Académique Documents
Professionnel Documents
Culture Documents
Pour supprimer le nom du routeur et le nom de domaine, il faut saisir les commandes
suivantes.
routeur-cisco(config)#no hostname
Router(config)#no ip domain-name
Router(config)#
Adresse IP : 192.168.100.1
Masque de sous-réseau : 255.255.255.0
routeur-cisco(config)#int fa0/0
routeur-cisco(config-if)#shutdown
La connexion au routeur s'effectue par le port console en utilisant la ligne associée à ce port
ou bien à distance en utilisant les lignes virtuelles (appelées VTY). Ces ports virtuels sont
utilisés pour les connexions telnet ou ssh.
Par défaut, il n'y a pas de compte créé pour l'authentification. Si un mot de passe n'est pas
configuré les accès distants ne sont pas autorisés. Donc au départ, seul l'accès à la console est
autorisé.
Il faut créer au minimum un mot de passe pour l'accès aux différents terminaux (console et
virtuel) et un mot de passe pour l'accès au mode privilégié (enable).
Le mode d'administration par défaut est telnet.
Par défaut, les mots de passe apparaissent en clair lors de l'affichage du fichier de
configuration. Nous allons donc tout d'abord activer le service encryption-password, les mots
de passe apparaitront alors chiffrés lorsque les commandes d'affichage de la configuration
sont entrées.
Routeur-cisco(config)#
On remarque sur la sortie de la commande que nous avons un port console (CTY), un port
auxiliaire (AUX) et cinq ports pour les accès distants (VTY).
Password:
Routeur-cisco>en
Password:
Routeur-cisco#
Routeur-cisco#
9. Temporisation
On autorisera uniquement l'accès à l'interface d'administration via ssh pour des raisons de sécurité.
Tout d'abord, il faut vérifier que l'IOS du routeur supporte ssh. La mention k9 (crypto) doit figurer
dans le nom de l'IOS. La commande pour vérifier la version de l'IOS est:
Routeur-cisco#show version
Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(23),
RELEASE SOFTWARE (fc1)
Ensuite, il faut avoir configuré le nom du routeur ainsi que le nom de domaine
Puis:
Création de la clé
routeur-cisco(config)#
*Jul 28 23:09:37.291: %SSH-5-ENABLED: SSH 1.99 has been enabled
routeur-cisco(config)#
Activation de ssh
- les évènements associés aux connexions ssh sont enregistrés dans les logs.
- Un timeout de 60 secondes est ajouté en cas d'inactivité durant l'authentification.
- Nous laissons trois essais pour la connexion au routeur. Suite à ces essais, la connexion sera
fermée.
routeur-cisco(config)#service password-encryption
routeur-cisco(config)#username admin password 0 P@55w0rd
routeur-cisco(config)#line vty 0 4
routeur-cisco(config-line)#login local
routeur-cisco(config-line)#transport input ssh
Vérification de la configuration
routeur-cisco#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
routeur-cisco#
SSH est maintenant activé. nous pouvons accéder au routeur avec un client ssh (par exemple
putty sous windows).
1. Suppression de ssh
La suppression de la clé entraine la désactivation de ssh.
routeur-cisco(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: y
routeur-cisco(config)#
*Jul 28 23:15:38.771: %SSH-5-DISABLED: SSH 2.0 has been disabled
routeur-cisco(config)#
Vérification:
routeur-cisco#show ip ssh
SSH Disabled - version 2.0
%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.
Authentication timeout: 60 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
routeur-cisco#
R1#
Et voici la commande pour afficher les valeurs des compteurs d'une interface:
R1#show interfaces fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is c800.0314.0000 (bia c800.0314.0000)
Internet address is 192.168.100.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:04, output 00:00:09, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
7 packets input, 1915 bytes
Received 7 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
23 packets output, 2875 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
R1#
Plusieurs infos intéressantes: le port est up ou down, l'interface est de type fast ethernet, fonctionne
en full duplex avec un débit de 100Mbit/s. Pour les stats, il y a les compteurs concernant le débit et
les erreurs.
Ainsi, en cas de modification sur une interface, les deux commandes précédentes permettent de
vérifier la prise en compte de celle ci.
R2(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
R2#
5. Affichage de la configuration IP
R1#sho running-config interface fastEthernet 0/1
Building configuration...
On remarquera aussi la place disponible. S'il ne reste plus d'espace libre, la suppression de l'IOS sera
proposée dans la procédure de mise à jour. Il est également possible de supprimer manuellement
des fichiers.
Commande pour supprimer un fichier dans la flash:
routeur-cisco#delete flash:c2800-ipbase-mz.12.4.bin
2. Mise à jour de l'IOS
Avant d'effectuer la mise à jour, il est conseillé d'avoir une sauvegarde de l'IOS courant.
Nous avons besoin d'un IOS (disponible chez Cisco) et d'un serveur tftp.
L'adresse du serveur tftp est dans l'exemple 192.168.100.123.
routeur-cisco#copy tftp flash:
Address or name of remote host []? 192.168.100.123
Source filename []? c2800-ipbase-mz.12.4-20.bin
Destination filename []? c3800-ipbase-mz.12.4-20.bin
Accessing tftp://192.168.100.123/c2800-ipbase-mz.12.4-20.bin...
!!!!!!!!!!!!!!!!
Les commandes show version et show flash permettent de vérifier la version de la nouvelle image
installée.
4. Sauvegarde de la configuration
Sauvegarde du fichier de configuration en utilisant un serveur tftp.
routeur-cisco#copy running-config tftp
Address or name of remote host []? 192.168.100.123
Destination filename [routeur-cisco-confg]?
Puis on configure l'étiquette associée à chaque message (ici local4),l'adresse IP du serveur syslog et
on active.
routeur-cisco(config)#logging facility local4
routeur-cisco(config)#logging 192.168.0.123
routeur-cisco(config)#logging on
routeur-cisco(config)#
Quelques commandes de vérification: les associations avec le serveur ntp et l'affichage de la date et
de l'heure courante:
routeur-cisco#show ntp associations
Nous configurons tout d'abord une liste d'accès pour autoriser uniquement la connexion du serveur
de management SNMP, puis nous indiquons le nom de la communauté SNMP ainsi que les droits
associés (lecture (ro) ou lecture/écriture (rw)).
routeur-cisco(config)#access-list 10 permit 192.168.1.2
routeur-cisco(config)#snmp-server community macomm ro 10
routeur-cisco(config)#exit
routeur-cisco#show snmp community
Il est aussi possible d'afficher les détails sur le voisin, notamment l'adresse IP et le modèle de ce
dernier en filtrant sur un port ou sur le nom d'un voisin.
R2#show cdp neighbors ethernet 1/0 detail
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.100.1
Platform: Cisco 7206VXR, Capabilities: Router
Interface: Ethernet1/0, Port ID (outgoing port): Ethernet1/0
Holdtime : 124 sec
Version :
Cisco IOS Software, 7200 Software (C7200-IPBASEK9-M), Version 12.4(22)T,
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 10-Oct-08 10:10 by prod_rel_team
advertisement version: 2
Duplex: half
R2#
R2#
R2#
R2#show cdp entry R1
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.100.1
Platform: Cisco 7206VXR, Capabilities: Router
Interface: Ethernet1/0, Port ID (outgoing port): Ethernet1/0
Holdtime : 173 sec
3. Sans commentaire
R2#ping
Protocol [ip]:
Target IP address: 192.168.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R2#
NAME: "NPE400 0", DESCR: "Cisco 7200VXR Network Processing Engine NPE-400"
PID: NPE-400 , VID: , SN: 11111111
Il est possible d'afficher l'état d'une interface en particulier en faisant suivre la commande du numéro
de l'interface (R1#show interfaces ethernet 1/0).
Temperature readings:
I/O Cont Inlet measured at 22C/71F
I/O Cont Outlet measured at 22C/71F
NPE Inlet measured at 22C/71F
NPE Outlet measured at 22C/71F
Autre possibilité:
R4(config)#ip route 192.168.2.0 255.255.255.0 10.0.0.2
R4(config)#
On remarque sur cette sortie de commande les réseaux directement connectés (C), les routes
statiques (s) et la route par défaut.
7. Exemple de configuration
R4#sh run
Building configuration...
interface Ethernet1/0
ip address 10.0.0.1 255.255.255.0
duplex half
!
interface FastEthernet2/0
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.3.1
ip route 192.168.2.0 255.255.255.0 10.0.0.2
R5#sh run
Building configuration...
interface Ethernet1/0
ip address 10.0.0.2 255.255.255.0
duplex half
interface FastEthernet2/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
R4#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Routeur R1
R1#sh run
Building configuration...
interface Loopback0
ip address 172.16.0.1 255.255.255.0
!
interface FastEthernet1/0
ip address 10.0.0.1 255.255.255.0
ip ospf message-digest-key 1 md5 passworD
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 10.0.3.1 255.255.255.0
ip ospf message-digest-key 1 md5 passworD
duplex auto
speed auto
!
router ospf 100
log-adjacency-changes
area 0 authentication message-digest
redistribute static
network 10.0.0.0 0.0.0.255 area 0
network 10.0.3.0 0.0.0.255 area 0
default-information originate
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.3.2
Routeur R2
R2#sh run
Building configuration...
interface Loopback0
ip address 172.16.0.2 255.255.255.0
!
interface FastEthernet1/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 10.0.0.2 255.255.255.0
ip ospf message-digest-key 1 md5 passworD
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 10.0.2.2 255.255.255.0
ip ospf message-digest-key 1 md5 passworD
duplex auto
speed auto
!
router ospf 100
log-adjacency-changes
area 0 authentication message-digest
redistribute connected
network 10.0.0.0 0.0.0.255 area 0
network 10.0.2.0 0.0.0.255 area 0
!
Routeur R3
R3#sh run
Building configuration...
interface Loopback0
ip address 172.16.0.3 255.255.255.0
!
interface FastEthernet1/0
ip address 10.0.3.2 255.255.255.0
ip ospf message-digest-key 1 md5 passworD
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 10.0.2.1 255.255.255.0
ip ospf message-digest-key 1 md5 passworD
duplex auto
speed auto
!
router ospf 100
log-adjacency-changes
area 0 authentication message-digest
network 10.0.2.0 0.0.0.255 area 0
network 10.0.3.0 0.0.0.255 area 0
Routeur R2
R2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Routeur R3
R3#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.2.2 to network 0.0.0.0
Il est toujours possible de connecter une interface de routeur à un port d'accès pour chaque vlan.
Solution peu pratique car gourmande en port de routeur, de switch et de cablage.
Une autre solution est de connecter l'interface d'un routeur à un port trunk d'un switch et de
configurer des sous-interfaces au niveau de l'interface du routeur.
Une troisième solution est l'utilisation d'un commutateur de niveau 3.
1. Routage intervlan à l'aide de sous-interfaces
Dans l'exemple, il y a deux vlan (le 2 et le 3).L'interface fa 1/0 du routeur est connectée à une
interface trunk du switch.
R1(config)#interface fastEthernet 1/0.2
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#ip address 192.168.2.1 255.255.255.0
R1(config-subif)#no shut
R1(config-subif)#exit
R1(config)#interface fastEthernet 1/0.3
R1(config-subif)#encapsulation dot1Q 3
R1(config-subif)#ip address 192.168.3.1 255.255.255.0
R1(config-subif)#no shut
R1(config-subif)#end
R1#
R1#sh int fa1/0.2
FastEthernet1/0.2 is up, line protocol is up
Hardware is i82543 (Livengood), address is ca00.0d38.001c (bia
ca00.0d38.001c)
Internet address is 192.168.2.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 2.
ARP type: ARPA, ARP Timeout 04:00:00
Last clearing of "show interface" counters never
R1#
R1#sh int fa1/0.3
FastEthernet1/0.3 is up, line protocol is up
Hardware is i82543 (Livengood), address is ca00.0d38.001c (bia
ca00.0d38.001c)
Internet address is 192.168.3.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 3.
ARP type: ARPA, ARP Timeout 04:00:00
Last clearing of "show interface" counters never
R1#
Adresse source
Adresse destination
Protocole utilisé
Numéro de port
Les acls peuvent être appliquées sur le traffic entrant ou sortant. Il y a deux actions: soit le traffic est
interdit, soit le traffic est autorisé.
Les acls sont prises en compte de façon séquentielle. Il faut donc placer les instructions les plus
précises en premier et l'instruction la plus générique en dernier.
Par défaut, tout le traffic est interdit.
4. Différence entre les acls standards et étendues
L'ACL standard filtre uniquement sur les adresses IP sources. Elle est de la forme:
access-list numéro-de-la-liste {permit|deny} {host|source source-wildcard|any}
Le numéro de l'acl standard est compris entre 1 et 99 ou entre 1300 et 1999.
L'ACL étendue filtre sur les adresses source et destination, sur le protocole et le numéro de port.
Elle est de la forme:
access-list numéro de la liste {deny|permit} protocole source masque-source [operateur [port]]
destination masque-destination [operateur [port]][established][log]
Quelques opérateurs:
eq : égal
neq : différent
gt : plus grand que
lt : moins grand que
Le numéro de l'acl étendue est compris entre 100 et 199 ou entre 2000 et 2699.
Il est possible de nommer les acls. Dans ce cas, on précisera dans la commande si ce sont des acls
standards ou étendues.
5. Notion de maque générique (wildcard mask)
Les acls utilisent un masque permettant de selectionner des plages d'adresses.
Fonctionnement:
En binaire, seuls les bits de l'adresse qui correspondent au bit à 0 du masque sont vérifiés.
Par exemple, avec 172.16.2.0 0.0.255.255, la partie vérifiée par le routeur sera 172.16
Sur le couple suivant: 0.0.0.0 0.0.0.0, toutes les adresses sont concernées (any). Sur ce couple:
192.168.2.3 255.255.255.255, on vérifie uniquement l'hote ayant l'IP 192.168.2.3 (host)
Si l'ACL doit être mofifiée, il sera nécessaire de supprimer celle ci puis de la recréer entièrement.
Une façon pratique de faire est de conserver l'acl dans un fichier texte puis de faire un copier/coller.
7. Exemple de configuration
Création d'une entrée d'une access-list
Dans l'exemple:
On autorise la machine 192.168.2.12 à se connecter via ssh à toutes les machines du réseau
192.168.3.0/24,
On autorise les réponses DNS en provenance de la machine 192.168.2.30,
On autorise les paquets entrants pour les connexions tcp établies,
Enfin on supprime le reste du traffic qui va apparaitre dans les logs.
R2(config)#ip access-list extended reseau-secretariat
R2(config-ext-nacl)#permit tcp host 192.168.2.12 gt 1023 192.168.3.0
0.0.0.255 eq 22
R2(config-ext-nacl)#permit udp host 192.168.2.30 eq 53 192.168.3.0
0.0.0.255 gt 1023
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#deny ip any any log
R2(config)#int fa1/1
R2(config-if)#ip access-group reseau-secretariat out
R2(config-if)#
R2#
R2(config)#int fa1/1
R2(config-if)#no ip access-group reseau-secretariat out
R2(config-if)#
6 Configuration du protocole HSRP
sur un routeur Cisco
Pourquoi utiliser HSRP?
Configuration de HSRP
2. Configuration de HSRP
Configuration de R1
R1(config)#int fa0/0
R1(config-if)#ip address 192.168.0.3 255.255.255.0
R1(config-if)#no shut
R1(config-if)#
R1(config-if)#standby 100 ip 192.168.0.1
R1(config-if)#standby 100 preempt
R1(config-if)#end
R1#
R1#sh run int fa0/0
Building configuration...
R1#
Configuration de R2
R2(config)#int fa0/0
R2(config-if)#ip address 192.168.0.2 255.255.255.0
R2(config-if)#standby 100 ip 192.168.0.1
R2(config-if)#standby 100 priority 110
R2(config-if)#standby 100 preempt
R2(config-if)#end
R2#
R2#sh run int fa0/0
Building configuration...
Vérification
Dans la sortie de commande suivante, le routeur actif est R2 (conformément à la priorité donnée
dans la configuration des interfaces).
R1#show standby fastEthernet 0/0
FastEthernet0/0 - Group 100
State is Standby
4 state changes, last state change 00:00:51
Virtual IP address is 192.168.0.1
Active virtual MAC address is 0000.0c07.ac64
Local virtual MAC address is 0000.0c07.ac64 (default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.712 secs
Preemption enabled
Active router is 192.168.0.2, priority 110 (expires in 9.696 sec)
Standby router is local
Priority 100 (default 100)
IP redundancy name is "hsrp-Fa0/0-100" (default)
R1#
Le service dhcp (dynamic Host Configuration Protocol) est activé. On configure ensuite le nom du
pool, le réseaux concerné, le nom de domaine et le ou les DNS attribué au client et la durée du bail.
Les adresses qui ne seront pas attribuées par le serveur dhcp sont: de 192.168.2.1 à 192.168.2.99.
R1(config)#service dhcp
R1(config)#ip dhcp pool client-windows
R1(dhcp-config)#network 192.168.2.0 255.255.255.0
R1(dhcp-config)#domain-name mondomaine.fr
R1(dhcp-config)#dns-server 192.168.1.1
R1(dhcp-config)#lease 0 8
R1(dhcp-config)#exit
R1#
R1(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.99
R1(config)#
R1(dhcp-config)#lease 0 ?
<0-23> Hours
R1(dhcp-config)#lease 0 0 ?
<0-59> Minutes
1. Commande de vérification
R1#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.2.100 000c.29f2.a7.10 Mar 01 2010 08:29 AM Automatic
R1#
R1#
R1#
R1#sh ip dhcp server statistics
Memory usage 16003
Address pools 1
Database agents 0
Automatic bindings 1
Manual bindings 0
Expired bindings 0
Malformed messages 0
Secure arp entries 0
Renew messages 0
R1#
La prise RJ45 du cable console est connectée sur le switch et la fiche DB9 ou USB est branchée sur le
PC.
8.1 Configuration du terminal
La configuration du terminal est la suivante:
Si vous utilisez un port USB, il faudra modifier le numéro du port (par exemple port: COM4 ou
COM5). La valeur du port COM à utiliser est visible dans le gestionnaire de périphérique de
l'ordinateur (partie contrôleur USB).
Pour pouvoir modifier la configuration, il faut passer en mode privilégié en entrant la commande
"enable". Présentation du passage du mode non privilégié au mode privilégié:
Switch>enable
Switch#
Mode configuration:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Par exemple:
Switch#?
Exec commands:
access-enable Create a temporary Access-List entry
access-template Create a temporary Access-List entry
archive manage archive files
beep Blocks Extensible Exchange Protocol commands
cd Change current directory
clear Reset functions
clock Manage the system clock
cns CNS agents
--More--
Enfin, ? nous indique les choix possibles lors de la frappe des caractères d'une commande.
Exemple:
Switch#sh?
shell show
Switch#sh
Switch#sh ru
Building configuration...
Switch#show running-config
Building configuration...
9 startup-config et running-config
Startup-config et running-config, enregistrement de la configuration en cours, suppression de la
configuration et redémarrage d'un switch.
Les commandes présentées ci-dessous ont été testées sur les switchs Cisco série Catalyst 6500, 3750,
2960 et 2950.
Si une modification de configuration est réalisée, la running-config sera modifiée. Par contre, la
startup-config ne sera pas modifiée. Pour modifier la configuration de démarrage, il faudra
enregistrer la configuration courante (running-config) dans la startup-config.
Par conséquent, toute modification effectuée et non enregistrée sera annulée au prochain
démarrage du switch.
Cette caractéristique est intéressante en cas de problème grave suite à une modification de
configuration (par exemple une perte de lien). Il suffira de redémarrer le switch pour revenir à l'état
précédent la modification.
En pratique:
switch# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
0 bytes copied in 0.931 secs (0 bytes/sec)
Ou bien;
switch# write
Building configuration...
[OK]
switch#
En abrégé:
switch# co ru st
Destination filename [startup-config]?
Building configuration...
[OK]
0 bytes copied in 0.923 secs (0 bytes/sec)
switch# wr
Building configuration...
[OK]
switch#
switch#reload in 5
Reload scheduled for 15:24:35 CEST Mon Apr 4 2011 (in 5 minutes) by console
Proceed with reload? [confirm]
switch#
***
*** --- SHUTDOWN in 0:05:00 ---
***
switch#reload at 16:00
Reload scheduled for 16:00:00 CEST Mon Apr 4 2011 (in 40 minutes) by
console
Proceed with reload? [confirm]
switch#
***
*** --- SHUTDOWN ABORTED ---
***
switch#
Préparation: Il nous faut le nom du switch, le nom du domaine DNS, l'adresse IP, le masque de sous
réseau, la passerelle par défaut, un nom de login pour l'administrateur et le mot de passe
administrateur.
8. Configuration du nom du switch, du domaine DNS,
puis enregistrement de la configuration.
Dans l'exemple, le nom du switch est : 9200-RG et le domaine est mondomaine.local.
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#hostname 9200-RG
9200-RG(config)#ip domain-name mondomaine.local
9200-RG(config)#end
9200-RG#wr
Building configuration...
[OK]
9200-RG#
Pour supprimer le nom du commutateur et le nom de domaine, il faut saisir les commandes
suivantes.
9200-RG(config)#no hostname
Switch(config)#no ip domain-name
Switch(config)#
9. Adressage IP du switch:
L'adressage IP du switch va nous servir à superviser celui ci à distance. Un vlan dédié au management
du switch est configuré (dans l'exemple: vlan2). L'adresse IP sera donc associée au vlan 2.
La configuration IP choisie est:
Adresse IP : 192.168.100.25
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.100.1
9200-RG(config)#vlan 2
9200-RG(config-vlan)#exit
9200-RG(config)#interface vlan2
9200-RG(config-if)#ip address 192.168.100.25 255.255.255.0
9200-RG(config-if)#ex
9200-RG(config)#ip default-gateway 192.168.100.1
Vérification de la configuration du vlan d'administration
9200-RG#sh run int vlan2
Building configuration...
9200-RG#
Suppression de l'adresse IP et de la passerelle par défaut:
9200-RG(config)#interface vlan2
9200-RG(config-if)#no ip address
9200-RG(config-if)#ex
9200-RG(config)#no ip default-gateway
Il faut créer au minimum un mot de passe pour l'accès aux différents terminaux (console et virtuel) et
un mot de passe pour l'accès au mode privilégié (enable).
Le mode d'administration par défaut est telnet.
Par défaut, les mots de passe apparaissent en clair lors de l'affichage du fichier de configuration.
Nous allons donc tout d'abord activer le service encryption-password, les mots de passe apparaitront
alors chiffrés lorsque les commandes d'affichage de la configuration sont entrées.
On notera la ligne accessible par la console (CTY) et les lignes virtuelles (VTY) pour l'accès distant au
switch.
9200-RG#sh line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 VTY - - - - - 0 0 0/0 -
2 VTY - - - - - 0 0 0/0 -
3 VTY - - - - - 0 0 0/0 -
4 VTY - - - - - 0 0 0/0 -
5 VTY - - - - - 0 0 0/0 -
6 VTY - - - - - 0 0 0/0 -
7 VTY - - - - - 0 0 0/0 -
8 VTY - - - - - 0 0 0/0 -
9 VTY - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
Il y a maintenant un mot de passe à saisir pour l'accès au switch et un mot de passe à saisir pour
l'accès au mode avec privilège.
User Access Verification
Password:
9200-RG>en
Password:
9200-RG#
On configure l'heure, puis le fuseau horaire et le moment de passer à l'heure d'été (dans l'exemple:
pour la France).
switch#clock set 15:19:00 4 april 2021
switch#
switch#show clock
15:19:05.609 CEST Mon Apr 4 2021
switch(config)#clock timezone cet 1
switch(config)#clock summer-time cest recurring last Sun Mar 3:00 last Sun
Oct 3:00
switch#
En cas de coupure réseau, il nous faudra intervenir directement sur le switch, donc autant
être habitué à travailler en ligne de commande,
L'interface web peut être moins stable que l'interface en ligne de commande (CLI),
Les configurations avancées sont souvent disponibles uniquement au travers de la ligne de
commande,
Je vous laisse trouver d'autres arguments...
Pour avoir un compte rendu graphique des objets du switch, nous nous tournerons vers une solution
de supervision du réseau qui allie les avantages de la ligne de commande à une présentation
graphique des objets du réseau. En général, ces logiciels fonctionnent grace au protole SNMP.
Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit
figurer dans le nom de l'IOS.
La commande pour vérifier la version de l'IOS est:
2960-RG#show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version
12.2(55)SE, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Sat 07-Aug-10 23:04 by prod_rel_team
Le protocole ssh peut être activé par défaut. Vérifions avec la commande suivante:
2960-RG#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3
Le nom du switch ainsi que le nom de domaine doivent avoir été configurés.
Création de la clé
2960-RG(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: 2960-RG.mondomaine.fr
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
2960-RG(config)#
*Mar 1 00:42:43.625: %SSH-5-ENABLED: SSH 1.99 has been enabled
Activation de ssh
- les évènements associés aux connexions ssh sont enregistrés dans les logs.
- Un timeout de 60 secondes est ajouté en cas d'inactivité durant l'authentification.
- Nous laissons trois essais pour la connexion au switch. Suite à ces essais, la connexion est
fermée.
clem(config)#aaa new-model
clem(config)#aaa authentication login default local
clem(config)#aaa authorization exec default local
clem(config)#username admin secret P@55w0rd
clem(config)#line vty 0 15
clem(config-line)#login local
clem(config-line)#transport input ssh
Vérification de la configuration
2960-RG#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3
SSH est maintenant activé. nous pouvons accéder au switch avec un client ssh (par exemple
putty pour windows).
11.4Suppression de ssh
La suppression de la clé entraine la désactivation de ssh.
2960-RG(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
2960-RG(config)#
Vérification:
2960-RG#sh ip ssh
SSH Disabled - version 2.0
%Please create RSA keys to enable SSH (of atleast 768 bits size) to enable
SSH v2.
Authentication timeout: 60 secs; Authentication retries: 3
Ensuite, on autorise la connection exclusive de ce réseau sur les terminaux virtuel avec la
commande access-class:
Switch(config)#line vty 0 15
Switch(config-line)#access-class 10 in
Switch(config-line)#
Et voici la commande pour afficher les valeurs des compteurs d'une interface:
2960-switch#show interfaces gigabitEthernet 0/1
GigabitEthernet0/1 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 0026.3750.2950 (bia
0026.3750.2950)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 187000 bits/sec, 231 packets/sec
5 minute output rate 1000 bits/sec, 2 packets/sec
225348823 packets input, 188621734150 bytes, 0 no buffer
Received 130125788 broadcasts (87756518 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 87756518 multicast, 0 pause input
0 input packets with dribble condition detected
1222204 packets output, 103305303 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
2960-switch#
Plusieurs infos intéressantes: le port est up ou down, l'interface est de type giga, fonctionne en full
duplex avec un débit de 100Mbit/s. Pour les stats, il y a les compteurs concernant le débit et les
erreurs.
Ainsi, en cas de modification sur une interface, les deux comandes précédentes permettent de
vérifier la prise en compte de la modification.
12.1Résumé des informations pour l'ensemble des
ports:
2960-switch#show interfaces status
Par défaut, la vitesse et le mode duplex des ports sont configurés automatiquement. Le switch et le
périphérique connecté négocient la valeur de ces paramètres. Il est néanmoins possible de fixer ces
valeurs. Dans ce cas, les valeurs seront fixées sur le switch et sur le matériel connecté.
2960-RG(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
switch#
VLAN par défaut: Le vlan par défaut est le vlan 1. Lors du premier démarrage du switch, tous les ports
sont dans ce vlan.
VLAN natif: Le vlan appelé "natif" est le vlan qui n'est pas marqué sur une liaison trunk. Certains
protocoles comme VTP ou CDP utilisent ce vlan pour partager des informations. Pour des raisons de
sécurité, il est conseillé de le modifier afin qu'il ne correponde pas au vlan par défaut.
Configuration type d'un switch:
2960-RG(config)#vlan 2
2960-RG(config-vlan)#name administration
2960-RG(config-vlan)#ex
2960-RG(config)#vlan 3,4,5
2960-RG(config-vlan)#ex
2960-RG(config)#
L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis configurés
avec le vlan 4
2960-RG(config)#interface range fastEthernet 0/5-8
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
Pour interdire un vlan de passer par le lien trunk (dans l'exemple, le vlan3):
2960-RG(config-if)#switchport trunk allowed vlan remove 3
2960-RG(config-if)#
Feature VLAN:
--------------
VTP Operating Mode : Transparent
Maximum VLANs supported locally : 1005
Number of existing VLANs : 19
Configuration Revision : 0
MD5 digest : 0x1D 0x52 0x66 0xAA 0xD8 0xAA 0x30 0xFF
0x6C 0xCA 0xB0 0x6F 0x5C 0xF3 0x9D 0xCC
Switch#
Des commandes permettent de configurer la qualité de service automatiquement pour les ports
d'accès (sur lesquels sont reliés les téléphones) et pour les ports d'uplink (liaison entre les switches).
1. Activation de la qos pour les switchs séries 3750 et
2960
Port d'accès:
3750(config)#int fastEthernet 0/1
3750(config-if)#auto qos voip cisco-phone
3750(config-if)#end
Affichage de la configuration du port (les commandes de qualité de service ont été ajoutées):
3750#sh run int fastEthernet 1/0/1
Building configuration...
15 Configuration du spanning-tree
sur un switch Cisco
Configuration du spannnig-tree sur un switch Cisco.
Les commandes suivantes ont été testées sur des switchs série Catalyst 9200, 9200L, 3750 et 2960.
Pour rappel, l'objectif du protocole (défini par la norme 802.1d) est de gérer les boucles sur un
réseau local dans le cas de l'utilisation de lien redondant.
Si une possibilité de boucle est détectée, un des ports du switch est bloqué.
Par défaut le spanning-tree est actif sur le commutateur (mode pvst+). Il existe deux autres modes
disponibles sur les commutateurs: rapid pvst+ basé sur le protocole 802.1w et MSTP basé sur le
protocole 802.1s.
Dans certain cas, il est souhaitable de fixer les priorités par défaut.
Le switch qui aura la priorité la plus basse sera élu root. On choisit un switch qui est placé en tête du
réseau (backbone) puisque tout le traffic passe par lui et qu'en général, il n'y a pas beaucoup de
machine cliente connectée.
De plus, on peut préférer un lien par rapport à un autre, pour des raisons de débit différent par
exemple.
La priorité par défaut d'un switch est de 32768. La priorité d'un port par défaut est 128. Si on abaisse
le chiffre, le switch ou le port devient prioritaire par rapport aux autres.
1. Activation du rapid spanning-tree sur le switch
2960-RG(config)#spanning-tree mode rapid-pvst
VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 28673
Address 0008.e4ff.ec11
Cost 23
Port 9 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Il est possible, entre autre, de préciser une interface à la suite de la commmande sh spanning-tree.
VLAN04
Spanning tree enabled protocol rstp
Root ID Priority 24726
Address 0026.525b.3500
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
switch#
VLAN04
Spanning tree enabled protocol rstp
Root ID Priority 32918
Address 0008.e3de.fe32
Cost 23
Port 9 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
switch#
5. Configuration des ports d'accès reliés à un switch
Lors du démarrage d'un switch, la recherche de la meilleure topologie prend un peu de temps. La
commande suivante fait passer directement le port de l'état blocking à l'état forwarding, le
démarrage de l'interface est donc plus rapide. On appliquera cette commande sur les ports reliés à
des machines terminales (PC, imprimante, ...).
2960-RG(config)#int fa0/1
2960-RG(config-if)#no spanning-tree portfast
2960-RG(config-if)#end
2960-RG#sh run int fa0/1
Building configuration...
2960-RG#
Puis on configure l'étiquette associée à chaque message (ici local4) ainsi que l'adresse IP du serveur
syslog.
2960-RG(config)#logging facility local4
2960-RG(config)#logging 192.168.0.123
Quelques commandes de vérification: les associations avec le serveur ntp et l'affichage de la date et
de l'heure courante:
2960-RG#sh ntp associations
Nous configurons tout d'abord une liste d'accès pour autoriser uniquement la connexion du serveur
de management SNMP, puis nous indiquons le nom de la communauté SNMP ainsi que les droits
associés (lecture (ro) ou lecture/écriture (rw)).
2960-RG(config)#access-list 1 permit 192.168.1.2
2960-RG(config)#snmp-server community macomm ro 1
2960-RG(config)#exit
2960-RG#show snmp community
Dans ce cas, le numéro de version de l'IOS est 12.2(55)SE1. L'IOS est stocké dans la flash, le switch a
redémarré il y a deux semaines et c'est un 2960 8 ports.
L'IOS ainsi que les fichiers de configuration sont stockés à cet emplacement (flash:). On notera aussi
la place occupée et disponible.
Le switch redémarre. On fait ensuite la commande "show version" pour vérifier que la mise à jour a
bien fonctionné.
17.3Mise à jour d'un IOS switch série 2960
La commande suivante simplifie la mise à jour puisqu'elle fait tout toute seule (configuration des
variables, suppression de l'ancien IOS, et installation du nouvel IOS). Il ne reste plus qu'a redémarrer
le switch (il peut aussi redémarrer tout seul en option).
Bien sur, durant la mise à jour, il ne faut pas débrancher le switch sous réserve de devoir passer au
plan B qui est nettement plus long...
Lorsque le switch a terminé sa mise à jour, vérifions que la nouvelle image est en place par un dir
flash:, puis vérifions que le nouvel IOS est bien pris en compte dans les variables de démarrage:
2960-RG#show boot
BOOT path-list : flash:/c2960-lanbasek9-mz.122-55.SE1/c2960-lanbasek9-
mz.122-55.SE1.bin
Config file : flash:/config.text
Private Config file : flash:/private-config.text
Enable Break : no
Manual Boot : no
HELPER path-list :
Auto upgrade : yes
Auto upgrade path :
NVRAM/Config file
buffer size: 65536
Timeout for Config
Download: 0 seconds
Config Download
via DHCP: disabled (next boot: disabled)
2960-RG#
Si tout est OK, redémarrons le switch, la commande show version permet de vérifier la version de la
nouvelle image installée.
17.4Sauvegarde de la configuration
Sauvegarde du fichier de configuration en utilisant un serveur tftp.
2960-RG#copy flash:config.text tftp://192.168.2.1/
Address or name of remote host [192.168.2.1]?
Destination filename [config.text]?2960-conf.cfg
18 Comment mettre en place une pile
de switch 9200, 3750 ou 2960
18.1Pourquoi stacker des switchs?
Simplifier l'administration (l'ensemble des switchs apparaissent pour l'administrateur comme
un seul switch),
Améliorer la bande passante entre les switches,
Améliorer la redondance en cas de panne.
18.2Comment faire?
Il suffit de connecter le cable de stack à l'arrière des switches. Pour les switchs de série 2960 et 9200,
des modules doivent également être ajoutés.
Pour optimiser la bande passante et pour améliorer la redondance, l'architecture stackée formera
une boucle. Ci dessous, un exemple d'un stack composé de deux switchs.
Autre solution: Si il y a uniquement une différence de version entre les IOS et que ceux ci sont
récents (je vous laisse chercher la version minimum), le switch peut lancer une mise à jour
automatique.
Dans l'exemple suivant, le switch 2 a été ajouté, la version courante de l'IOS ne convient pas
(mismatch). Le switch lance la procédure de mise à jour automatique.
cisco-2960x#sh switch
Switch/Stack Mac Address : 0012.e350.0356
H/W Current
Switch# Role Mac Address Priority Version State
----------------------------------------------------------
*1 Master 1234.e350.0356 1 0 Ready
2 Member d235.eb65.3108 1 2 Version Mismatch
cisco-2960x#
Jan 21 14:42:30.338: %IMAGEMGR-6-AUTO_COPY_SW_INITIATED: Auto-copy-software
process initiated for switch number(s) 2
Si l'autoconfiguration ne se lance pas, on peut toujours tenter de recopier l'IOS sur le switch qui a été
ajouté.
La commande suivante recopie l'IOS du switch 1 vers le switch 2 (destination-system). Il faudra
ensuite rédémarrer le switch.
cisco-2960x#archive copy-sw /destination-system 2 1
Pour afficher le numéro d'un swith dans la pile, il faut presser le bouton mode pour selectionner
l'item stack, le numéro du port qui clignote correspond au numéro du switch.
sw-2960x#
sw-2960x#sh version
.....
Switch 02
---------
Switch Uptime : 5 weeks, 2 days, 22 hours, 11 minutes
Base ethernet MAC Address : 00:a2:05:8f:23:02
Motherboard assembly number : 86-9273-22
Power supply part number : 458-1032-15
......
Directory of flash2:/
.....
Lorsque le switch est retiré, la configuration concernant les ports de ce switch est toujours présente
dans le fichier de configuration. Il faut donc supprimer cette partie de configuration du fichier.
La séquence de commande suivante affiche les switchs appartenant à la pile (le switch 2 a été retiré).
Puis, on affiche un extrait du fichier de configuration et on supprime le switch 2 du fichier de
configuration.
Enfin, on enregistre la configuration (il n'est pas nécessaire de redémarrer la pile).
switch-2960x#show switch
Switch/Stack Mac Address : 0014.d8b2.3450
H/W Current
Switch# Role Mac Address Priority Version State
----------------------------------------------------------
*1 Master 0014.d8b2.3450 1 0 Ready
2 Member 0000.0000.0000 0 0 Removed
sw-2960x#sh switch
Switch/Stack Mac Address : 0024.d96d.e800
H/W Current
Switch# Role Mac Address Priority Version State
----------------------------------------------------------
*1 Master 0024.d96d.e800 1 0 Ready
2 Member 0024.5e23.a290 15 0 Ready
3 Member 0024.6256.0300 1 0 Ready
4 Member 0024.2b25.4520 1 0 Ready
19 Commande de diagnostique
19.1Comment afficher les switchs voisins?
Pour des raisons de sécurité, si nous n'utilisons pas cette fonctionnalité, il est préférable de
désactiver les protocoles suivants.
CDP
Cisco se sert du protocole CDP (cisco discovery protocol) pour afficher les informations sur les voisins
(en général d'autres commutateurs connectés). Il faut donc, pour que la commande fonctionne, que
le protocole cdp soit activé sur les switchs.
La commande suivante active le protocole cdp puis affiche les voisins.
sw-3750(config)#cdp run
sw-3750(config)#end
sw-3750#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Il est aussi possible d'afficher les détails sur le voisin, notamment l'adresse IP et le modèle de ce
dernier.
sw-3750#sh cdp neighbors gigabitEthernet 1/0/2 detail
LLDP
Tout comme cdp, lldp (link layer discovery protocol) est un protocole qui permet d'échanger des
informations avec les matériels voisins. Ce protocole est normalisé par l'IEEE (802.1ab).
lldp est utilisé par de nombreux constructeurs. C'est donc le protocole à utiliser en cas de parc
hétérogène.
System Description:
ProCurve J9451A Switch 6600
switc-3750#
Désactivation de lldp
switch-3750(config)#no lldp run
switch-3750(config)#
19.2Sans commentaire
sw-3750#ping
Protocol [ip]:
Target IP address: 192.168.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
sw-3750#
19.3Affichage des adresses Mac
sw-3750#sh mac address-table
Mac Address Table
-------------------------------------------
........
Vlan Mac Address Type Ports
---- ----------- -------- -----
100 0020.23a8.cafe DYNAMIC Fa2/0/20
100 0020.12a7.bebe DYNAMIC Fa2/0/1
......
Dans l'exemple:
Le port en écoute porte le numéro 1 (interface source).
Le port ou sera connecté le PC muni d'un analyseur de trame (wireshark par exemple) est le port 4
(interface destination)
La session a le numéro 1.
sw-2960(config)#monitor session 1 source interface fastEthernet 0/1
sw-2960(config)#monitor session 1 destination interface fastEthernet 0/4
Désactivation du mirroring
switch2(config)#no monitor session 1
Switch#
Switch#
6. Création et configuration des vlans
Switch(config)#vlan 2,3,4,100
Switch(config-vlan)#ex
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config)#interface vlan 3
Switch(config-if)#ip address 192.168.3.1 255.255.255.0
Switch(config)#interface vlan 4
Switch(config-if)#desc secretariat
Switch(config-if)#ip address 192.168.4.1 255.255.255.0
Switch(config)#interface vlan 100
Switch(config-if)#desc interco
Switch(config-if)#ip address 192.168.100.254 255.255.255.0
Switch(config-if)#^Z
Switch#
Les autres switchs sont connectés au commutateur de niveau 3 avec des liens trunk des deux cotés.
Les autres techniques qui concernent le routage (acl, dhcp, ospf, ...) s'appliquent dans le cas ci-dessus
aux interfaces logiques vlan au lieu de s'appliquer aux interfaces physiques.
21 Configuration d'un switch HP
Procurve
La première connexion s'effectue via le port console du switch. On utilisera pour cela un cable série
fourni en général avec le switch.
Nous aurons également besoin d'un terminal de connexion.
Exemples de logiciel client pour port série:
21.1Configuration du terminal
Pour pouvoir modifier la configuration, il faut passer en mode privilégié en entrant la commande
"enable".
Switch>enable
Switch#
switch-2850# conf t
switch-2850(config)#
Mode configuration d'une interface:
switch_hp(config)# interface ethernet 2
switch_hp(eth-2)#
Par exemple:
switch-2850#?
boot Reboot the device.
clear Clear table/statistics or authorized client public
keys.
configure Enter the Configuration context.
copy Copy datafiles to/from the switch.
debug Enable/disable debug logging.
end Return to the Manager Exec context.
hp-2600(config)#
Enfin, ? nous indique les choix possibles lors de la frappe des caractères d'une commande.
Exemple:
switch-2850# show ?
accounting Show Accounting configuration parameters.
arp Show the IP ARP translation table.
authentication Show Authentication configuration parameters.
authorization Show Authorization configuration parameters.
banner show the configured banner text.
boot-history Display the system boot log.
21.6Commande abrégée
Il est souvent possible d'utiliser les commandes abrégées.
Par exemple les commandes suivantes envoient le même résultat:
Running configuration:
hostname "switch-2850"
switch-2850# sh run
Running configuration:
hostname "switch-2850"
1. Le nom du switch
2. Le nom du contact
3. Le mot de passe administrateur
4. Le mode de connection par défaut (CLI ou Menu)
5. La gestion du temps
6. La configuration IP (passerelle par défaut, adresse IP)
switch(config)# setup
La navigation est indiquée: flêche et barre espace pour le choix des paramètres.
La touche entrée permet de passer au menu action (pour sauvegarder, quitter, éditer ou
bien demander de l'aide).
23.7Activation de ssh
switch-2850(config)# crypto key generate ssh rsa
Installing new RSA key. If the key/entropy cache is
depleted, this could take up to a minute.
switch-2850(config)# ip ssh
switch-2850(config)#
23.8Affichage de la configuration
Il y a deux types de configuration:
- la startup-config est la configuration utilisée au démarrage du switch,
- La running-config est la configuration courante.
Startup configuration:
Running configuration:
24 Configuration des interfaces d'un
switch HP procurve (CLI)
24.1Comment configurer la vitesse et le mode
duplex
Dans l'exemple, le port concerné est le numéro 10. On affiche les différents choix possibles pour une
interface 10/100/1000 puis on fixe la vitesse à 100 full duplex.
2800-sw(config)# interface ethernet 10
2800-sw(eth-10)#
2800-sw(eth-10)# speed-duplex ?
10-half 10 Mbps, half duplex.
100-half 100 Mbps, half duplex.
10-full 10 Mbps, full duplex.
100-full 100 Mbps, full duplex.
1000-full 1000 Mbps, full duplex.
auto Use Auto Negotiation for speed and duplex mode.
auto-10 10 Mbps, use Auto Negotiation for duplex mode.
auto-100 100 Mbps, use Auto Negotiation for duplex mode.
auto-1000 1000 Mbps, use Auto Negotiation for duplex mode.
auto-10-100 10 or 100 Mbps, and half or full duplex, using Auto
Negotiation.
2800-sw(eth-10)# speed-duplex 100-full
2800-sw(eth-10)#
Rx Tx
Port Mode | --------------------------- | ---------------------------
| Kbits/sec Pkts/sec Util | Kbits/sec Pkts/sec Util
--------- -------- + ---------- ---------- ----- + ---------- ----------
-----
1 1000FDx | 5000 1 00.50 | 5008 6 00.50
2 1000FDx | 0 0 0 | 0 0 0
3 1000FDx | 5008 7 00.50 | 5072 14 00.50
4 1000FDx | 0 0 0 | 0 0 0
Name :
Link Status : Up
Totals (Since boot or last clear) :
Bytes Rx : 3,815,444,191 Bytes Tx : 83,589,373
Unicast Rx : 20,864,126 Unicast Tx : 44,424,179
Bcast/Mcast Rx : 181,910 Bcast/Mcast Tx : 22,767,957
Errors (Since boot or last clear) :
FCS Rx : 0 Drops Rx : 0
Alignment Rx : 0 Collisions Tx : 0
Runts Rx : 0 Late Colln Tx : 0
Giants Rx : 0 Excessive Colln : 0
Total Rx Errors : 19 Deferred Tx : 0
Rates (5 minute weighted average) :
Total Rx (bps) : 5005376 Total Tx (bps) : 5018432
Unicast Rx (Pkts/sec) : 2 Unicast Tx (Pkts/sec) : 1
B/Mcast Rx (Pkts/sec) : 0 B/Mcast Tx (Pkts/sec) : 10
Utilization Rx : 00.50 % Utilization Tx : 00.50 %
Dans l'exemple, le vlan dédié à la VoIP est configuré sur tous les ports en complément du vlan data.
2650-hp(config)#vlan 4
2650-hp(vlan-5)# tagged ethernet 1-48
2650-hp(vlan-5)#voice