255.255.255.255 UP YES Loopback0
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
int_101 192.168.101.1 255.255.255.0 DOWN NO vlan 101
8
RIP/RIP2
- Étant donné que le VLAN 10X ne contient aucun membre sur les différents commutateurs, le statut de
l'interface IP est défini sur DOWN. Dans cet exercice, nous allons tagguer ce VLAN sur le port client déjà
activé.
6900-> vlan 101 members port 1/1 tagged
6900-> show ip interface
Total 6 interfaces
Name IP Address Subnet Mask Status Forward Device
------------------+---------------+---------------+------+-------+--------
EMP 10.4.5.1 255.255.255.0 UP NO EMP
EMP-CMMA 0.0.0.0 0.0.0.0 DOWN NO EMP
Loopback 127.0.0.1 255.255.255.255 UP NO Loopback
Loopback0 10.1.1.1 255.255.255.255 UP YES Loopback0
int_1 192.168.10.1 255.255.255.0 UP YES vlan 1
int_101 192.168.101.1 255.255.255.0 UP YES vlan 101
- Vous ne voyez que les réseaux locaux de vos VLAN pour le moment. Pour que les routes non apprises via le
RIP soient annoncées, elles doivent être redistribuées. Activons la redistribution des routes locales sur les
trois commutateurs. Rappel : les protocoles de routage annonceront uniquement les routes apprises via le
RIP. Si une route est apprise via un autre protocole ou que certaines sont locales ou statiques, une
redistribution des routes est nécessaire. (Remplacez X par votre numéro de commutateur)
6900-> ip route-map switchXrip sequence-number 10 action permit
6900-> ip redist local into rip route-map switchXrip admin-state enable
Dans cet exemple, switchXrip est un alias de l'énoncé « route-map ». Nous avons donc ajouté une
commande de redistribution à cet alias pour redistribuer toutes les routes locales dans le RIP.
6900-> show ip rip routes
Legends: State: A = Active, H = Holddown, G = Garbage
Destination Gateway State Metric Proto
------------------+-----------------+----+------+------
10.1.1.1/32 +10.1.1.1 A 1 Redist
10.3.3.3/32 +192.168.10.3 A 2 Rip
10.5.5.5/32 +192.168.10.5 A 2 Rip
192.168.10.0/24 +192.168.10.1 A 1 Redist
192.168.101.0/24 +192.168.101.1 A 1 Redist
- Les autres commutateurs sont affichés comme des paires et leurs interfaces de routeur VLAN 1 sont
affichées comme des passerelles vers leurs autres VLAN.
- Envoyez une requête ping à toutes les interfaces de routeur de tous les commutateurs depuis le
commutateur OmniSwitch et vos PC pour tester la connectivité.
- Les commandes ci-dessus ont activé la redistribution des routes locales uniquement. Nous aurions pu
utiliser une commande « ip access-list » pour définir des routes spécifiques à redistribuer. Reportez-vous
aux Manuels d'utilisation pour plus de détails. Des commandes supplémentaires ont été incluses pour
afficher des paires RIP et la base de données de routage.
- Par défaut, le RIP est configuré pour accepter aussi bien les mises à jour RIP v1 que RIP v2, et recevoir des
paquets RIP v2. Le RIP v2 acceptera les mises à jour du RIP v1, mais le RIP v1 n'acceptera pas les mises à
jour du RIP v2. Sur le commutateur 1, modifions l'interface RIP et configurons-la pour recevoir des
paquets RIP v1. Saisissez les commandes suivantes sur le commutateur 1 UNIQUEMENT.
6900-> ip rip interface int_1 recv-version v1
- Après 180 secondes environ, le commutateur 1 voit les métriques des routes passer à 16, ce qui signifie
qu'elles sont inaccessibles. Les routes expireront peu de temps après. Le commutateur 2 et le
commutateur 3 envoient en effet des paquets RIP v2 et le RIP v1 n'acceptera pas les paquets RIP v2.
Regardons les tables des commutateurs 2 et 3. Notez qu'elles voient toujours le commutateur 1.
- Configurez maintenant le commutateur 1 pour accepter aussi bien le RIP v1 que le RIP v2 sur l'interface.
6900-> ip rip interface int_1 recv-version both
7.2. Métriques
- Les métriques peuvent être configurées manuellement pour le RIP. Vérifions la métrique actuelle du
réseau 192.168.103.0 sur les commutateurs 6900 et 6450. Entrez la commande suivante sur le 6850 :
6850E-> show ip router database
Legend: + indicates routes in-use
* indicates BFD-enabled static route
r indicates recursive static route, with following address in brackets
- La commande ci-dessus indique que le commutateur 2 ajoutera une métrique de 5 à toutes les routes
apprises sur l'interface « int_1 ». Vérifiez la métrique actuelle pour le voir.
6850E-> show ip router database
Legend: + indicates routes in-use
* indicates BFD-enabled static route
r indicates recursive static route, with following address in brackets
---------------------+---------------+------------+--------+-------+--+-
+ 10.0.0.0/24 10.4.5.254 admin STATIC 1 0
+ 10.1.1.1/32 192.168.10.1 int_1 RIP 6 0
+ 10.3.3.3/32 10.3.3.3 Loopback0 LOCAL 1 0
+ 10.4.5.0/24 10.4.5.3 admin LOCAL 1 0
+ 10.5.5.5/32 192.168.10.5 int_1 RIP 6 0
+ 127.0.0.1/32 127.0.0.1 Loopback LOCAL 1 0
+ 192.168.10.0/24 192.168.10.3 int_1 LOCAL 1 0
+ 192.168.101.0/24 192.168.10.1 int_1 RIP 6 0
+ 192.168.103.0/24 192.168.103.3 int_103 LOCAL 1 0
L'authentification peut être configurée sur les interfaces exécutant le protocole RIP V2. On obtient alors un
certain niveau de sécurité contre les routes injectées et même les configurations accidentelles.
- Vérifiez la table de routage sur tous les commutateurs ; les routes doivent être supprimées une fois leur
durée de validité expirée.
6850E-> show ip rip peer
Total Bad Bad Secs since
IP Address Recvd Packets Routes Version last update
----------------+------+-------+------+-------+-----------
192.168.10.1 87 2 0 2 15
192.168.10.5 76 2 0 2 1
- Vous recevez maintenant des paquets incorrects du commutateur 2 étant donné que l'authentification
n'est pas activée sur tous les commutateurs. Entrez les commandes suivantes sur les commutateurs 6900
et 6450 :
6900-> ip rip interface int_1 auth-type simple
6900-> ip rip interface int_1 auth-key alcatel
6450-> ip rip interface int_1 auth-type simple
12
RIP/RIP2
- Vous recevez maintenant des mises à jour RIP valides étant donné que l'authentification est configurée
correctement sur tous les commutateurs.
8 Résumé
Ce lab introduit la notion de protocole de routage de base RIP/RIP2.
Le protocole RIP peut être utilisé dans des petits réseaux afin de diffuser les informations de
routage.
9 Questions
1. Quelle commande doit-être exécutée avant de pouvoir activer le RIP sur une interface ?
4. Quelle commande permet de redistribuer un seul sous-réseau IP plutôt que la totalité des routes
locales ?
5. Quels sont les problèmes liés à l'exécution simultanée des RIPv1 et RIPv2 ?
Le VLAN RPM doit être configuré sur les commutateurs source, de destination
et intermédiaire
Aucun autre trafic n'est autorisé sur ce VLAN
Commutateur
de destination
Mise en miroir basée un port. Elle peut être appliquée au trafic entrant ou
sortant ou aux deux.
policy action mirror
Avec la règle r1, tous les paquets ayant une adresse IP source 1.1.1.1 seront mis en miroir en
entrée et en sortie sur le port 1/1.
Exemple 2
-> policy condition c1 source ip 1.1.1.1
-> policy action a2 ingress egress mirror 1/1 disposition drop
-> policy rule r2 condition c1 action a2
-> qos apply
La règle r2 abandonne le trafic entrant ayant une adresse IP source 1.1.1.1, mais le trafic de
cette source mis en miroir n'est pas abandonné et est transféré au port 1/1
OUTIL « PORT MONITORING »
Outil « Port Monitoring »
Capture les données et les stocke au format Sniffer sur le commutateur
Ports pris en charge
Ethernet, Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet
Niveau seuil
sFlow
sFlow
sFlow
sFlow
Sommaire
1 Objectif ......................................................................................... 2
2 Equipement/matériel requis ................................................................ 2
3 Commandes associées ........................................................................ 2
4 Plates-formes supportées .................................................................... 2
5 Configuration .................................................................................. 3
5.1. Outil Switch Logging ................................................................................... 3
5.2. Outil « Command Logging » .......................................................................... 5
5.3. Outil « Port Mirroring » ............................................................................... 6
5.4. Outil « Health » ........................................................................................ 6
5.5. Outil « Port Monitoring » ............................................................................. 7
5.6. RMON ..................................................................................................... 8
6 Résumé ......................................................................................... 9
7 Test ............................................................................................. 9
2
Dépannage et débogage de base
1 Objectif
Ce lab va vous présenter les outils de dépannage basiques ainsi que les outils de débogage de
l’OmniSwitch.
2 Equipement/matériel requis
Un OmniSwitch
Un PC
3 Commandes associées
swlog, show swlog, swlog appid, show health
port mirror, rmon probes, show rmon probes
4 Plates-formes supportées
Toutes
3
Dépannage et débogage de base
5 Configuration
Pour s'assurer que de précédents exercices n'affecteront pas celui-ci, rétablissez les valeurs d'usine par
défaut des commutateurs ou réinitialisez le pod :
-> rm /flash/working/boot.cfg
-> reload working no rollback-timeout
L'outil « Switch Logging » (journal du commutateur) peut être utilisé pour suivre les messages d'information
et de débogage du commutateur en fonction de la gravité définie pour un processus spécifique. Le journal
peut être configuré pour envoyer son contenu à la mémoire flash, à la console ou à un serveur externe.
L'outil « Switch Logging » est activé par défaut.
- Entrez la commande suivante :
6850E-> show swlog
Operational Status : On,
Log Device 1 : flash,
Log Device 2 : console,
Syslog FacilityID : local0(16),
Remote command-log : Disabled,
Console Display Level : info (6),
All Applications Trace Level : info (6)
Vous constatez que le journal est activé et envoie son contenu à la mémoire flash et à la console. Cela ne
signifie pas que tous les messages seront affichés sur la console : seuls les messages correspondant au niveau
de gravité défini (« informational » (6) par défaut) seront affichés. Le journal peut être désactivé si
nécessaire.
- Entrez les commandes suivantes :
6850E-> no swlog
WED OCT 23 17:54:41 : SYSTEM (75) info message:
+++ Switch Logging Facility stopped by command
La fonction journal utilise des ID d'application pour identifier le processus qui a généré le message de journal
et à quel niveau de gravité. Consultez le Manuel d'utilisation pour obtenir une liste des processus et les
niveaux de gravités associés. Par défaut, tous les processus sont définis sur un niveau de gravité de 6, c'est-à-
dire « informational », comme indiqué ci-dessus. Tous les messages de journal sont stockés dans les fichiers
swlog*.log et peuvent être affichés directement sur le commutateur (Remarque : la commande « more » est
très utile pour les résultats dans ce format. Essayez avec le paramètre par défaut « more » désactivé puis
activé).
- Entrez les commandes suivantes :
6850E-> more
6850E-> show log swlog
Displaying file contents for '/flash/swlog1.log'
4
Dépannage et débogage de base
Application ID Level
--------------------+----------------
IP ( 15) debug3 (9)
La commande ci-dessus a passé l'application IP à un niveau debug 3, qui est le niveau le plus documenté.
Depuis un PC, envoyez une requête ping à l'interface de routeur de n'importe quel VLAN du commutateur, ou
à n’importe quelle adresse IP, pour générer des paquets IP.
- Des informations de débogage doivent défiler à l'écran et désigner le commutateur ayant reçu un paquet
ARP. Des informations supplémentaires sur l'emplacement/port auquel le PC est connecté doivent
également s’afficher. Redéfinissez le niveau sur « info » :
6850E-> swlog appid ip level info
5
Dépannage et débogage de base
Comme dans l'outil « Switch Logging », les commandes saisies sur le commutateur OmniSwitch peuvent être
inscrites dans un fichier journal. Elles peuvent donc être consultées ultérieurement pour voir les
modifications apportées. Il s'agit d'un outil très utile, en particulier lorsque vous apportez des modifications
à vos configurations.
Command : no vlan 11
UserName : admin
Date : WED OCT 23 18:00:10
Ip Addr : console
Result : SUCCESS
Command : vlan 12
UserName : admin
Date : WED OCT 23 18:00:07
Ip Addr : console
Result : SUCCESS
Command : vlan 11
UserName : admin
Date : WED OCT 23 18:00:05
Ip Addr : console
Result : SUCCESS
Les commandes que vous avez saisies sont maintenant affichées à l'écran avec des informations sur l'heure et
le support de la saisie, par exemple une console ou une session TELNET.
6
Dépannage et débogage de base
L'outil « Port Mirroring » peut être configuré pour copier le trafic d'un ou plusieurs ports vers un autre port.
Le port de destination doit normalement être connecté à un analyseur de trafic. Créons une session de mise
en miroir pour copier le trafic d'un port à un autre.
- Entrez les commandes suivantes :
6850E-> port mirroring 1 source 1/2 destination 1/1
Utilisez le « ? » pour afficher des paramètres supplémentaires. Notez que seul le trafic entrant ou sortant
peut être capturé le cas échéant.
La fonction « Health » peut être utilisée pour collecter des informations de base sur l'état du commutateur,
par exemple sur l’utilisation de la CPU et de la mémoire, ou sur le trafic.
6850E-> show health
* - current value exceeds threshold
Device 1 Min 1 Hr 1 Hr
Resources Limit Curr Avg Avg Max
-----------------+-------+------+------+-----+----
Receive 80 01 01 01 01
Transmit/Receive 80 01 01 01 01
Memory 80 53 53 52 53
Cpu 80 29 23 21 100
L'outil « Port Monitoring » permet de capturer du trafic envoyé à /depuis un port et de le stocker dans le
répertoire /flash au format « .enc » (ou Sniffer). Les données sont stockées par défaut dans un fichier
appelé pmon.enc, qui peut être modifié. Le fichier peut ensuite être transféré sur le commutateur et
étudié en détails à l'aide d'un analyseur de trafic. Il est également possible d'afficher les résultats
directement sur la console ou sur une session Telnet.
- Connectez votre PC à un emplacement et à un port quelconques du commutateur.
6850E-> port monitoring 1 source 1/1 enable
ERROR: Source port 1001 is part of other session or monitoring
Notez que lorsque nous avons tenté d'activer la supervision du port 1/1 source, nous avons reçu un message
d'erreur. Précédemment dans cet exercice, nous avons activé l’outil « Port Mirroring » pour ce port, et un
port ne peut appartenir qu'à une seule session à la fois.
Un message signale que l'écriture du fichier de capture est terminée. Les données sont stockées dans un
fichier appelé pmonitor.enc dans le répertoire /flash.
- Entrez les commandes suivantes :
6850E-> ls
Listing Directory /flash:
5.6. RMON
La fonction « Remote Monitoring » peut être utilisée pour collecter des statistiques et les afficher dans
OmniVista ou d'autres packages NMS.
6850E-> show rmon probes
6 Résumé
Ce lab vous a présenté les outils de dépannage et de débogage de l’OmniSwitch.
7 Test
1. Quelle est la commande utilisée pour afficher le journal du commutateur ?
2. Est-ce que la mise en miroir de port permet de capturer le trafic entrant et sortant au format Sniffer ?
3. Sur quelle plateforme l'outil « Port Monitoring » est-il actuellement pris en charge ?
Quelle est la commande permettant de capturer uniquement des paquets entrants ou sortants à l'aide de
l'outil « Port Monitoring » ?
OMNISWITCH AOS R6/R7/R8
Qualité de service
Objectifs du module
Ce module couvrira :
Comment mettre en œuvre la Qualité de
service (QoS) et les fonctions associées sur
un commutateur basé sur AOS
Présentation générale
Paramètres globaux par défaut de la QoS
Configuration de la QoS et des ports
Stratégies QoS (Policies) High
Availability
Conditions et actions de la QoS
Configuration automatique de la QoS AOS
Operating
System
Supervision de la QoS Extensive
Manageability
Enhanced
Security
QoS - Présentation générale
La qualité de service (QoS) désigne la qualité de la transmission et des services disponibles,
mesurée et parfois garantie par avance pour un type de trafic donné dans un réseau.
Fréquemment définie comme un outil de gestion de la bande passante
La condition
Classe le flux L’Action
Détermine de quelle manière
les paquets sont mis en file d'attente
Paquet
entrant
E
N
Moteur de transfert
Action
-
T Classification de paquets
Ê
T
E
Classificateur (base de données des stratégies)
Condition Action
---- ----
Obtient les stratégies de : L2
----
(source et dest) ----
MAC, Vlan, Définition des priorités, structure de la
CLI slot/port, Inter typ bande passante
Webview ou Filtrage IPMS Filtrage ICMP
PolicyView Définition des priorités ICMP, limitation
L3
---- ---- de débit ICMP
Marquage et mappage 802.1p/ToS/DSCP
Maintient les tables QoS
Règles, L3/L4 Policy Based Routing (PBR) pour
Actions, SIP, DIP, réacheminer le trafic routé
Conditions, TCP, UDP, IP proto
Port TCP/UDP source Mise en miroir basée sur des règles
Services,
Groupes Port TCP/UDP de dest. Filtrage avancé des couches 2 à 4
Équilibrage du trafic serveur
QoS
Spécifications
Files d’attente prioritaires par défaut
8 files d'attente CoS par port de sortie
802.1p/TOS utilisé pour sélectionner les files d'attente
Mode « Strict priority » pour la planification
Maximum
Conditions = 2048
Actions = 2048
Règles
2048 (6400/6850/6855)
1400 (6250)
Mise en file d'attente
Destination locale
Le paquet ne traverse pas la Fabric
Le paquet va sur une des 8 files d'attente
CoS du port de destination C
PLANIFICATEUR
o
DE SORTIE
s
MMU
MAC
MAC
TLU
Destination distante Q
u
Le paquet va sur une des 8 files d'attente e
s
CoS
PLANIFICATEUR
o
DE SORTIE
s
Sélectionne les files d'attente en se basant
MMU
MAC
MAC
TLU
Q
sur les mesures de congestion suivantes : u
e
Strict Priority s
Refuse les trames au niveau du port d'entrée si le port de sortie est congestionné (en
fonction de la priorité)
En d'autres termes, si la longueur de file d'attente au niveau du port de sortie dépasse la limite
définie
=> Évite de gaspiller la bande passante de la fabric pour des trames qui seraient
abandonnées à la sortie
=> Les trames destinées à des ports non congestionnés ne sont pas abandonnées
Configuration d'une valeur minimale et maximale de bande passante pour chacune des files d'attente de sortie CoS sur le
port spécifié
-> qos port 2/10 q7 minbw 2k q7 maxbw 10k
CONFIGURATION DES STRATÉGIES QOS
QoS
Types de stratégie
Access Guardian
• Profil UNP
QoS
802.1p / ToS / DSCP
• Marquage Routage basé
• Horodatage sur les stratégies
• Trafic routé redirigé
Filtrage
• Listes ACL couche 2 Structure miroir
et couche 3/4 basée sur les stratégies
• Trafic miroir basé sur
les stratégies QoS
Règles de stratégie QoS
Configuration
-> policy rule rule_name [enable | disable] [precedence precedence] [condition condition] [action action]
[validity period name | no validity period] [save] [log [log-interval seconds]] [count {packets | bytes}]
[trap | no trap] [default-list | no default-list]
Paquet
entrant
Action
Classification de paquets
s'applique au trafic sortant
classe le trafic entrant
Condition Action
Règle de stratégie
-> policy validity period vp01 hours 13:00 to 19:00 days monday friday
-> policy rule r1 validity period vp01
Configure la période de validité de la règle r1
Action
Classification de paquets
s'applique au trafic sortant
classe le trafic entrant
Condition Action
Les flux doivent également être conformes à tous les paramètres configurés dans
une condition
Une condition doit avoir au moins un paramètre de classification.
Définition des stratégies
Stratégies par défaut
Actions
Horadatage / Non Oui N/A Oui Oui Oui Non Oui Oui
Mappage
BP max (%) Non Oui Oui N/A Oui Oui Non Oui Oui
Redirection de Non Oui Oui Oui N/A Non Non Oui Oui
port
Redirection / Non Oui Oui Oui Non N/A Non Oui Oui
Agrégat de liens
Désactivation de Non Non Non Non Non Non N/A Non Non
port
Adresse IP de Non Oui Oui Oui Oui Oui Non N/A Oui
passerelle
permanente
Mise en miroir Oui Oui Oui Oui Oui Oui Non Oui N/A
Définition des stratégies - Définition des priorités et mappage
des files d'attente
Classification de paquets
???????
Priorité ????
Condition
Si un paquet correspond à une règle QoS qui spécifie une valeur de priorité
la priorité de sortie du paquet est définie à l'aide de la valeur contenue dans la règle
Stratégies de sortie
Groupées dans une liste de stratégies (policy list) de type « egress »
Même règle autorisée dans les listes de stratégies d'entrée et de sortie
Par défaut, une règle est traitée comme une stratégie d'entrée
-> policy list list_name type [unp | egress] rules rule_name [rule_name2...] [enable | disable]
Applique la liste des règles au trafic sortant sur les ports QoS
-> policy list eggress1 type egress rules rule1 rule2 rule3
QoS
Vérifier les stratégies
Affichage du nombre réel de correspondances aux règles configurées
->show active policy rules
Policy From Prec Enab Act Refl Log Trap Save Def Matches
R1 cli 0 Yes Yes No No Yes Yes Yes 2
(L2/3): C1 -> QoS_Action1
R2 cli 0 Yes Yes No No Yes Yes Yes 0
(L2/3): C2 -> QoS_Action1
R3 cli 0 Yes Yes No No Yes Yes Yes 0
(L2/3): C3 -> QoS_Action1
Plateformes OS6400/OS685X/OS9000
Pour capturer des statistiques par port
-> qos port 1/1 monitor -> show qos queue 1/9
Slot/ Q Bandwidth Packets
Activé automatiquement sur le commutateur Port VPN No Pri Wt Min Max Xmit Drop Type
OmniSwitch 6855-U24X ou 9000E -----+----+--+---+--+-----+-----+---------+---------+----
1/9 8 0 0 - - - 0 0 PRI
1/9 8 1 1 - - - 0 0 PRI
Statistiques de réinitialisation de 1/9 8 2 2 - - - 0 0 PRI
1/9 8 3 3 - - - 0 0 PRI
files d'attente de port 1/9 8 4 4 - - - 0 0 PRI
1/9 8 5 5 - - - 0 0 PRI
-> qos stats reset egress 1/9 8 6 6 - - - 0 0 PRI
-> qos stats interval 1/9 8 7 7 - 2K 10K 0 0 PRI
CONFIGURATION AUTOMATIQUE DE LA QOS
QoS automatique sur des applications vocales Alcatel-Lucent
Si tu vois un téléphone
Alcatel-Lucent, place-le
Sécuriser et donner la priorité au trafic venant des dans la file d'attente
prioritaire - défini par
téléphones Alcatel-Lucent en se basant sur la OXE, c'est-à-dire priorité 5
Menace le reste si
priorité du paquet nécessaire
Il peut fonctionner avec d'autres protocoles pour établir des connexions entre
toute sorte de périphériques différents. Il peut également prendre en charge
des messages audio, vidéo et instantanés.
Quel que soit le périphérique ou média particulier à travers lequel le contenu est
délivré
Fonctions
Reconnaissance des applications et
application QoS / ACL sur des flux
SIP SIP SIP SIP
spécifiques
Contrôle la gigue, le délai, la perte de
paquet, la note MOS et le coefficient R de
flux particuliers
Identification de paquets SIP
Les paquets SIP sont identifiés par la valeur de chaîne se trouvant au début des
données utiles UDP
Les réponses SIP commencent toujours par SIP/2.0.
Les requêtes SIP commencent par leur nom.
Les paquets SIP sont identifiés en effectuant une recherche au début des
données utiles UDP.
SIP/2.0
INVITE
ACK
PRACK
UPDATE
BYE
Les messages de signalisation PDU SIP ont un débit limité à 1 Mbps Ce limiteur
de débit n'est pas configurable.
Par défaut, aucun limiteur de débit ou DSCP n'est configuré pour le SIP
Snooping.
-> sip-snooping sip-control [no] dscp <num>
SIP Snooping - Configuration des appels SOS
La fonction « SIP Snooping » permet de détecter les appels d'urgence en se
basant sur l'URI « to » du message INVITE. La configuration permet de définir
jusqu'à 4 chaînes d'appel SOS. La chaîne doit avoir un URI correspondant
exactement à l'URI « to » ; l'expression régulière n'est pas prise en charge.
Le traitement QoS pour les appels SOS est limité au marquage DSCP global de
tous les appels SOS. Lorsqu'un appel semble être un appel SOS, un DSCP par
défaut de 46 (EF) est attribué aux flux RTP et RTCP de cet appel. Le marquage
DSCP peut-être configuré sur n'importe quelle valeur. De même, un limiteur de
débit de 128 Kbps est imposé pour l'appel. Ce limiteur de débit pour les appels
SOS n'est pas configurable.
Par défaut, aucun numéro SOS n'est configuré pour le SIP Snooping.
-> sip-snooping sos-call number “911” “2233”
Limites du SIP Snooping
Les types de média autres qu'audio et vidéo, comme les types de média image,
application, etc. ne sont pas pris en charge.
La solution prend uniquement en charge le SIP et ne prend pas en charge le
NOE
Les fonctions de registraire SIP, proxy sortant, proxy et redirection doivent être
fournies par le même serveur, appelé serveur SIP.
Seul le protocole SIP sur UDP est pris en charge. La solution ne prend pas en
charge les protocoles SIP sur TCP, SCTP ou MPLS. Le SIP Snooping ne prend pas
en charge le protocole SIP sur TLS sécurisé. De même, les protocoles SDP ou
RTCP cryptés ne sont pas pris en charge.
Seul le protocole SIP sur IPv4 est pris en charge, et non le SIP sur IPv6. Les
Multicast Media Sessions par SIP ne sont pas prises en charge.
Le proxy sortant configuré sur le poste et le serveur d'appel sécurisé configuré
sur le commutateur doivent être identiques.
QUALITÉ DE SERVICE (QOS)
Sommaire
1 Objectif ......................................................................................... 2
2 Qualité de Service Paramètres .............................................................. 2
3 Equipement/matériel requis ................................................................ 2
4 Commandes associées ........................................................................ 2
5 Plates-formes supportées .................................................................... 2
6 Configuration .................................................................................. 3
7 Paramètres généraux par défaut de la QoS ............................................... 3
8 Configuration .................................................................................. 4
8.1. Configuration globale ................................................................................. 4
8.2. Structure de la bande passante ..................................................................... 7
8.3. Configuration des valeurs de port par défaut du 802.1p/ToS/DSCP .......................... 9
8.4. Configuration de ports sécurisés .................................................................. 10
8.5. Configuration du mode « Servicing » et des seuils ............................................. 11
8.6. Configuration des règles ............................................................................ 12
8.7. Mots clés de règle.................................................................................... 14
8.8. Préséance des règles ................................................................................ 15
8.9. Paramètres “policy” ................................................................................. 16
8.10. policy service group ................................................................................. 16
8.11. policy mac group ..................................................................................... 17
8.12. Policy port group ..................................................................................... 17
8.13. Policy map group..................................................................................... 18
9 Résumé ....................................................................................... 18
10 Test ........................................................................................... 18
2
Qualité de Service (QoS)
1 Objectif
Ce lab fournit un aperçu des nombreux paramètres QoS sur les OmniSwitch. Vous allez voir
différentes configurations. Cela va vous permettre d’être plus familier avec la syntaxe. Après
avoir complété ce lab, vous aurez un aperçu de la complexité de la QoS et des étapes à suivre
afin de la faire fonctionner correctement. La dernière partie vous demandera de créer une
configuration basée sur un scénario.
3 Equipement/matériel requis
Un OmniSwitch (n’importe quel model)
Deux PCs ou plus.
4 Commandes associées
qos (enable, disable, apply, reset, flush), qos port …,
policy (condition, action, rule, …), show qos …, show policy …, policy … group, policy service …
5 Plates-formes supportées
Toutes
3
Qualité de Service (QoS)
6 Configuration
Bien que des stratégies puissent être utilisées dans de nombreux types de scénarios de réseau différents
(QOS ACL, SLB, PBR), nous aborderons les points suivants :
Fondamentaux de la QoS – y compris l'attribution de priorités au trafic et la structure de la bande passante ;
Stratégies ICMP – y compris le filtrage, l'attribution de priorités et la limitation de débit ;
802.1p/ToS/DSCP – pour le marquage et le mappage ;
La configuration de la QoS peut interagir avec d'autres fonctions configurées, comme le SLB, l'agrégation de
liens dynamique (LACP), le 802.1Q, les ports mobiles, le routage IP et la gestion des stratégies LDAP. Il est
également possible de configurer des combinaisons de stratégies. Ces sujets ne seront pas abordés dans ce
cas pratique, l'étudiant devra donc mener des études et des recherches complémentaires.
Servez-vous de la table des associations de conditions du Guide de configuration réseau pour obtenir une
liste des associations valides ainsi que des informations supplémentaires sur ces dernières.
8 Configuration
La QoS est activée par défaut sur le commutateur. Si des stratégies QoS sont configurées et activées, le
commutateur tente de classer le trafic et d'appliquer les actions appropriées.
- Pour désactiver la QoS, saisissez la commande qos. Entrez :
ALL -> qos disable
La QoS est désactivée instantanément. Lorsque la QoS est désactivée de manière globale, aucun flux entrant
dans le commutateur n'est classé (mis en correspondance avec des stratégies).
- Pour activer à nouveau la QoS, saisissez la commande qos accompagnée de l'option enable. Entrez :
ALL -> qos enable
La QoS est réactivée instantanément. Toutes les stratégies actives sur le commutateur seront utilisées pour
classer le trafic entrant dans le commutateur.
Des règles de stratégie spécifiques peuvent être activées ou désactivées à l'aide de la commande « policy
rule ».
Par défaut, les flux bridgés, routés et multicast ne correspondant à aucune stratégie sont acceptés sur le
commutateur.
Dans les commutateurs version 6, pour modifier le comportement général par défaut (qui détermine si le
commutateur va accepter, refuser ou abandonner le flux), saisissez le paramètre de comportement souhaité
(accept, drop ou deny) en l’associant à l'une des commandes suivantes : qos default bridged disposition, qos
default routed disposition, ou qos default multicast disposition.
- Par exemple, pour refuser tous les flux routés ne correspondant à aucune règle, entrez :
6850E & 6450 -> qos default routed disposition deny
6850E & 6450 -> show qos config
QoS Configuration:
Enabled : No
Pending changes : global policy
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Default queue service : strict-priority
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default bridged disposition : accept
Default routed disposition : accept (deny)
Default IGMP/MLD disposition: accept
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Stats interval : 60 seconds
Userports:
Filter : spoof
Shutdown: none
Quarantine Manager:
Quarantine MAC Group : Quarantined
Quarantined Page : Yes
Remediation URL :
Debug : info
5
Qualité de Service (QoS)
- Notez que la stratégie globale doit être activée. Pour activer les paramètres, entrez :
6850E & 6450 -> qos apply
6850E & 6450 -> show qos config
QoS Configuration:
Enabled : No
Pending changes : None
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Default queue service : strict-priority
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default bridged disposition : accept
Default routed disposition : deny
Default IGMP/MLD disposition: accept
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Stats interval : 60 seconds
Userports:
Filter : spoof
Shutdown: none
Quarantine Manager:
Quarantine MAC Group : Quarantined
Quarantined Page : Yes
Remediation URL :
Debug : info
Habituellement, le comportement est configuré uniquement lorsque vous utilisez des stratégies pour les listes
de contrôle d'accès (Access Control Lists – ACL).
Si vous définissez également qos default bridged disposition sur « deny », l'ensemble du trafic (bridgé ou
routé) ne correspondant à aucune stratégie est abandonné. Si vous créez des ACL autorisant le transit de
certains trafics de couche 2 à travers le commutateur, vous devez configurer deux règles pour chaque type
de trafic de couche 2 : une pour la source et une pour la destination.
- Réinitialisons tous les paramètres QoS sur leurs valeurs par défaut :
6850E & 6450 -> qos reset
6850E & 6450 -> show qos config
QoS Configuration:
Enabled : No
Pending changes : None
DEI:
Mapping : Disabled
Marking : Disabled
Classifier:
Default queues : 8
Default queue service : strict-priority
Trusted ports : No
NMS Priority : Yes
Phones : trusted
Default bridged disposition : accept
Default routed disposition : deny (accept)
Default IGMP/MLD disposition: accept
Logging:
Log lines : 256
Log level : 6
Log to console : No
Forward log : No
Stats interval : 60 seconds
Userports:
Filter : spoof
Shutdown: none
6
Qualité de Service (QoS)
Quarantine Manager:
Quarantine MAC Group : Quarantined
Quarantined Page : Yes
Remediation URL :
Debug : info
Bien que cela ne soit pas abordé dans ce cas pratique, un nombre considérable d'informations peuvent être
regroupées à l'aide des commandes qos log et debug qos. (Consultez les guides de configuration pour plus
d'informations.)
- La commande « statistics » est également utile pour regroupes certaines informations de base sur la QoS
6850E & 6450 -> show qos statistics
QoS stats
Events Matches Drops
L2 : 0 0 0
L3 Inbound : 0 0 0
L3 Outbound : 0 0 0
IGMP Join : 0 0 0
Fragments : 0
Bad Fragments : 0
Unknown Fragments : 0
Sent NI messages : 0
Received NI messages : 52
Failed NI messages : 0
Load balanced flows : 0
Reflexive flows : 0
Reflexive correction : 0
Flow lookups : 0
Flow hits : 0
Max PTree nodes : 0
Max PTree depth : 0
Spoofed Events : 0
NonSpoofed Events : 0
DropServices : 0
Software resources
Applied Pending
7
Qualité de Service (QoS)
Table CLI LDAP ACLM Blt Total CLI LDAP ACLM Blt Total Max
rules 0 0 0 0 0 0 0 0 0 0 2048
actions 0 0 0 0 0 0 0 0 0 0 2048
conditions 0 0 0 0 0 0 0 0 0 0 2048
services 0 0 0 0 0 0 0 0 0 0 256
service groups 1 0 0 0 1 1 0 0 0 1 1024
network groups 0 0 0 1 1 0 0 0 1 1 1024
port groups 2 0 0 8 10 2 0 0 8 10 1024
mac groups 0 0 0 0 0 0 0 0 0 0 1024
map groups 0 0 0 0 0 0 0 0 0 0 1024
vlan groups 0 0 0 0 0 0 0 0 0 0 1024
Labo distant
Qualité de service
A
EMP
1 Réseau d'administration
3 4
1/3 1/7
2 3 OS 6900T
4 5 OS 6850E
6 6 OS 6450
1/3 1/7
1/1
5 6 A 6
1/22 1/1
1/8
A A
Client 3/4 Client 5/6
- Pour les prochains exemples de configuration, réinitialisez le pod. Sur le commutateur 6900, créez un
VLAN 10 avec une adresse IP de routeur 192.168.10.254/24, et un VLAN 20 avec une adresse IP
192.168.20.254/24. Associez le port 1/7 sur le VLAN 10 par défaut et le port 1/3 sur le VLAN 20 par
défaut. Activez les ports 1/3 et 1/7.
6900 -> vlan 10
6900 -> ip interface int_10 address 192.168.10.254/24 vlan 10
6900 -> vlan 20
6900 -> ip interface int_20 address 192.168.20.254/24 vlan 20
6900 -> vlan 10 members port 1/7 untagged
6900 -> vlan 20 members port 1/3 untagged
6900 -> interfaces 1/3 admin-state enable
6900 -> interfaces 1/7 admin state enable
8
Qualité de Service (QoS)
- Sur le commutateur 6850E, activez les ports 1/1 (client) et 1/3 (uplink) :
6850E -> interfaces 1/1 admin up
6850E -> interfaces 1/3 admin up
- Le client 5/6 est connecté sur le port 1/1 du commutateur 6450, le client 3/4 sur le port 1/1 du
commutateur 6850E. Configurez le client 5/6 avec les paramètres suivants :
IP = 192.168.10.10
MASK = 255.255.255.0
GW = 192.168.10.254
- Pour créer une stratégie permettant d'attribuer une priorité de trafic à partir du client 5/6, vous devez
d'abord créer une condition pour le trafic auquel vous souhaitez attribuer la priorité. Dans cet exemple, la
condition est appelée client_traffic. Créez ensuite une action pour attribuer la priorité maximale au
trafic. Dans cet exemple, l'action est appelée high. Rassemblez la condition et l'action dans une règle
appelée rule1.
6900 -> policy condition client_traffic source ip 192.168.10.10
6900 -> policy action priority_7 802.1p 7
6900 -> policy rule rule1 condition client_traffic action priority_7
- Votre règle est-elle active ? Rappelez-vous que la règle est désactivée sur le commutateur jusqu'à ce
qu'elle ait été appliquée :
6900 -> qos apply
Lorsque la règle est activée, chaque flux émanant de l'adresse IP du serveur multicast et allant vers un autre
périphérique aura la priorité la plus haute.
Cette condition peut être constatée en capturant du trafic sur le port de sortie à l'aide de Wireshark.
9
Qualité de Service (QoS)
Dans l'exemple suivant, chaque flux émanant d'une adresse IP source est envoyé vers une file d'attente qui
prend en charge ses exigences maximales en termes de bande passante.
- Modifiez l'action créée précédemment pour limiter la bande passante maximale accordée au trafic
émanant de la même source
6900 -> policy action priority_7 maximum bandwidth 100k
6900 -> qos apply
6900 -> show policy action priority_7
Action name : priority_7
Maximum bandwidth = 100K,
802.1p = 7
- La bande passante peut être indiquée en unités abrégées, dans le cas présent, 100K. Essayez de lancer
une requête ping du client 5/6 au client 3/4 :
ping 192.168.20.10
- Étant donné que la requête ne dépasse pas la bande passante maximale, elle devrait aboutir. Essayez
maintenant de lancer une requête ping en spécifiant une taille de datagramme supérieure :
ping –l 65000 192.168.20.10.
Votre requête ping utilise maintenant une bande passante plus importante, par conséquent elle n'aboutira
pas.
- Par défaut, les valeurs de port par défaut du 802.1p et du ToS/DSCP sont définies sur 0. Pour modifier les
paramètres de port par défaut du 802.1p ou du ToS/DSCP, saisissez la commande qos port default 802.1p
ou qos port default dscp. Par exemple :
ALL -> qos port 1/1 default 802.1p 7
ALL -> show qos port 1/1
Slot/ Default Default Queues Bandwidth DEI
Port Active Trust P/DSCP Classification Default Total Physical Ingress Egress Map/Mark Type
----+-------+-----+------+--------------+-------+-----+--------+-------+------+----------+-----------
1/1 No Yes 7/ 0 DSCP 8 0 0K - - No /No ethernet
Dans cet exemple, le trafic non taggué (sans paramètre 802.1p) arrivant sur le port 1/1 sera estampillé avec
une valeur 802.1p de 7 (priorité la plus élevée). Si le port est configuré comme non sécurisé, le trafic taggué
sera estampillé avec une valeur 802.1p de 7. Si le port est configuré comme sécurisé, le trafic taggué
préservera la valeur 802.1p du flux. Par défaut, les ports commutés ne sont pas sécurisés.
- Pour configurer les paramètres généraux du commutateur, saisissez la commande qos trust ports. Par
exemple :
6900 -> qos trust-ports
6850E & 6450 -> qos trust ports
- Dans la plupart des environnements, les ports ne sont généralement pas sécurisés. Pour configurer des
ports de manière à ce qu'ils reconnaissent le 802.1p ou le ToS, saisissez la commande qos port trusted
avec le numéro d'emplacement/de port choisi.
Par exemple :
ALL -> qos port 1/1 trusted
Les paramètres généraux sont actifs immédiatement, mais les paramètres du port nécessitent l’application
de la commande qos apply pour que leur modification soit activée.
Les bits 802.1p peuvent être définis ou mappés sur une valeur unique à l'aide de la commande policy action
802.1p. Dans cet exemple, la commande qos port indique que le port 5 de l'emplacement 1 pourra
reconnaître les bits 802.1p.
- Une condition (Trafic) est alors créée pour classer le trafic contenant les bits 802.1p définis sur 4 et
destiné au port 7 de l'emplacement 1. L’action SetBits spécifie que les bits passeront sur 7 lorsque le
trafic sortira du commutateur au niveau du port 7 de l'emplacement 1. Une règle appelée 802.1p_rule
regroupe la condition et l’action. Entrez :
ALL -> qos port 1/5 trusted
ALL -> policy condition Traffic destination port 1/7 802.1p 4
ALL -> policy action SetBits 802.1p 7
ALL -> policy rule 802.1p_rule condition Traffic action SetBits
ALL -> qos apply
Notes : Le mappage 802.1p peut également être défini pour le trafic de couche 3, dont les
bits 802.1p sont habituellement définis sur zéro.
- Pour modifier le mode « Servicing », saisissez la commande qos slice servicing mode et le mot clé choisi
pour le mode (strict-priority, priority-wrr, ou wrr). Par exemple :
6850E & 6450 -> qos port 1/7 servicing mode strict-priority
Dans cet exemple, le mode « Servicing » du port 6 de l'emplacement 2 est défini sur « strict priority » (qui est
également la valeur par défaut), ce qui signifie que les paquets ayant la priorité la plus haute seront toujours
envoyés en premier.
- Le commutateur OmniSwitch prend également en charge le WRR et le DRR (Deficit Round Robin). Le poids
attribué à une file d'attente WRR désigne le nombre de paquets envoyés par la file d'attente avant que le
planificateur ne passe à la file d'attente suivante. Par exemple, une file d'attente ayant un poids de 10
envoie 10 paquets à chaque intervalle. Selon vous, que se passe-t-il lorsque la commande suivante est
appliquée ?
6850E & 6450 -> qos port 1/7 servicing mode wrr 8 1 5 0 4 0 3 0
Le port 1/7 est maintenant configuré avec une combinaison de files d'attente SP (Strict Priority) et WRR :
- La file d'attente 1 est configurée pour le « best-effort » (meilleur effort) du fait de son poids de 1.
- Les files d'attente 3, 5 et 7 sont configurées sur le mode SP du fait de leur poids 0. La Q7 est ainsi traitée
en premier, suivie de la Q5 et de la Q3, puis des files d'attente WRR/DRR.
-
- Les files d'attente 0, 2, 4 et 6 sont configurées en mode WRR avec des poids de 8, 5, 4 et 3
respectivement. Elles sont traitées uniquement après les files d'attente « Strict Priority ». En se basant sur
les poids, Q0 aura le meilleur débit, puis Q2, puis Q4 et enfin Q6.
- Pour réinitialiser le mode de traitement des ports sur le mode global par défaut, utilisez le paramètre
default dans cette commande et ne spécifiez aucun modèle de mise en file d'attente. Par exemple :
6850E & 6450 -> qos port 1/7 servicing mode default
La configuration d'une valeur minimale et maximale de bande passante pour chacune des huit files d'attente
de port de sortie est autorisée sur le commutateur OmniSwitch. Les valeurs de bande passante sont définies
par défaut sur zéro, soit le « best effort »pour la bande passante minimum et la vitesse de port pour la bande
passante maximum.
- Pour configurer les valeurs de la bande passante, saisissez la commande qos port q minbw maxbw. Dans
l'exemple suivant, la commande définit la bande passante minimum et maximum de la file d'attente 7 du
port 1/10 sur 2k et 10k :
6850E & 6450 -> qos port 1/10 q7 minbw 2k q7 maxbw 10k
12
Qualité de Service (QoS)
- Définition d'une condition (appelée my_condition) pour identifier une adresse source IP de 10.1.10.3
ALL -> policy condition my_condition source ip 10.1.10.3
- Définition d'une règle (appelée my_rule) qui donnera la plus haute priorité (7) à l'ensemble du trafic
émanant de l'adresse IP 10.10.2.3 lorsqu'il passera par le commutateur :
ALL -> policy rule my_rule condition my_condition action my_action
ALL -> qos apply
Plusieurs options permettent de configurer une condition, en fonction du mode que vous souhaitez que le
commutateur adopte pour classer le trafic pour cette stratégie. Plusieurs paramètres de condition peuvent
être définis. Néanmoins, certains paramètres de condition, tels que ToS et DSCP, ne peuvent pas coexister.
Rappel : la condition sera désactivée sur le commutateur tant que vous n'aurez pas saisi la commande qos
apply.
- Pour créer ou modifier une condition, saisissez la commande policy condition et le mot clé correspondant
au type de trafic que vous voulez classer : une adresse IP ou un groupe d'adresses IP, par exemple. Dans
cet exemple, une condition appelée c1 est créée pour classer le trafic émanant de l’adresse IP de
destination 10.10.10.100 et du port de destination 23.
6850E & 6450 -> policy condition c1 destination ip 10.10.10.100 destination tcp port 23
6850E & 6450 -> show policy condition c1
Condition Name From Src -> Dest
+c1 cli
*IP : Any -> 10.10.10.100
*TCP : Any -> 23
6900 -> policy condition c1 destination ip 10.10.10.100 destination tcp-port 23
6900 -> show policy condition c1
Condition name : c1
State = new,
Destination IP = 10.10.10.100,
Destination TCP port = 23
- Pour supprimer un paramètre de classification de la condition et conserver les informations sur l'IP de
destination, saisissez « no » accompagné du mot clé approprié, dans ce cas le port TCP de destination. Par
exemple :
6850E & 6450-> policy condition c1 no destination tcp port
6900 -> policy condition c1 no destination tcp-port
switch1-> show policy condition c1
Condition Name From Src -> Dest
+c1 cli
*IP : Any -> 10.10.10.100
- N'oubliez pas de saisir la commande qos apply pour activer chaque commande de condition.
- Pour supprimer entièrement une condition, utilisez la forme « no » de la commande. Par exemple :
ALL -> no policy condition c1
ALL -> show policy condition c1
No condition `c1'
- Dans notre exemple c1, une condition ne peut pas être supprimée si elle est en cours d’utilisation par une
règle. Si une règle utilise la condition, un message d’erreur s’affichera sur le commutateur. Créez à
nouveau une condition c1 et créez une nouvelle action. Réunissez-les dans une règle :
ALL -> policy condition c1 destination ip 10.10.10.100
ALL -> policy action a1 maximum bandwidth 100k
ALL -> policy rule rule_1 condition c1 action a1
- Supprimez la règle, l'action puis les conditions, qui peuvent maintenant être supprimées :
ALL -> no policy rule rule_1
14
Qualité de Service (QoS)
- Pour créer ou modifier une action, saisissez la commande policy action en l’associant au paramètre
d'action approprié. Une action permet d'indiquer le mode de traitement du trafic. Par exemple, elle peut
spécifier une priorité pour le flux, ou indiquer que le flux doit tout simplement être refusé. Par exemple,
créez une action appelée bw_action :
ALL -> policy action bw_action maximum bandwidth 300K
Plusieurs paramètres d'action peuvent être définis. Néanmoins, certains paramètres tels que ToS et DSCP, ne
peuvent pas coexister. En outre, certains paramètres d'action sont uniquement pris en charge avec certains
paramètres de condition particuliers
- Comme pour une condition, une action ne peut être supprimée si elle est en cours d'utilisation par une
règle. Si une règle utilise l'action, un message d’erreur s’affichera sur le commutateur. Par exemple :
ALL -> no policy action bw_action
ERROR: bw_action is being used by rule 'rule_1'
precedence
validity period
save
log
log interval
count
15
Qualité de Service (QoS)
trap
- Par défaut, les règles sont activées. Les règles peuvent être désactivées ou réactivées par le biais de la
commande policy rule.
ALL -> policy rule telnet_rule disable
ALL -> qos apply
- Pour définir une valeur de préséance pour une règle spécifique, saisissez la commande policy rule
associée au mot clé « precedence ». Par exemple, entrez :
ALL -> policy rule telnet_rule precedence 1000 condition c1 action bw_action
- La consignation des règles peut s'avérer utile lorsque vous souhaitez déterminer des éléments tels que
l'origine d'attaques. Il est souvent recommandé, au moins lors de la configuration initiale des règles,
d'utiliser l'option de consignation pour contrôler la manière dont vos règles sont utilisées. Pour indiquer
que le commutateur doit consigner des informations sur les flux qui correspondent à la règle définie,
saisissez la commande policy rule associée à l'option log. Par exemple, saisissez :
ALL -> policy rule telnet_rule log
- Les commandes utilisées pour la configuration des groupes de condition sont indiquées ici :
policy network group
policy service group
policy mac group
policy port group
16
Qualité de Service (QoS)
- Dans l'exemple suivant, un « Policy network group » appelé netgroup3 est créé avec trois adresses IP. La
première adresse indique également un masque.
ALL -> policy network group netgroup3 173.21.4.39 mask 255.255.255.0 10.10.5.3 10.10.5.5
ALL -> policy condition c4 source network group netgroup3
- Pour cette commande, un raccourci remplace les mots clés protocol et destination ip port par
destination tcp port :
6850E & 6450 -> policy service telnet1 destination tcp port 23
6900 -> policy service telnet1 destination tcp-port 23
- Combinons maintenant les services dans un groupe de services (« Policy service group ») en entrant :
ALL -> policy service group tel_ftp telnet1 ftp1
- Le groupe MAC peut alors être associé à une condition à l'aide de la commande policy condition.
Remarque : la condition indique si le groupe doit être utilisé pour la source ou pour la destination. Par
exemple, entrez :
ALL -> policy condition cond3 source mac group macgrp2
- Lorsqu'un groupe « Policy port group » est utilisé dans le cadre d'une règle et qu'une action spécifie une
bande passante maximum, cette bande passante maximum sera allouée à chaque interface du « Policy
port group ». À l'aide de la stratégie « Policy port group » créée ci-dessus, associons-les :
ALL -> policy condition Ports source port group visitor_ports
ALL -> policy action MaxBw maximum bandwidth 100K
ALL -> policy rule VisitorPortRule condition Ports action MaxBw
ALL -> qos apply
- Dans cet exemple, 100 Kbps seront autorisés sur chaque port du groupe visitor_ports (ports 1/1 1/10-12).
- Cependant, lors du mappage avec un type de valeur différent (802.1p en ToS, 802.1p en DSCP), toute
valeur du flux entrant correspondant à la règle mais non comprise dans le groupe de cartes sera remise à
zéro. Par exemple, l'action suivante indique le même groupe de cartes mais indique le mappage de 802.1p
sur ToS
ALL -> policy action Map2 map 802.1p to tos using Group2
9 Résumé
Ce lab vous a permis de vous familiariser avec les fonctionnalités QoS de l’OmniSwitch.
10 Test
1. Quelles sont les trois étapes de base pour former une stratégie ?
2. Quels sont les types de groupes de conditions disponibles et comment sont-ils utilisés ?
3. Quelle est la commande utilisée pour rétablir les valeurs par défaut de la QoS ?
4. Par défaut, les flux bridgés, routés et multicast ne correspondant à aucune règle sont acceptés sur le
commutateur. (Vrai ou Faux)
5. Par défaut, les ports commutés ne sont pas sécurisés (Vrai ou Faux)
OMNISWITCH AOS R6/R7/R8
Access Guardian
• User Network Profile
-> policy rule rule_name [enable | disable] [precedence precedence] [condition condition_name]
[action action_name] [validity period name | no validity period] [save] [log [log-interval seconds]]
[count {packets | bytes}] [trap | no trap] [default-list | no default-list]
Paquet
Action
entrant
Classification du paquet
Transfert ou blocage
du trafic sortant
Acceptation ou refus du trafic entrant
Règle de stratégie
ACL
Paramètres par défaut
Les paramètres par défaut autorisent tout le trafic mais peuvent être modifiés
Autorise tous les trafics bridgés, excepté le trafic correspondant à l'adresse MAC
source et sur le VLAN 5.
Liste ACL de couche 3/4
Exemple
Des conditions L3 peuvent être définies pour les éléments suivants :
Adresse IP source ou groupe de réseaux source
Adresse IP de destination ou groupe de réseaux de destination
Protocole IP
Code ICMP
Type d'ICMP
Port TCP/UDP source
Port TCP/UDP, service ou groupe de services de destination
Sous-réseau
192.168.100.024
Hôte1
172.16.30.2/24
Cet ensemble de commandes permet de refuser globalement le trafic routé sur le commutateur et autorise
la communication entre l'Hôte1 et le sous-réseau 192.168.100.0/0
ACL
Paramètre Established - Exemple
Pour autoriser des connexions TCP émanant de l'intérieur uniquement
Extérieur
Intérieur
policy network group internal 10.0.0.0 mask 255.0.0.0 192.168.0.0 mask 255.255.0.0 172.16.0.0 mask 255.240.0.0
policy condition condition1 destination network group internal established*
policy action allow disposition allow
policy rule rule1 condition condition1 action allow
policy condition condition2 destination network group internal
policy action drop disposition drop
policy rule rule2 condition condition2 action drop
•Les informations d'en-tête TCP sont examinées pour déterminer si le bit flag ack ou rst est
défini.
•Cette condition est utilisée en combinaison avec une condition de port IP source/destination ou
TCP source/destination.
DÉTECTION DES INTRUSIONS LLDP
Mécanisme de sécurité LLDP
Sécurise l'accès réseau en détectant les équipements pirates
Un seul agent LLDP sécurisé sur un port
Action de violation
trap
Le port passera à l'état violation
désactivation du port
-> lldp {chassis | <slot> | <slot/port>} trust -agent {enable |disable} [chassis-id-type
{chassis-component | interface-alias | Port-Component |MAC-Address | Network-Address |
Interface-name |Locally-assigned|any }]
-> lldp {chassis | <slot> | <slot/port>} trust -agent violation-action {trap | shutdown}
Des stratégies de sécurité distinctes peuvent être configurées pour les supplicants (clients finaux) et
les non-supplicants
Access Guardian
Application - Enseignement supérieur – Campus Enterprise
Les étudiants peuvent être
L'admin et les
authentifiés en se basant sur
enseignants utilisent
802.1x ou MAC
l'authentification 802.1x
Admin
Enseignant Étudiant
VLAN
VLAN VLAN
étudiant
par défaut admin/enseignant
ACCESS GUARDIAN
CONFIGURATION DU SERVEUR RADIUS
Authentification externe
Configuration d'un serveur RADIUS
1
2
4
3 Serveur
RADIUS
Les ports par défaut sont basés sur les nouvelles normes RADIUS
(port 1812 pour l'autorisation et 1813 pour la comptabilité)
Certains serveurs peuvent être définis à l'aide des anciennes normes
(ports 1645 et 1646 respectivement)
Possibilité pour les applications de choisir l'interface
IP/Loopback0
Les applications pourront choisir l'interface IP source
N'importe quelle interface IP/ loopback
Dans l'instance VRF en particulier, basé sur une commande spécifique de l'application
Application Interface-Name
-----------------+------------------------------
tacacs -
sflow -
ntp Loopback0
syslog -
dns -
telnet -
ssh -
tftp -
ldap-server -
radius Loopback0
snmp Loopback0
ftp -
Supplicant 802.1X et non-supplicant
Classification des équipements
Trames EAP
reçues sur port
actif 802.1x
La source
NON OUI
est un
client
MAC 802.1X
802.1x ?
Serveur
RADIUS
Serveur d'authentification 802.1x hors service
Stratégie de classification
Les utilisateurs sont déplacés vers un profil spécifique lorsque le serveur
RADIUS est indisponible
Prise en charge de l'authentification 802.1x ou basée sur l'adresse MAC (non CP)
Supplicant ?
Oui Non
Captive Portal Captive Portal Captive Portal Captive Portal Captive Portal
Group mobility Group mobility Group mobility Group mobility Group mobility Group mobility Group mobility
Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN Default VLAN
Les stratégies ne peuvent être utilisées qu'une fois pour une condition « Pass »
(succès) et une fois pour une condition « Fail » (échec)
À l'exception de la stratégie VLAN. Jusqu'à 3 stratégies VLAN ID sont autorisées dans la même
stratégie composée, tant que le numéro d'ID est différent pour chaque instance spécifiée (par
ex. Vlan 20, Vlan 30, Vlan 40)
L'ordre dans lequel les stratégies sont configurées détermine l'ordre dans lequel elles
sont appliquées.
Stratégies de sécurité Access Guardian - WebView
Liste des stratégies disponibles pouvant être Que les stratégies aient réussi ou échoué, l'ordre dans
appliquées si aucun VLAN n'est indiqué par le serveur lequel les paramètres sont configurés détermine l'ordre
RADIUS dans lequel ils sont appliqués.
Group mobility Le type de stratégie doit se terminer par default-vlan,
Specific VLAN(s) block, ou captive-portal
Captive Portal
Le paramètre final block est utilisé par défaut
User Network Profile
Default VLAN
Block
Des stratégies de même type, mais dans un ordre
différent, peuvent être configurées pour un non-
supplicant sur le même port
Stratégies Access Guardian
Stratégie de classification des équipements Supplicant 802.1x
Activation de l'authentification 802.1x
-> aaa authentication 802.1x rad1 rad2
1 Serveur Radius
2
4
3
Le supplicant enverra une trame EAP
avec identifiant + mot de passe Le commutateur agira comme un relais entre
le supplicant et le serveur Radius
•Trame reçue sur port
actif 802.1x
Avant l'envoi de la trame au serveur, le commutateur ajoute
l'adresse MAC du supplicant
L'adresse MAC sera placée dans le champ « Calling Station ID » de la
•OUI •La source trame Radius
est un client
802.1x ? Si l'authentification échoue, la stratégie suivante de la chaîne
Réaliser une
de stratégies est utilisée
authentification La dernière stratégie peut être « strict VLAN ID » ou une stratégie finale
802.1x Si l'authentification réussie, le serveur renverra un ID VLAN
Si le VLAN existe, l'adresse MAC est apprise sur ce VLAN
•NON Si le VLAN n'existe pas, la stratégie suivante de la chaîne de stratégies est
•Authentifié ?
utilisée
La dernière stratégie doit être « strict VLAN ID » ou une stratégie finale
Supplicant ?
Oui
802.1x
Succès Échec
Vlan Radius
Captive Portal
Captive Portal
Demande RADIUS
Group mobility VLAN 10
VLAN
Je parle Serveur
Je parle Je parle
802.1X
Default VLAN Block 802.1X 802.1X
RADIUS
Block
Je parle
802.1X
Stratégie Supplicant - Exemples avec une CLI
-> 802.1x 1/19 supplicant policy authentication pass group-mobility default-
VLAN fail VLAN 10 block
Si le processus d'authentification 802.1X réussit mais ne renvoie pas d'ID VLAN pour
l'équipement
Les règles Group mobility sont appliquées
Si la classification Group Mobility échoue, alors l'équipement est alloué au VLAN par défaut au
port 1/19
Si l'authentification 802.1x de l'équipement échoue
Si le VLAN 10 existe et n'est pas un VLAN authentifié, l'équipement est alloué au VLAN 10
Si le VLAN 10 n'existe pas ou est un VLAN authentifié, l'accès de l'équipement au port 1/19 du
commutateur est bloqué
Serveur
Radius
1
2
• Que les stratégies aient réussi ou échoué, l'ordre dans lequel les paramètres sont
configurés détermine l'ordre dans lequel ils sont appliqués.
• Le type de stratégie doit se terminer par default-vlan, block, ou captive-portal
• Le paramètre final block est utilisé par défaut
Stratégie pour les clients Non-Supplicant
Exemples WebView
Supplicant ?
Non
auth. Pas
MAC d'authentification
Succès
Échec Demande RADIUS
Vlan Radius
1 1
auth. Pas
802.1x d'authentification
MAC
Succès Échec Succès Échec
Attribut
Oui
TERMINÉ Attribut
Oui
TERMINÉ Classification
RADIUS Classé par RADIUS Classé par Radius
AVP AVP
Non Non
2 2
1ère trame 1ère trame 1ère trame
Validation
4 Validation 4 validation
Équipement = poste Terminé 3 Équipement = poste Terminé Équipement = poste Terminé
3 IP ?
Oui
IP ?
Oui
IP ?
Oui
Classé Classé Classé
ET dans LLDP- ET dans LLDP- ET dans LLDP-
Règle de MED UNP Règle de MED UNP Règle de MED UNP
classification LLDP- classification LLDP- classification LLDP-
MED MED MED
Non 5 Non 5
Captive Portal Captive Portal Captive Portal Captive Portal Captive Portal
Group mobility Group mobility Group mobility Group mobility Group mobility
1 3
http://www.alcatel-lucent.com
2
1
Vous devez tout d'abord
vous connecter !
Utile pour accorder aux invités ou aux sous-traitants un accès réseau temporaire
contrôlé au réseau de l'entreprise
Intégré au reste des stratégies
Captive Portal
Autre stratégie Access Guardian
Supplicant ?
Oui Non
auth. Aucune
802.1X authentification
MAC
Succès Succès
Échec Échec
Captive
RADIUS Profile RADIUS Profile Portal
Captive Portal Captive Portal Captive Portal Captive Portal Succès
Group mobility Captive Portal Group mobility Group mobility Group mobility Échec
Profile Profile
Block
Block
Les stratégies peuvent être interchangées
Certaines stratégies (Captive portal, Profile, Block) sont des stratégies finales (elles ne peuvent pas être
suivies par d'autres stratégies)
La stratégie Captive Portal commencera une nouvelle branche d'authentification
Les branches « Fail » (échec) classeront les équipements dans des profils non-authentifiés uniquement
Captive Portal
Exemple d'utilisation
Supplicant ?
Oui Non
Captive
auth.
802.1X Portal
MAC
Succès Succès
Succès
Échec
Échec Échec
Radius Profile
Offre
1 DHCP
Commutateur DHCP et serveur DNS
Requête
Default DHCP scope
DHCP
10.123.0.0/16
Def GW: 10.123.0.1
1 Requête DNS DNS server: 10.123.0.1
Renvoi HTTP à
l'identifiant Captive Portal
Texte d'accueil
Image de fond
/flash/switch
• cpPolicy.html
• logo.png ( prefered ), jpg, gif
• background.png, jpg, gif
• banner.jpg Message d'accueil de mon entreprise
• cpLoginWelcome.inc
• cpStatusWelcome.inc
• cpFailWelcome.inc
• cpLoginHelp.html
• cpStatusHelp.html
• cpFailHelp.html
• cpBypassHelp.html
Captive Portal
Personnalisation
Configuration d'une URL pour le serveur Web proxy utilisateurs Captive Portal
-> 802.1x captive-portal proxy-server-url www.training.com
URL de redirection
Fonction de redirection de l'utilisateur vers
une URL de redirection suite à une authentification réussie
une URL de redirection suite à un échec/bypass d'authentification
-> 802.1x captive-portal success-redirect-url http://test-cp.com/fail.html
-> 802.1x captive-portal fail-redirect-url http://test-cp.com/fail.html
• Que les stratégies aient réussi ou échoué, l'ordre dans lequel les paramètres sont configurés
détermine l'ordre dans lequel ils sont appliqués.
• Le type de stratégie doit se terminer par default-vlan, block, ou captive-portal
• Le paramètre final block est utilisé par défaut
Stratégie Supplicant avec Captive Portal
Exemple
-> 802.1x 1/1 supplicant policy authentication pass group-mobility captive-portal fail vlan
70 block
Supplicant ?
Oui
802.1x
-> show 802.1x users
Succès Slot MAC Port User
Échec Port Address State Policy Name
-----+-----------------+---------------+--------------+-------------------------
01/01 00:1a:4b:6c:d0:b0 Authenticated -- john
Vlan Radius
Auth.
NON MAC
Supplicant ? Succès
Échec
Block
-> show 802.1x non-supplicant 1/1 -> show 802.1x non-supplicant 1/1
Slot MAC MAC Authent Classification Vlan
Slot MAC MAC Authent Classification Vlan Port Address Status Policy Learned
Port Address Status Policy Learned -----+-----------------+----------------+------------------+-------
-----+-----------------+----------------+------------------+------- 01/01 00:1a:4b:6c:d0:b0 failed CP - In Progress -
01/01 00:1a:4b:6c:d0:b0 Authenticated Group Mobility - 12 -----+-----------------+----------------+------------------+-------
-----+-----------------+----------------+------------------+------- 01/01 00:1a:4b:6c:d0:b0 failed CP - In Progress -
-----+-----------------+----------------+------------------+-------
-> show vlan port 1/1 -> show vlan port 1/1
01/04 00:1a:4b:70:33:db failed Auth srv - CP
vlan type status vlan type status
--------+---------+-------------- --------+---------+--------------
11
1 default forwarding 1 default forwarding
Captive
Auth.
Portal
MAC
NON
Supplicant ?
-> show 802.1x non-supplicant 1/1 -> show 802.1x non-supplicant 1/1
Slot MAC MAC Authent Classification Vlan Slot MAC MAC Authent Classification Vlan
Port Address Status Policy Learned Port Address Status Policy Learned
-----+-----------------+----------------+------------------+-------- -----+-----------------+----------------+------------------+-------
01/01 00:1a:4b:6c:d0:b0 Authenticated Auth srv - CP 11 01/01 00:1a:4b:6c:d0:b0 Failed (timeout) CP - In Progress -
Slot MAC MAC Authent Classification Vlan Slot MAC MAC Authent Classification Vlan
Port Address Status Policy Learned Port Address Status Policy Learned
-----+-----------------+----------------+------------------+-------- -----+-----------------+----------------+------------------+-------
01/01 00:1a:4b:6c:d0:b0 Authenticated Auth srv - CP 11 01/01 00:1a:4b:6c:d0:b0 Failed (timeout) Vlan ID - CP 220
Stratégies de classification d'équipements Access Guardian
Supervision Captive Portal
L'UNP comprend :
Un ID de VLAN.
Un indicateur HIC configurable (activé ou désactivé). Après la classification, il est
possible qu'un utilisateur n'est pas un accès total au réseau étant donné que les
informations d'identification de l'équipement doivent être vérifiées par un serveur
Host Integrity Server
Un rôle configurable composé d’une liste de règles de pré-configurées.
En utilisant les capacités existantes fournies par la QoS, plusieurs règles de stratégie
ou ACL sont configurées et doivent être agrégées dans un concept de « policy list »
User Network Profile - Contrôle d'accès basé sur les rôles
avec UNP
Déploiement évolutif avec des listes de stratégies ACL/QoS distinctes
10 M, Tout excepté la BD
Admin
confidentielle sur les AAA Radius
patients
Admin ACL, QoS,
HIC, VLAN
100 M, Tout excepté les BD
Salarié
sur les patients Salariés ACL, QoS,
HIC, VLAN
VoIP
ACL, QoS,
Horodatage et définition des HIC, VLAN
priorités du trafic voix Médecin
ACL, QoS,
Voix HIC, VLAN
Invité Infos
ACL, QoS, confidentielles
HIC, VLAN
Médecin 100 M Accès à sur le patient
tout Captive Portal
Table de 3
mappage du Demande
commutateur accordée
Non
Group mobility
Appliquer Local Profile
Local Profile
Nom UNP défini localement sur
VLAN le commutateur
Block
• Local Profile est désormais une des stratégies Access
Guardian
• L'ordre des stratégies peut être interchangé
Stratégies Access Guardian - UNP
Le nom UNP est transmis par le serveur RADIUS et associé au même nom de
profil configuré sur le commutateur.
Si l'ID VLAN et le nom UNP sont transmis par le serveur RADIUS et que le profil UNP est
configuré sur le commutateur, l'ID VLAN défini dans User Network Profile aura
préséance s'il est différent de l'ID VLAN transmis par le serveur RADIUS.
Si le serveur RADIUS ne renvoie pas de nom UNP, un profil UNP local peut
également être appliqué si cette possibilité est incluse dans l'ensemble
de stratégies.
Des profils peuvent être appliqués aux supplicants 802.1x ainsi qu'aux clients
d'authentification basée sur MAC et basée sur Web, et peuvent exister à la fois
dans les stratégies « Pass » et « Fail ».
Stratégie User Network Profile - Configuration de la CLI
UNP
VLAN
HIC
Une seule liste de stratégies par UNP est autorisée, mais une liste de stratégies
peut être associée à plusieurs profils.
Liste de stratégies UNP - Configuration
Attribution d'une liste de stratégies QoS à un User Network Profile UNP
Applique les modalités d'accès d'un équipement aux ressources réseau VLAN
Liste de
Liste de stratégies QoS réalisée en 2 étapes stratégies
QoS
ACL
-> aaa user-network-profile name profile_name vlan vlan-id [hic [enable | disable]]
[policy-list-name list_name]
Stratégie User Network Profile - Exemple (1)
Serveur Radius
UNP manquant
OmniSwitch
UNP manquant
OmniSwitch
Non-Supplicant:
authentication:
pass: group-mobility, default-vlan
fail: UNP guest, block
Salarié Invité
UNP « Salarié »
UNP « Guest »
vlan 30 UNP « Voix »
vlan 26
hic actif vlan 21
Liste de stratégies
Liste de stratégies « qos_gold »
« internet_only »
hic actif
Il s'agit d'un protocole de sécurité fiable utilisé pour établir l'identité des
utilisateurs et des systèmes accédant aux services du réseau,
Protège les protocoles réseau du sabotage (protection de l'intégrité)
Il crypte souvent les données envoyées avec le protocole (protection de la
confidentialité)
Il est basé sur le concept de clés de cryptage symétriques ; la même clé est
utilisée pour crypter et décrypter un message.
On parle également de clé privée partagée.
La suveillance Kerberos est prise en charge uniquement par les ports 802.1x
avec des utilisateurs non-supplicant.
Application Fluency
Data Center Evolution
– Identification (« Fingerprinting ») d'utilisateur
Surveillance des connexions Windows
Nouvelle méthode d'authentification pour les Serveur
utilisateurs en entreprise Transaction Microsoft
Solution plus sécurisée : Authentification 802.1x Kerberos Active
Défi : comment s'assurer que tous les terminaux
Directory
peuvent prendre en charge l'IEEE 802.1x
Défi : Besoin de conserver un serveur RADIUS
Avec la version 6.4.5 : La connexion Windows est
surveillée par l'authentification
Noyau
Séquence d'authentification
Un accès limité est accordé à l'utilisateur en
fonction de l'UNP par défaut
L'authentification du serveur de domaine est
surveillée et le résultat est suivi : succès/échec,
nom de domaine, nom d'utilisateur Accès
L'accès au réseau final est accordé en fonction du
résultat succès/échec et du nom de domaine
Si un nouvel utilisateur initie une nouvelle
connexion, la séquence d'authentification
redémarre
Temporisation d'inactivité (5 h par défaut) pour
comptabiliser les déconnexions « silencieuses »
Surveillance des connexions Windows
Data Center Evolution – Ce qu’il faut savoir
Mobilité
La mobilité sur le même commutateur est prise en charge sans ré-authentification
La mobilité commutateur à commutateur n'est pas encore prise en charge :
l'utilisateur doit se déconnecter/connecter pour revenir sur le réseau
Limites
Nombre maximal d'adresses IP de serveur Kerberos pouvant être configurées sur un
commutateur = 4
Nombre maximal d'utilisateurs Kerberos pouvant être appris sur un
commutateur = 1 000.
Liste de stratégies
Une fois l'utilisateur authentifié via le serveur Kerberos, la liste « qos-policy-list »
configurée pour Kerberos (globale ou par domaine) sera mise à jour dans la table
hardware I2 pour cet utilisateur (MAC). La liste « qos-policy-list » Kerberos effacera et
remplacera la liste « qos-policy-list » UNP/HIC si l'utilisateur est déjà classé comme
utilisateur UNP/HIC, mis à part quelques exceptions listées ci-dessous :
Si l'utilisateur est appris en mode « filtering », Kerberos ne remplacera pas la table hardware I2
par la « qos-policy-list » Kerberos.
Si l'utilisateur est à l'état HIC-IN-PROGRESS, Kerberos ne remplacera pas la « qos-policy-list » HIC
par la « qos-policy-list » Kerberos.
Surveillances des connexion Windows –
Data Center Evolution
Exemple de configuration
-> vlan port mobile 3/1
-> vlan port 3/1 802.1x enable
-> 802.1x 3/1 kerberos enable
-> aaa kerberos mac-move enable
-> aaa kerberos ip-address 172.21.160.102
-> aaa kerberos inactivity-timer 30
-> aaa kerberos server-timeout 20
-> aaa kerberos authentication-pass policy-list-name pl1
-> aaa kerberos authentication-pass domain EXAMPLE.COM policy-list-name p1
Les validations basées sur les stratégies QMR/« Location »/« Time » peuvent
être activées dans l'UNP
si ces validations échouent, l'utilisateur est associé au paramètre Restricted Role
(liste de stratégies)
Les rôles restreints configurés de manière explicite ont préséance sur les rôles
restreints intégrés.
Access Guardian 2.0 - AOS 8.X
Access Guardian 2.0 - Règles de classification Atomic
MAC Port + IP
Authentication-Type
802.1x, MAC
Allow-EAP
Pass 802.1x après la réussite de l'authentification MAC
Fail 802.1x après un échec de l'authentification MAC
Noauth 802.1x 802.1x après une désactivation de l'authentification MAC
None toujours ignorer 802.1x
Access Guardian 2.0 - Modèles Edge
AAA Profile
Spécifie le profil AAA par défaut du modèle Edge
Default Edge-Profile
Lorsque le modèle Edge est associé à un port UNP/linkagg, tous les profils par défaut
existants sont remplacés
Pass-alternate
Si la classification ne renvoie pas un UNP valide, le pass-alternate est attribué
Access Guardian 2.0 - Profil Edge
Profil Edge
Edge-profile <name> Profil Edge
Qos-policy-list <name> Liste de Stratégie
Nom de la liste de stratégies (ACL ou QoS) associée stratégies « Location »
à l'UNP QoS
Définit le rôle initial de l'utilisateur
Captive Stratégie
Location-policy <string>
Portal « Period »
Emplacement/port, nom du système, situation
Period-policy <string>
Captive-portal-authentication [enable|disable]
Vlan-mapping
Captive-portal-profile <name> VLAN ID
Authentication-flag [enable|disable]
Mobile-tag [enable|disable]
Redirect
Vlan-mapping
Access Guardian 2.0 - Profil Edge
Une fois qu'un utilisateur est authentifié L2/classé dans un UNP,
Le rôle initial de l'utilisateur est déterminé par la « qos policy-list » associée à l'UNP.
Ce rôle peutêtre remplacé par un des rôles plus spécifiques en fonction du résultat de
l'application d'une ou plusieurs propriétés/méthodes activées sur le profil Edged UNP
comme listées ci-dessous.
Captive Portal
Stratégie basée sur l'emplacement/horaire
Stratégie basée sur le QMR
Rôle dérivé de l'utilisateur en utilisant
Type d'authentification
BYOD
Access Guardian 2.0 - Profil Edge
Stratégie « Location » du profil Edge
Location-policy <string>
La stratégie « Location » est utilisée pour limiter l'accès au réseau en se basant sur
l'emplacement de l'utilisateur/équipement
Lorsque l'utilisateur UNP ne répond pas aux critères de la stratégie « Location »
spécifiée, le rôle de l'utilisateur est modifié automatiquement en un rôle non autorisé
L'emplacement d'un utilisateur utilisant un poste filaire sera déterminé par :
le châssis/emplacement/port auquel l'utilisateur est associé
le nom du commutateur auquel l'utilisateur est associé
la « Switch Location String », qui identifie un groupe de commutateurs
Configuration de « Location »
system location <string>
unp policy validity location “Alcatel” port 1/1/10
Access Guardian 2.0 - Profil Edge
Stratégie « Time Period » du profil Edge
Period-policy <string>
La stratégie « Period » est utilisée pour limiter l'accès au réseau en se basant sur
l'horaire d'accès de l'utilisateur/équipement
Les critères temporels de l'accès réseau d'un utilisateur peuvent être spécifiés en
jours, heures, mois et intervalles comprenant la date/l'heure.
Une stratégie « Period » est considérée comme satisfaite si l'un des critères
jour/mois/heure/date spécifié est satisfait
Authentication-flag [enable|disable]
Si ce paramètre est défini sur « Enabled », le nom UNP ne peut être sélectionné que si
l'utilisateur UNP lui a été associé par le biais de l'authentification L2 (802.1x/Mac)
Mobile-tag [enable|disable]
Active/désactive le mode « Mobile tag » sur le port UNP des utilisateurs raccordés.
Si ce paramètre est défini sur « Enabled », il utilise le port sur lequel l'utilisateur UNP
a été appris pour l'ajouter comme « Tagged Member » au VLAN associé à l'UNP
Access Guardian 2.0 - Profil AAA
Le profil AAA définit
Les serveurs d'authentification AAA associés aux différentes méthodes
d'authentification
Jusqu'à 4 serveurs d'authentification peuvent être spécifiés par méthode d'authentification
Les serveurs de comptabilité AAA associés aux différentes méthodes d'authentification
Jusqu'à 4 serveurs de comptabilité peuvent être spécifiés par méthode d'authentification
Un serveur Syslog peut être spécifié comme serveur de comptabilité
Propriétés des différents attributs Radius
Spécification d'une adresse MAC ou IP comme « calling-station-id » dans les attributs RADIUS
Spécification des propriétés 802.1x avec le serveur RADIUS
Activation/désactivation de la ré-authentification
Intervalle de ré-authentification
Spécification de la périodicité du message temporaire RADIUS Accounting-Request pour les
utilisateurs authentifiés par 802.1x/MAC/Captive Portal
Spécification de la temporisation de déconnexion sur inactivité pour l'authentification MAC et
Captive Portal
Access Guardian 2.0 - Profil Captive Portal
Profil Captive Portal
Mode [internal|external] - 8.1.1 interne pris en charge uniquement
Success-Redirect URL
URL de redirection suite à une authentification réussie
Retry-Count
Nombre de tentatives avant que l'authentification ne soit déclarée comme ayant échoué
Policy-List <name>
Liste de stratégies à associer suite à une authentification réussie
Realm [prefix|suffix] Domain <domain-name>
Par exemple, dans « domain-name\user1 », « domain-name » se rapporte au nom de domaine si
l'option « prefix » est choisie
Par exemple, dans « user@domain-name », « domain-name » se rapporte au nom de domaine si
l'option « suffix » est choisie
AAA-Profile <name> Nom du profil AAA
Access Guardian 2.0
Quarantine Manager and Remediation
Supplicant Oui Initier Oui Succès Oui EAP- Oui Salarié Non
Infos d'iden.
AD
Client ?
auth. 802.1x
TLS ? UNP
Block correspondent
802.1x ? ?
ClearPass Auth. AD
Points d'accès
Équipements appartenant
au salarié Équipements appartenant
au salarié
Gestion des invités par le Captive Portal du CPPM
Offre un auto-enregistrement des invités, un accès sponsorisé aux invités et un pré-
enregistrement des invités.
Type d'enregistrement des invités
Authentification MAC et authentification Captive Portal
Authentification MAC et auto-enregistrement avec sponsor
Contrôleur WLAN
Commutateur
d'extrémité
Équip.
de Points d'accès
l'invité
Mot de passe
Équipements de
l'invité
Fonction Unified Device Profiling
Fonction automatisée dans le CPPM. Identifie
la catégorie d'équipements - Ordinateur, imprimante, AP, etc.
famille de l'OS - MAC, Android, Windows, Linux
le nom de l'équipement et la version de l'OS
Utile pour les équipements câblés silencieux qui ne peuvent pas s'authentifier eux-
mêmes - Imprimantes, téléphones IP, appareils photo, etc.
Également utilisée pour la configuration du profil des équipements appartenant à un
invité ou un salarié
Configuration du profil basé sur des données contextuelles
Identification (fingerprinting) DHCP
MAC OUI,
HTTP User Agent
SNMP ou autres informations d'identité sur l'équipement
Sommaire
1 Objectif ......................................................................................... 3
2 Paramètres ACL ............................................................................... 3
3 Equipements/matériel requis ............................................................... 3
4 Commandes associées ........................................................................ 3
5 Plates-formes supportées .................................................................... 3
6 Configuration .................................................................................. 4
7 Caractéristiques des ACL ..................................................................... 4
7.1. Paramètres généraux par défaut de la QoS ....................................................... 5
8 Rappel .......................................................................................... 6
8.1. Configuration globale ................................................................................. 6
o 7
8.2. Condition ................................................................................................ 7
8.3. Policy network group .................................................................................. 7
8.4. Policy service group ................................................................................... 7
8.5. Policy mac group ....................................................................................... 8
8.6. Policy port group ....................................................................................... 8
8.7. Action .................................................................................................... 8
R 8
8.8. Règle ..................................................................................................... 9
8.9. Préséance des règles .................................................................................. 9
8.10. Comment la préséance est-elle déterminée ? .................................................... 9
8.11. Consignation ............................................................................................ 9
8.12. Contrôle ................................................................................................. 9
9 Configuration ................................................................................ 10
9.1. Pour filtrer des clients multicast.................................................................. 11
9.2. Filtrage du traffic FTP .............................................................................. 11
9.2.1. Stratégie 1 ................................................................................................. 12
9.2.2. Stratégie 2 ................................................................................................. 12
9.2.3. Stratégie 3 ................................................................................................. 13
2
Paramètres ACL
10 Résumé ....................................................................................... 13
11 Questions ..................................................................................... 13
3
Paramètres ACL
1 Objectif
Ce lab fournit un aperçu des nombreux paramètres ACL sur les OmniSwitch. Vous allez voir
différentes configurations. Cela va vous permettre d’être plus familier avec la syntaxe. Après
avoir complété ce lab, vous aurez un aperçu de la complexité des ACL et des étapes à suivre afin
de la faire fonctionner correctement. La dernière partie vous demandera de créer une
configuration basée sur un scénario.
2 Paramètres ACL
Les produits OmniSwitch ont été conçus avec la Qualité de Service en tête. Ainsi, il y a une
grande variété de fonctions et paramétrages disponibles. De plus, de nouveaux ensembles de
fonctions vont être implémentés en fonction des nouveaux standards et demandes émergentes.
3 Equipements/matériel requis
Deux OmniSwitches et 2 PCs ou plus.
4 Commandes associées
qos (enable, disable, apply, reset, flush), qos port …,
policy (condition, action, rule, …), show qos …, show policy …, policy … group, policy service …
5 Plates-formes supportées
Toutes
4
Paramètres ACL
6 Configuration
Bien que des stratégies puissent être utilisées dans de nombreux types de scénarios de réseau différents,
nous aborderons les points suivants :
Règles ICMP - y compris le filtrage
ACL - utilisées pour le filtrage de la couche 2, de la couche 3/4 et multicast.
La configuration des ACL peut interagir avec d'autres fonctions configurées, comme le SLB, l'agrégation de
liens dynamique (LACP), le 802.1Q, les ports mobiles, le routage IP et la gestion des stratégies LDAP. Il est
également possible de configurer des combinaisons de stratégies. Ces sujets ne seront pas abordés dans ce
cas pratique, l'étudiant devra donc mener des études et des recherches complémentaires.
Servez-vous de la table des associations de conditions du Guide de configuration réseau pour obtenir une
liste des associations valides ainsi que des informations supplémentaires sur ces dernières.
Ce cas pratique aborde les commandes CLI QoS, utilisées spécifiquement pour configurer les listes ACL.
Les listes ACL correspondent en fait à un type de stratégie QoS, et les commandes utilisées pour configurer
les listes ACL sont un sous-ensemble des commandes QoS du commutateur.
Les listes ACL assurent une sécurité modérée entre les réseaux. L'illustration ci-dessous montre comment des
listes ACL peuvent être utilisées pour filtrer le trafic de sous-réseau via un réseau privé, fonctionnant
comme un pare-feu interne pour les réseaux locaux.
Lorsque le trafic arrive sur le commutateur, celui-ci vérifie sa base de données de stratégies pour tenter de
faire correspondre les informations de couche 2 ou de couche 3/4 de l'en-tête de protocole à une règle de
stratégie de filtrage. Si une correspondance est trouvée, le commutateur applique le comportement
approprié au flux. Le comportement détermine si un flux est accepté ou refusé. Le comportement général
5
Paramètres ACL
est défini par défaut sur accept (accepté) et des règles individuelles peuvent être configurées avec leur
propre comportement.
Saisissez la commande qos reset pour remplacer l’ensemble des valeurs des paramètres généraux par les
valeurs par défaut.
Rappelez-vous que la QoS est activée par défaut. Les paramètres généraux par défaut de la QoS définissent
notamment ce qui suit :
- Mode « strict priority queuing » actif
- Les ports taggués 802.1Q et les ports mobiles sont toujours sécurisés ; tout autre port est non sécurisé
- Le comportement pour les trafics « bridged », « routed » (routés) et multicast est défini par défaut
comment étant accepté (« accept »)
- « Debug qos » est défini par défaut sur « info »
- 802.1p et dscp sont définis par défaut sur 0 par port
- Le paramètre de préséance « Policy rules precedence » est défini par défaut sur 0
- « Policy actions » est défini par défaut sur « accept » (acceptée)
- Le « Policy network group » par défaut (appelé « Switch ») contient toutes les adresses IP créées sur
un commutateur
Chaque emplacement possède son propre groupe de ports (« Policy port group ») par défaut (appelé
-
« Slot + numéro », c'est-à-dire Slot01 sur un OS6850)
- En plus de la commande qos reset, les autres commandes globales pouvant être utilisées sont :
qos revert
qos flush
qos disable
Saisissez la commande qos port reset pour réinitialiser les paramètres de port sur leurs valeurs par défaut.
Consultez les guides de configuration pour connaître les paramètres par défaut.
Notes : Dans la version actuelle du logiciel, les options « deny » et « drop » produisent le
même effet, à savoir que le trafic est abandonné silencieusement.
Notes : Il n'existe pas de valeur par défaut pour la commande « policy condition ».
Généralement, pour configurer une liste ACL, la procédure générale suivante est requise :
1. Spécifier le comportement général
2. Créer une condition pour le trafic à filtrer
3. Créer une action pour accepter ou refuser le trafic
4. Créer une règle de stratégie qui associe la condition et l'action
6
Paramètres ACL
8 Rappel
La QoS est désactivée instantanément. Lorsque la QoS est désactivée de manière globale, aucun flux entrant
dans le commutateur n'est classé (mis en correspondance avec des stratégies).
- Pour activer à nouveau la QoS, saisissez la commande qos accompagnée de l'option enable. Entrez :
-> qos enable
La QoS est réactivée instantanément. Toutes les stratégies actives sur le commutateur seront utilisées pour
classer le trafic entrant dans le commutateur.
Notes : Des règles de stratégie spécifiques peuvent être activées ou désactivées à l'aide de la
commande policy rule.
Par défaut, les flux bridgés, routés et multicast ne correspondant à aucune stratégie sont acceptés sur le
commutateur. Pour modifier le comportement général par défaut (qui détermine si le commutateur va
accepter, refuser ou abandonner le flux), saisissez le paramètre de comportement souhaité (accept, drop ou
deny) en l’associant à l'une des commandes suivantes : qos default bridged disposition, qos default routed
disposition ou qos default multicast disposition.
- Par exemple, pour refuser tous les flux routés ne correspondant à aucune règle, entrez :
-> qos default routed disposition deny
Habituellement, le comportement est configuré uniquement lorsque vous utilisez des règles pour les listes de
contrôle d'accès (Access Control Lists – ACL).
Notes : Si vous définissez qos default bridged disposition sur deny, l'ensemble du trafic (bridgé
ou routé) ne correspondant à aucune stratégie est abandonné. Si vous créez des ACL
autorisant le transit de certains trafics de couche 2 à travers le commutateur, vous devez
configurer deux règles pour chaque type de trafic de couche 2 : une pour la source et une
pour la destination.
- Quelle commande