Académique Documents
Professionnel Documents
Culture Documents
Sommaire
1
1
2 2 3 3
4 6
6 7
10
10 12 13 14 16 17
18 20 21 22 23 24
26
26 28 29
29 30
Sommaire
31
35
35
Slection de l'image active Tlchargement ou sauvegarde d'une configuration ou d'un journal Affichage des proprits des fichiers de configuration
38 39 42
Copie ou enregistrement des types de fichiers de configuration du commutateur 42 Dfinition de la configuration automatique DHCP 43
46
46
46 48
Modles de commutateurs Redmarrage du commutateur Surveillance de l'tat et de la temprature du ventilateur Dfinition du dlai d'expiration en cas de session inactive
49 51 52 52
54
55 56 58 61
63
63 66 67 69
Sommaire
70
70
70 71
Configuration de LLDP
Configuration des proprits LLDP Modification des paramtres de port LLDP Protocole LLDP MED Configuration d'une stratgie rseau LLDP MED Configuration des paramtres de port LLDP MED Affichage de l'tat des ports LLDP Affichage des informations LLDP locales Affichage des informations LLDP des voisins Accs aux statistiques LLDP Surcharge LLDP
72
73 74 77 77 79 80 81 85 89 90
93
93 94 98 100 100
101
101 103
104
Green Ethernet
Dfinition de proprits Green Ethernet globales Dfinition de proprits Green Ethernet pour chaque port
105
106 107
Sommaire
109
109
109 110 111
112 113
115
115 118 119 120 122
123 124 125
Paramtres GVRP
Dfinition des paramtres GVRP
126
126
Groupes VLAN
Assignation de groupes VLAN bass sur MAC Assignation d'un ID de groupe VLAN un VLAN par interface
127
127 128
VLAN voix
Options de VLAN voix Contraintes du VLAN voix
129
131 132
132
133
135
136 137
Sommaire
Dfinition des paramtres d'interface du Spanning Tree Configuration des paramtres Rapid Spanning Tree Multiple Spanning Tree Dfinition des proprits MSTP Mappage des VLAN une instance MST Dfinition des paramtres d'instance MSTP Dfinition des paramtres de l'interface MSTP
150
151 152
152 152
154
156
156
157 158 158 159
Dfinition des proprits de multidiffusion Adresse MAC de groupe Adresse IP de multidiffusion de groupe Traage IGMP Snooping Traage MLD Snooping IP de multidiffusion de groupes IGMP/MLD Port de routeur de multidiffusion Dfinition de la multidiffusion Tout transfrer Dfinition de paramtres de multidiffusion non enregistre
Sommaire
178
178
180 180 185 185 187 188 190 192 194
Dfinition du routage statique IPv4 Activation du proxy ARP Dfinition du relais UDP Relais DHCP
Dfinition des proprits du relais DHCP Dfinition des interfaces de relais DHCP
200 202
202 204
206
207
207 208
Configuration de TACACS+
Configuration des paramtres TACACS+ par dfaut Ajout d'un serveur TACACS+
209
210 211
212
213
Sommaire
214 216
217 220
Configuration des services TCP/UDP Dfinition du contrle des temptes Configuration de la scurit des ports 802.1X
Flux de travail des paramtres 802.1X Dfinition des proprits 802.1X Configuration de VLAN non authentifis Dfinition de l'authentification des ports 802.1X Dfinition de l'authentification des htes et sessions Affichage des htes authentifis Dfinition de priodes Dfinition d'une plage rcurrente
242
242
249
249 252
252
254
254 255
258
259
262
Sommaire
264
264
265 266
Configuration du QoS
Affichage des proprits de QoS Modification de la valeur de CoS par dfaut de l'interface Configurer de files d'attente de QoS Mappage CoS/802.1p vers file d'attente Mappage DSCP file d'attente Configuration de la bande passante Configuration du lissage en sortie pour chaque file d'attente Configuration de la limite de dbit VLAN vitement de l'encombrement TCP
268
268 269 269 271 273 274 275 276 277
278
278 279 280
280
282 283 284 285 287 288 288 291
291
291 293
Sommaire
296
296
296 297 298 299
ID d'objet du modle ID de moteur SNMP Configuration de vues SNMP Cration de groupes SNMP Cration d'utilisateurs SNMP Dfinition de communauts SNMP Dfinition de paramtres de messages trap Destinataires de notifications
Dfinition de destinataires de notifications SNMPv1.2 Dfinition de destinataires de notifications SNMPv3
316
318
319
319 320
Connexion via Telnet Navigation dans le menu de configuration de la console Menu principal de l'interface de console
Menu de configuration du systme Informations systme Paramtres de gestion Paramtres de nom d'utilisateur et de mot de passe Paramtres de scurit Gestion des VLAN
10
Sommaire
Configuration IP Configuration d'adresse IPv6 Configuration rseau Gestion de fichiers tat des ports Configuration des ports Mode du systme Aide Se dconnecter
11
1
Avant de commencer
Ce chapitre propose une introduction l'interface utilisateur et englobe les rubriques suivantes : Dmarrage de l'utilitaire Web de configuration de commutateur Configuration du commutateur - Dmarrage rapide Navigation dans les fentres
Avant de commencer
Dmarrage de l'utilitaire Web de configuration de commutateur
d'alimentation clignote de faon continue. Lorsque le commutateur utilise une adresse IP affecte par DHCP ou une adresse IP statique configure par un administrateur, sa LED d'alimentation reste allume.
Connexion
Connexion Le nom d'utilisateur par dfaut est cisco tandis que le mot de passe par dfaut est cisco. Lors de votre premire ouverture de session avec le nom d'utilisateur et le mot de passe par dfaut, vous tes invit entrer un nouveau mot de passe. Pour vous connecter l'utilitaire de configuration de l'appareil :
TAPE 1 Saisissez le nom d'utilisateur/le mot de passe. Le nom d'utilisateur/mot de passe
par dfaut est cisco/cisco. Le mot de passe peut comporter au maximum 32 caractres ASCII. Les rgles de complexit du mot de passe sont dcrites la section Dfinition de rgles de complexit des mots de passe du chapitre Configuration de la scurit.
TAPE 2 Si vous n'utilisez pas l'anglais, slectionnez la langue souhaite dans le menu
droulant Langue. Pour ajouter une nouvelle langue au commutateur ou mettre jour une langue dj enregistre, reportez-vous la section Mettre niveau/ sauvegarder micrologiciel/langue.
TAPE 3 S'il s'agit de votre premire ouverture de session avec le nom d'utilisateur par
dfaut (cisco) et le mot de passe par dfaut (cisco) ou si votre mot de passe a expir, la rubrique Modifier le mot de passe s'ouvre. Pour plus d'informations, reportez-vous la section Expiration du mot de passe.
TAPE 4 Saisissez le nouveau nom d'utilisateur/mot de passe et cliquez sur Appliquer.
Avant de commencer
Dmarrage de l'utilitaire Web de configuration de commutateur
Si vous avez saisi un nom d'utilisateur ou un mot de passe erron, un message d'erreur apparat et la rubrique Connexion reste affiche sur la fentre. Si vous rencontrez des problmes pour vous connecter, reportez-vous la section Lancement de l'utilitaire de configuration du Guide d'administration du commutateur administrable Cisco Small Business srie 300 pour plus d'informations. Slectionnez Ne pas afficher cette page au dmarrage pour que la rubrique Avant de commencer ne s'affiche pas chaque fois que vous vous connectez au systme. Si vous slectionnez cette option, la rubrique Rcapitulatif du systme s'ouvre la place de la rubrique Avant de commencer.
Dconnexion
Dconnexion Par dfaut, l'application se dconnecte au bout de dix minutes d'inactivit. Vous pouvez modifier cette valeur par dfaut en suivant la procdure dcrite la section Dfinition du dlai d'expiration en cas de session inactive du chapitre Informations et oprations administratives gnrales.
!
ATTENTION Sauf si la Configuration d'excution est copie sur la Configuration de dmarrage,
toutes les modifications apportes depuis le dernier enregistrement du fichier sont perdues en cas de redmarrage du commutateur. Nous vous conseillons d'enregistrer la Configuration d'excution dans la Configuration de dmarrage avant de vous dconnecter afin de conserver toute modification apporte au cours de cette session.
Avant de commencer
Configuration du commutateur - Dmarrage rapide
Une icne X rouge qui s'affiche gauche du lien d'application Enregistrer indique que des changements apports la Configuration d'excution n'ont pas encore t enregistrs dans le fichier de Configuration de dmarrage. Lorsque vous cliquez sur Enregistrer, la rubrique Copier/enregistrer la configuration s'affiche. Enregistrez le fichier de Configuration d'excution en le copiant sur le fichier de Configuration de dmarrage. Une fois cet enregistrement effectu, l'icne X rouge et le lien d'application Enregistrer ne s'affichent plus. Pour vous dconnecter, cliquez sur Se dconnecter en haut droite de n'importe quelle page. Le systme se dconnecte du commutateur. En cas d'expiration du dlai ou si vous vous dconnectez intentionnellement du systme, un message apparat et la rubrique Connexion s'ouvre en affichant un message indiquant l'tat dconnect. Une fois que vous vous tes connect, l'application retourne la page initiale. La page initiale qui s'affiche dpend de l'option Ne pas afficher cette page au dmarrage de la rubrique Avant de commencer. Si vous n'avez pas slectionn cette option, la page initiale est la rubrique Avant de commencer. Si vous avez slectionn cette option, la page initiale est la rubrique Rcapitulatif du systme.
Liens de la page Avant de commencer Catgorie Nom du lien (sur la page) Page correspondante Rubrique Interface IPv4 Rubrique Crer un VLAN Rubrique Paramtres du port
Configuration Modifier l'adresse IP de initiale l'appareil Crer un VLAN Configurer les paramtres de port
Avant de commencer
Configuration du commutateur - Dmarrage rapide
1
Page correspondante Rubrique Rcapitulatif du systme Rubrique Interface Rubrique Statistiques Rubrique Mmoire RAM Rubrique Comptes d'utilisateurs Mettre niveau/sauvegarder micrologiciel/langue Rubrique Tlcharger/ sauvegarder configuration/ journal Rubrique ACL base sur MAC Rubrique ACL base sur IPv4 Rubrique Proprits de QoS Rubrique Mise en miroir des ports et VLAN
Liens de la page Avant de commencer (Suite) Catgorie Nom du lien (sur la page)
tat du Rcapitulatif du systme commutateur Statistiques des ports Statistiques RMON Afficher le journal Accs rapide Modifier le mot de passe de l'appareil Mettre niveau le logiciel de l'appareil Configuration de sauvegarde de l'appareil Crer une ACL base sur MAC Crer une ACL base sur IP Configurer la QoS Configurer la mise en miroir des ports
Avant de commencer
Navigation dans les fentres
1
Cette section dcrit les fonctionnalits de l'utilitaire Web de configuration du commutateur.
En-tte d'application
En-tte d'application L'en-tte d'application s'affiche sur toutes les pages. Il fournit les liens d'application suivants :
Liens d'application Nom du lien d'application Description Une icne X rouge qui s'affiche gauche du lien d'application Enregistrer indique que des changements apports la Configuration d'excution n'ont pas encore t enregistrs dans le fichier de Configuration de dmarrage. Cliquez sur Enregistrer pour afficher la rubrique Copier/ enregistrer la configuration. Enregistrez le type de fichier de Configuration d'excution en le copiant sur le type de fichier de Configuration de dmarrage sur le commutateur. Une fois cet enregistrement effectu, l'icne X rouge et le lien d'application Enregistrer ne s'affichent plus. Lors du redmarrage du commutateur, celui-ci copie le fichier de Configuration de dmarrage sur la Configuration d'excution et dfinit ses paramtres en fonction des donnes prsentes dans la Configuration d'excution. Utilisateur Cliquez pour afficher le nom de l'utilisateur connect au commutateur. Le nom d'utilisateur par dfaut est cisco. (Le mot de passe par dfaut est galement cisco.) Cliquez pour vous dconnecter de l'utilitaire Web de configuration du commutateur. Cliquez pour afficher le nom du commutateur et son numro de version.
Se dconnecter propos de
Avant de commencer
Navigation dans les fentres
1
Liens d'application (Suite) Nom du lien d'application Aide Menu Langue Description Cliquez pour afficher l'aide en ligne. Slectionnez une langue ou chargez un nouveau fichier de langue dans le commutateur. Si la langue requise s'affiche dans le menu, slectionnez-la. Dans le cas contraire, slectionnez Tlcharger une langue. Pour plus d'informations sur l'ajout d'une nouvelle langue, reportezvous Mettre niveau/sauvegarder micrologiciel/ langue. L'icne d'tat d'alerte Syslog s'affiche en cas de journalisation d'un message SYSLOG dont le niveau de svrit se situe au-dessus du niveau critique. Cliquez sur l'icne pour ouvrir la rubrique Mmoire RAM. Une fois que vous aurez accd cette page, l'icne d'tat d'alerte Syslog ne s'affichera plus. Pour afficher la page en l'absence de message SYSLOG actif, suivez le chemin tat et statistiques > Afficher le journal > Mmoire RAM.
Boutons de gestion
Boutons de gestion La table suivante dcrit les boutons couramment utiliss qui s'affichent sur diffrentes pages du systme.
Boutons de gestion Nom du bouton Description Naviguez dans la table en utilisant les flches droite et gauche lorsque cette table comporte plus de 50 entres.
Avant de commencer
Navigation dans les fentres
1
Boutons de gestion (Suite) Nom du bouton Ajouter Description Cliquez pour afficher la rubrique Ajouter correspondante et ajouter une entre une table. Saisissez les informations requises et cliquez sur Appliquer pour les enregistrer dans la Configuration d'excution. Cliquez sur Fermer pour retourner la page principale. Cliquez sur Enregistrer pour afficher la rubrique Copier/enregistrer la configuration et enregistrer la Configuration d'excution dans le type de fichier de Configuration de dmarrage sur le commutateur. Cliquez pour appliquer des modifications la Configuration d'excution sur le commutateur. En cas de redmarrage du commutateur, la Configuration d'excution est perdue, sauf si elle a t enregistre dans le type de fichier de Configuration de dmarrage ou dans un autre type de fichier. Cliquez sur Enregistrer pour afficher la rubrique Copier/enregistrer la configuration et enregistrer la Configuration d'excution dans le type de fichier de Configuration de dmarrage sur le commutateur. Cliquez sur rinitialiser les modifications apportes la page. Cliquez pour effacer les compteurs de statistiques de toutes les interfaces.
Appliquer
Annuler Effacer les compteurs de toutes les interfaces Effacer les compteurs de l'interface Effacer les journaux Effacer la table Fermer
Cliquez pour effacer les compteurs de statistiques de l'interface slectionne. Efface les fichiers journaux. Efface les entres de la table. Permet de revenir la page principale. Un message s'affiche si des modifications n'ont pas t appliques la Configuration d'excution.
Avant de commencer
Navigation dans les fentres
1
Boutons de gestion (Suite) Nom du bouton Copier les paramtres Description Une table comporte gnralement une ou plusieurs entres contenant des paramtres de configuration. Au lieu de modifier chaque entre individuellement, il est possible de modifier une entre puis de la copier sur plusieurs autres, comme cela est dcrit ci-dessous : 1. Slectionnez l'entre copier. Cliquez sur Copier les paramtres pour afficher la fentre contextuelle. 2. Saisissez les numros des entres de destination dans le champ de destination. 3. Cliquez sur Appliquer pour enregistrer les modifications et sur Fermer pour retourner la page principale. Supprimer Slectionnez l'entre supprimer dans la table et cliquez sur Supprimer pour valider l'opration. L'entre est supprime. Cliquez pour afficher les dtails associs l'entre slectionne sur la page principale. Slectionnez l'entre et cliquez sur Modifier. La rubrique Modifier s'ouvre et l'entre peut tre modifie. 1. Cliquez sur Appliquer pour enregistrer les modifications dans la Configuration d'excution. 2. Cliquez sur Fermer pour retourner la page principale. OK Saisissez les critres de filtrage de requtes et cliquez sur OK. Les rsultats s'affichent sur la page.
Dtails Modifier
2
Affichage des statistiques
Ce chapitre explique comment afficher les statistiques du commutateur. Il englobe les sections suivantes : Affichage de l'interface Ethernet Affichage des statistiques Etherlike Affichage des statistiques GVRP Affichage des statistiques EAP 802.1X Affichage de l'utilisation de la mmoire TCAM Gestion des statistiques RMON
10
Interface : slectionnez le type d'interface et l'interface spcifique pour laquelle les statistiques Ethernet doivent tre affiches. Taux d'actualisation : slectionnez la dure qui s'coule avant l'actualisation des statistiques Ethernet de l'interface. Les options disponibles sont les suivantes : Aucune actualisation : les statistiques ne sont pas actualises. 15 s : les statistiques sont actualises toutes les 15 secondes. 30 s : les statistiques sont actualises toutes les 30 secondes. 60 s : les statistiques sont actualises toutes les 60 secondes.
La zone Statistiques de rception affiche les informations se rapportant aux paquets entrants. Total des octets : octets reus, y compris les paquets errons et les octets FCS, mais sans les bits de synchronisation. Paquets unicast : paquets unicast corrects reus. Paquets multicast : paquets multicast corrects reus. Paquets broadcast : paquets broadcast corrects reus. Paquets avec erreurs : paquets avec erreurs reus.
La zone Statistiques de transmission affiche les informations se rapportant aux paquets sortants. Total des octets : octets transmis, y compris les paquets errons et les octets FCS, mais sans les bits de synchronisation. Paquets unicast : paquets unicast corrects transmis. Paquets multicast : paquets multicast corrects transmis. Paquets broadcast : paquets broadcast corrects transmis.
11
2
Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs de l'interface affiche. Cliquez sur Effacer les compteurs de toutes les interfaces pour effacer les compteurs de l'ensemble des interfaces.
Interface : slectionnez le type d'interface et l'interface spcifique pour laquelle les statistiques Ethernet doivent tre affiches. Taux d'actualisation : slectionnez la dure qui s'coule avant l'actualisation des statistiques Etherlike.
Les champs sont affichs pour l'interface slectionne. Erreurs FCS (Frame Check Sequence) : trames reues ayant chou aux contrles de redondance cyclique (CRC). Trames de collision individuelle : nombre de trames impliques dans une collision individuelle, mais ayant t transmises avec succs. Collisions tardives : collisions ayant t dtectes aprs les 512 premiers octets de donnes. Collisions excessives : nombre de transmissions dues des collisions excessives. Paquets de taille excessive : paquets de plus de 1 518 octets reus.
12
2
Erreurs de rception MAC internes : trames rejetes en raison d'erreurs de destination. Trames de pause reues : trames de pause de contrle de flux reues. Trames de pause transmises : trames de pause de contrle de flux transmises depuis l'interface slectionne.
Pour effacer les compteurs de statistiques : Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs de statistiques Etherlike de l'interface slectionne. Cliquez sur Effacer les compteurs de toutes les interfaces pour effacer les compteurs de statistiques Etherlike de l'ensemble des interfaces.
Interface : slectionnez l'interface et l'interface spcifique pour laquelle les statistiques GVRP doivent tre affiches. Taux d'actualisation : slectionnez la dure qui s'coule avant l'actualisation de la page des statistiques GVRP.
13
Le pav comptabilisant les attributs affiche les compteurs de diffrents types de paquets par interface. Connexion (vide) : nombre de paquets Connexion (vide) GVRP reus/ transmis. Vide : nombre de paquets Vide GVRP reus/transmis. Sortie (vide) : nombre de paquets Sortie (vide) GVRP reus/transmis. Connexion : nombre de paquets Connexion GVRP reus/transmis. Sortie : nombre de paquets Sortie GVRP reus/transmis. Sortie (tous) : nombre de paquets Sortie (tous) GVRP reus/transmis.
La section Statistiques d'erreurs GVRP affiche les compteurs d'erreurs GVRP. ID de protocole non valide : erreurs d'ID de protocole non valide. Type d'attribut non valide : erreurs de type d'attribut non valide. Valeur d'attribut non valide : erreurs de valeur d'attribut non valide. Longueur d'attribut non valide : erreurs de longueur d'attribut non valide. vnement non valide : vnements non valides.
Pour effacer les compteurs, cliquez sur Effacer les compteurs de l'interface. Les compteurs de statistiques GVRP sont alors effacs.
statistiques EAP.
14
Les valeurs sont affiches pour l'interface slectionne. Trames EAPOL reues : trames EAPOL valides reues sur le port. Trames EAPOL transmises : trames EAPOL valides transmises par le port. Trames EAPOL de dbut reues : trames EAPOL de dbut reues sur le port. Trames EAPOL de dconnexion reues : trames EAPOL de dconnexion reues sur le port. Trames ID/de rponse EAP reues : trames ID/de rponse EAP reues sur le port. Trames de rponse EAP reues : trames de rponse EAP reues par le port (autres que les trames ID/de rponse). Trames ID/de demande EAP transmises : trames ID/de demande EAP transmises par le port. Trames de demande EAP transmises : trames de demande EAP transmises par le port. Trames EAPOL non valides reues : trames EAPOL non reconnues reues sur ce port. Trames d'erreur de longueur EAP reues : trames EAPOL avec une longueur de corps de paquet non valide reues sur ce port. Version de la dernire trame EAPOL : numro de version de protocole associ la dernire trame EAPOL reue. Source de la dernire trame EAPOL : adresse MAC source associ la dernire trame EAPOL reue.
15
Rgles TCAM par processus Processus Par port/ Allocation par l'activation commutateur Port Port Port 6/appareil 6/appareil 0 Limite maximale de processus Aucune limite Aucune limite Aucune limite Rgles TCAM max. utilises par entre utilisateur 1 ou 2 entres TCAM par rgle 1 ou 2 entres TCAM par rgle 1 ou 2 Les rgles sont dupliques pour les VLAN bass sur MAC. Commentaires
Rgles du mode avanc de QoS Rgles de contrle d'accs VLAN bas sur le protocole
16
2
Limite maximale de processus Aucune limite Rgles TCAM max. utilises par entre utilisateur Aucune limite Commentaires
Rgles TCAM par processus (Suite) Processus Par port/ Allocation par l'activation commutateur Port 0
Les rgles sont dupliques pour les VLAN bass sur MAC.
DHCP Snooping
Commutateur
2/appareil
8 entres TCAM par rgle de DHCP Snooping 1 entre TCAM par entre IP Source Guard 4 entres TCAM par rgle d'inspection ARP 1 rgle globale par limite de dbit VLAN Une rgle supplmentaire est cre pour chaque rgle Autoriser de l'interface.
IP Source Guard
Port
Inspection ARP
Commutateur
2/appareil
Les deux
255
17
RMON rduit le trafic entre le gestionnaire et le commutateur ; le gestionnaire SNMP n'a en effet pas interroger frquemment le commutateur afin d'obtenir des informations. Il permet en outre au gestionnaire d'obtenir des rapports d'tat opportuns, le commutateur signalant les vnements mesure qu'ils se produisent. Cette fonction vous permet de raliser les actions suivantes : Afficher les statistiques (valeurs de compteurs) actuelles, c'est--dire depuis le dernier effacement. Vous pouvez galement collecter les valeurs de ces compteurs sur une priode puis afficher la table des donnes collectes, chaque ensemble collect reprsentant une ligne individuelle de l'onglet Historique. Dfinir des changements intressants dans les valeurs des compteurs, tels que a atteint un certain nombre de collisions tardives (dfinit l'alarme) puis dfinir l'action mettre en uvre lorsque cet vnement se produit (journal, messages trap ou journal et messages trap ).
affiches.
TAPE 3 Slectionnez le Taux d'actualisation, la dure qui s'coule avant l'actualisation des
statistiques de l'interface. Les statistiques sont affiches pour l'interface slectionne. Octets reus : nombre d'octets reus, y compris les paquets errons et les octets FCS, mais sans les bits de synchronisation. vnements d'abandon : nombre de paquets ayant t abandonns. Paquets reus : nombre de paquets reus, y compris les paquets errons, ainsi que les paquets multicast et broadcast.
18
2
Paquets broadcast reus : nombre de paquets broadcast corrects reus. Ce nombre n'inclut pas les paquets multicast. Paquets multicast reus : nombre de paquets multicast corrects reus. Erreurs d'alignement et CRC : nombre d'erreurs d'alignement et CRC qui se sont produites. Paquets de taille insuffisante : nombre de paquets de taille insuffisante (moins de 64 octets) reus. Paquets de taille excessive : nombre de paquets de taille excessive (plus de 1 632 octets) reus. Fragments : nombre de fragments (paquets de moins de 64 octets, l'exception des bits de synchronisation, mais incluant les octets FCS) reus. Jabotages : nombre total de paquets reus dont la taille dpassait 1 632 octets. Ce nombre exclut les bits de synchronisation, mais inclut les octets FCS qui comportaient une squence FCS (Frame Check Sequence) errone avec un nombre entier d'octets (Erreur FCS) ou une squence FCS errone avec un nombre non entier d'octets (Erreur d'alignement). Collisions : nombre de collisions reues. Si les trames Jumbo sont actives, le seuil des trames de jabotage est augment de faon correspondre la taille maximale des trames Jumbo. Trames de 64 octets : nombre de trames de 64 octets reues. Trames de 65 127 octets : nombre de trames de 65 127 octets reues. Trames de 128 255 octets : nombre de trames de 128 255 octets reues. Trames de 256 511 octets : nombre de trames de 256 511 octets reues. Trames de 512 1 023 octets : nombre de trames de 512 1 023 octets reues. Trames de 1 024 1 632 octets : nombre de trames de 1 024 1 632 octets reues.
TAPE 4 Slectionnez une autre interface dans le champ Interface. Les statistiques RMON
s'affichent.
19
contrle de l'historique s'ouvre. Cette page affiche les champs suivants : N d'entre d'historique : numro de l'entre dans la table d'historique. Interface source : ID de l'interface partir de laquelle les chantillons d'historique ont t recueillis. Nombre maximum d'chantillons conserver : nombre maximum d'chantillons stocker dans cette partie de la table d'historique. Intervalle d'chantillonnage : dure (en secondes) pendant laquelle des chantillons ont t collects au niveau des ports. La plage du champ est comprise entre 1 et 3 600. Propritaire : utilisateur ou station RMON ayant demand les informations RMON. La plage du champ est comprise entre 0 et 20 caractres. Nombre d'chantillons actuel : de par la norme, RMON est autoris ne pas accepter tous les chantillons demands et limiter plutt le nombre d'chantillons par demande. Ce champ reprsente donc le nombre d'chantillons rellement accord la demande, ce nombre tant gal ou infrieur la valeur demande.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter l'historique RMON s'ouvre. TAPE 3 Saisissez les paramtres.
Nouvelle entre d'historique : affiche le numro de la nouvelle entre de la table. Interface source : slectionnez le type d'interface partir de laquelle les chantillons d'historique doivent tre recueillis.
20
2
Nombre maximum d'chantillons conserver : saisissez le nombre d'chantillons stocker. Intervalle d'chantillonnage : saisissez la dure (en secondes) pendant laquelle des chantillons doivent tre collects au niveau des ports. La plage du champ est comprise entre 1 et 3 600. Propritaire : saisissez l'utilisateur ou la station RMON ayant demand les informations RMON. La plage du champ est comprise entre 0 et 20 caractres.
TAPE 4 Cliquez sur Appliquer. L'entre est ajoute la rubrique Table de l'historique et le
afficher les chantillons associs cette entre d'historique. Les champs sont affichs pour l'chantillon slectionn. Propritaire : propritaire de l'entre dans la table d'historique. N d'chantillon : les statistiques ont t rcupres de cet chantillon. vnements d'abandon : paquets abandonns en raison d'un manque de ressources rseau lors de l'intervalle d'chantillonnage. Cela peut ne pas correspondre au nombre exacts de paquets abandonns, mais plutt au nombre de dtections de paquets de ce type. Octets reus : octets reus, y compris les paquets errons et les octets FCS, mais sans les bits de synchronisation. Paquets reus : paquets reus, y compris les paquets errons, ainsi que les paquets multicast et broadcast.
21
2
Paquets broadcast : paquets broadcast corrects reus. Ce nombre n'inclut pas les paquets multicast. Paquets multicast : paquets multicast corrects reus. Erreurs d'alignement et CRC : erreurs d'alignement et CRC qui se sont produites. Paquets de taille insuffisante : paquets de taille insuffisante (moins de 64 octets) reus. Paquets de taille excessive : paquets de taille excessive (plus de 1 632 octets) reus. Fragments : fragments (paquets de moins de 64 octets) reus, l'exception des bits de synchronisation, mais incluant les octets FCS. Jabotages : nombre total de paquets reus dont la taille dpassait 1 632 octets. Ce nombre exclut les bits de synchronisation, mais inclut les octets FCS qui comportaient une squence FCS (Frame Check Sequence) errone avec un nombre entier d'octets (Erreur FCS) ou une squence FCS errone avec un nombre non entier d'octets (Erreur d'alignement). Collisions : collisions reues. Utilisation : pourcentage du trafic actuel de l'interface par rapport au trafic maximum pouvant tre gr par cette dernire.
22
2
Entre d'vnement : affiche le numro d'index d'entre d'vnement pour la nouvelle entre. Communaut : saisissez la chane de communaut SNMP inclure lors de l'envoi de messages trap (facultatif). Description : saisissez un nom pour l'vnement. Ce nom est utilis dans la rubrique Ajouter une alarme RMON pour joindre une alarme un vnement. Type : slectionnez le type d'action que provoque cet vnement. Les valeurs possibles sont : Aucun : aucune action ne se produit lorsque l'alarme s'arrte. Journal : ajoute une entre de journal lorsque l'alarme s'arrte. Message trap : envoie un message trap lorsque l'alarme s'arrte. Journal et message trap : ajoute une entre de journal et envoie un message trap lorsque l'alarme s'arrte.
TAPE 4 Cliquez sur Appliquer. L'vnement RMON est ajout et le commutateur mis jour.
d'vnements s'ouvre. Cette page affiche les champs suivants : vnement : numro de l'entre dans le journal d'vnements. N de journal : numro du journal.
23
2
Heure de journalisation : heure laquelle l'entre a t enregistre dans le journal. Description : description de l'entre du journal.
Entre d'alarme : affiche le numro d'entre de l'alarme. Interface : slectionnez le type d'interface pour lequel les statistiques RMON s'affichent. Nom du compteur : slectionnez la variable MIB qui indique le type d'occurrence mesur. Type d'chantillon : slectionnez la mthode d'chantillonnage pour gnrer une alarme. Les options disponibles sont les suivantes : Delta : soustrait la valeur du dernier chantillon de la valeur actuelle. La diffrence est compare au seuil. Si le seuil est franchi, une alarme est gnre.
24
2
Absolu : si le seuil est franchi, une alarme est gnre. Seuil suprieur : saisissez la valeur de compteur suprieure qui dclenche l'alarme de seuil suprieur. vnement de hausse : slectionnez un vnement, parmi ceux dfinis dans la Table des vnements, mettre en uvre en cas de dclenchement d'un vnement de hausse. Seuil infrieur : saisissez la valeur de compteur infrieure qui dclenche l'alarme de seuil infrieur. vnement de baisse : slectionnez un vnement, parmi ceux dfinis dans la Table des vnements, mettre en uvre en cas de dclenchement d'un vnement de baisse. Alarme de dmarrage : slectionnez le premier vnement partir duquel lancer la gnration d'alarmes. La hausse est dfinie en franchissant le seuil en partant d'un seuil de faible valeur vers un seuil de valeur plus importante. Alarme de hausse : une valeur de compteur en hausse dclenche l'alarme de seuil suprieur. Alarme de baisse : une valeur de compteur en baisse dclenche l'alarme de seuil infrieur. Hausse et baisse : des valeurs de compteur en hausse et en baisse dclenchent l'alarme.
Intervalle : saisissez l'intervalle (en secondes) entre les alarmes. Propritaire : saisissez le nom de l'utilisateur ou du systme de gestion du rseau qui reoit l'alarme.
TAPE 4 Cliquez sur Appliquer. L'alarme RMON est ajoute et le commutateur mis jour.
25
3
Gestion des journaux systme
Ce chapitre dcrit la fonction Journal systme, qui permet au commutateur de conserver plusieurs journaux indpendants. Chaque journal correspond un ensemble de messages enregistrant les vnements systme. Le commutateur gnre les journaux locaux suivants : Journal enregistr dans une liste cyclique d'vnements journaliss dans la mmoire RAM et effac lors du redmarrage du commutateur Journal enregistr dans un fichier journal cyclique enregistr dans la mmoire flash et conserv d'un redmarrage l'autre
Vous pouvez en outre journaliser des messages sur des serveurs SYSLOG de conservation de journaux sous la forme de messages trap SNMP et de messages SYSLOG. Ce chapitre englobe les sections suivantes : Dfinition des paramtres de journalisation systme Dfinition des paramtres de journalisation distante Affichage des journaux de la mmoire
Les niveaux de svrit des vnements sont rpertoris du niveau le plus lev au plus faible, comme suit : Emergency (Urgence) : le systme n'est pas utilisable. Alert (Alerte) : une action est requise. Critical (Critique) : le systme est dans un tat critique. Error (Erreur) : le systme subit une condition d'erreur. Warning (Avertissement) : un avertissement systme a t gnr. Notice (Remarque) : le systme fonctionne correctement mais une remarque systme a t gnre. Informational (Informatif) : information de l'appareil. Debug (Dbogage) : fournit des informations dtailles sur un vnement.
Vous pouvez slectionner des niveaux de svrit diffrents pour les journaux de la mmoire RAM et flash. Ces journaux s'affichent respectivement dans la rubrique Mmoire RAM et la rubrique Mmoire flash. Si vous choisissez d'enregistrer un niveau de svrit dans un journal, tous les vnements de svrit plus leve le seront galement. Les vnements pour lesquels le niveau de svrit est plus faible ne seront pas enregistrs dans ce journal. Par exemple, si Avertissement est slectionn, tous les niveaux de svrit de type Avertissement et plus levs sont enregistrs dans le journal (Urgence, Alerte, Critique, Erreur et Avertissement). Aucun vnement dont le niveau de svrit est infrieur Avertissement n'est enregistr (Remarque, Informatif et Dbogage).
Journalisation : slectionnez cette option pour activer la journalisation des messages. Agrgateur Syslog : slectionnez cette option pour activer l'agrgation des messages trap et des messages SYSLOG. Si elle est active, les messages trap et messages SYSLOG identiques et contigus sont
27
agrgs pour une priode spcifique et envoys dans un mme message. Les messages agrgs sont envoys dans l'ordre de leur arrive. Chaque message indique le nombre de fois o il a t agrg. Temps d'agrgation max. : saisissez la priode pendant laquelle les messages SYSLOG sont agrgs. Journalisation de la mmoire RAM : slectionnez les niveaux de svrit des messages journaliser dans la RAM. Journalisation de la mmoire flash : slectionnez les niveaux de svrit des messages journaliser dans la mmoire flash.
distants. La rubrique Serveurs de journalisation distants s'ouvre. Cette page affiche la liste des serveurs de journalisation distants.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un serveur de journalisation distant s'ouvre. TAPE 3 Saisissez les paramtres.
Version IP : slectionnez le format IP pris en charge. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration.
28
3
Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux.
Interface de liaison locale : slectionnez dans la liste de liaison locale (si la liaison locale du type d'adresse IPv6 est slectionne). Adresse IP de serveur de journalisation : saisissez l'adresse du serveur auquel les journaux sont envoys. Port UDP : saisissez le numro du port UDP auquel les messages de journal sont envoys. quipement : slectionnez une valeur pour l'quipement partir duquel les journaux systme sont envoys au serveur distant. Une seule valeur d'quipement peut tre affecte un serveur. Si un autre code d'quipement est affect, la premire valeur est remplace. Description : saisissez une description pour le serveur. Svrit minimum : slectionnez le niveau minimum des messages de journalisation systme envoyer au serveur.
Vous pouvez configurer les messages enregistrer dans chaque journal en fonction de leur svrit. Un message peut en outre tre enregistr dans plusieurs journaux, y compris ceux qui rsident sur des serveurs SYSLOG externes.
Mmoire RAM
Mmoire RAM La rubrique Mmoire RAM affiche, dans l'ordre chronologique, tous les messages enregistrs dans la RAM (cache). Les entres sont enregistres dans le journal de la RAM en fonction de la configuration dfinie dans la rubrique Paramtres des journaux.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 29
Le journal de la RAM est effac lors du redmarrage du commutateur ou lorsque vous cliquez sur le bouton Effacer les journaux. 1. Cliquez sur tat et statistiques > Afficher le journal > Mmoire RAM. La rubrique Mmoire RAM s'ouvre. Cette page contient les champs suivants : Index du journal : numro de l'entre dans le journal. Heure de journalisation : heure laquelle le message a t gnr. Svrit : niveau de svrit de l'vnement. Description : message texte dcrivant l'vnement.
2. Pour effacer les messages des journaux, cliquez sur Effacer les journaux. Les messages sont effacs.
Mmoire flash
Mmoire flash La rubrique Mmoire flash affiche, dans l'ordre chronologique, les messages enregistrs dans la mmoire flash. Le niveau de svrit minimum journaliser est configur dans la rubrique Paramtres des journaux. Les journaux de la mmoire flash sont conservs au redmarrage du commutateur. Vous pouvez effacer les journaux manuellement. Pour afficher les journaux de la mmoire flash, 1. Cliquez sur tat et statistiques > Afficher le journal > Mmoire flash. La
2. Pour effacer les messages, cliquez sur Effacer les journaux. Les messages sont effacs.
30
4
Gestion des fichiers systme
Vous pouvez choisir le fichier de micrologiciel partir duquel le commutateur dmarrera. Vous pouvez galement copier des types de fichiers en interne sur le commutateur ou depuis un appareil externe, un PC par exemple. Les mthodes de transfert de fichiers disponibles sont les suivantes : Copie interne HTTP qui utilise la structure fournie par le navigateur Client TFTP, ncessitant un serveur TFTP
Les fichiers de configuration du commutateur sont dfinis en fonction de leur type et comportent les rglages et valeurs de paramtres de l'appareil. Lorsqu'une configuration est rfrence sur le commutateur, cette opration s'effectue en fonction de son type de fichier de configuration et non en fonction d'un nom de fichier modifiable par l'utilisateur. Le contenu peut tre copi d'un type de fichier vers un autre, mais le nom des types de fichiers ne peut pas tre modifi par l'utilisateur. Les autres fichiers prsents sur l'appareil incluent les fichiers de micrologiciel, de code de dmarrage et journaux et sont appels fichiers oprationnels. Les fichiers de configuration sont des fichiers texte qui peuvent tre modifis par un utilisateur dans un diteur de texte tel que Bloc-notes une fois copis sur un appareil externe, un PC par exemple. Fichiers et types de fichiers Les types de fichiers de configuration et oprationnels suivants sont prsents sur le commutateur : Configuration d'excution : paramtres actuellement utiliss par le commutateur pour fonctionner. Il s'agit du seul type de fichier que vous modifiez, en changeant des valeurs de paramtres via l'une des interfaces de configuration. Il doit en outre tre enregistr manuellement pour pouvoir tre conserv.
31
4
En cas de redmarrage du commutateur, la Configuration d'excution est perdue. Lors du redmarrage du commutateur, ce type de fichier est copi de la Configuration de dmarrage enregistre dans la mmoire flash vers la Configuration d'excution stocke dans la RAM. Pour conserver toute modification apporte au commutateur, vous devez enregistrer la Configuration d'excution dans la Configuration de dmarrage ou dans un autre type de fichier si vous ne souhaitez pas que le commutateur redmarre avec cette configuration. Si vous avez enregistr la Configuration d'excution dans la Configuration de dmarrage, le commutateur recre, lors de son redmarrage, une Configuration d'excution qui inclut les modifications que vous avez apportes depuis le dernier enregistrement de la Configuration d'excution dans la Configuration de dmarrage.
Configuration de dmarrage : les valeurs de paramtres que vous avez enregistres en copiant une autre configuration (gnralement la Configuration d'excution) dans la Configuration de dmarrage. La Configuration de dmarrage est conserve dans la mmoire flash et prserve chaque redmarrage du commutateur. Lors du redmarrage, la Configuration de dmarrage est copie dans la RAM et identifie comme tant la Configuration d'excution.
Configuration de secours : copie manuelle des dfinitions de paramtres assurant une protection en cas d'arrt du systme ou pour la maintenance d'un tat de fonctionnement spcifique. Vous pouvez copier la Configuration miroir, la Configuration de dmarrage ou la Configuration d'excution sur un fichier de Configuration de secours. La Configuration de secours est conserve dans la mmoire flash et prserve en cas de redmarrage de l'appareil. Configuration miroir : une copie de la Configuration de dmarrage, cre par le commutateur si : le commutateur a fonctionn de faon continue pendant 24 heures ; aucune modification n'a t apporte la Configuration d'excution au cours des dernires 24 heures ; la Configuration de dmarrage est identique la Configuration d'excution.
Seul le systme peut copier la Configuration de dmarrage sur la Configuration miroir. Vous pouvez toutefois copier la Configuration miroir sur d'autres types de fichiers ou sur un autre appareil.
32
4
En cas de redmarrage du commutateur, les paramtres d'origine par dfaut de la Configuration miroir sont restaurs. Outre cette particularit, la Configuration miroir se comporte de la mme faon qu'une Configuration de secours, en fournissant une copie des valeurs de paramtres, copie qui sera conserve en cas de redmarrage du commutateur.
Micrologiciel : le systme d'exploitation. Plus communment appel l'image. Code de dmarrage : contrle le dmarrage de base du systme et lance l'image du micrologiciel. Fichier de langue : le dictionnaire qui permet l'affichage des fentres dans la langue slectionne. Journal flash : messages SYSLOG stocks dans la mmoire flash.
Actions des fichiers Les actions suivantes peuvent tre ralises pour grer le micrologiciel et les fichiers de configuration : Mettre niveau le micrologiciel ou le code de dmarrage ou remplacer une langue, comme dcrit dans la section Mettre niveau/sauvegarder micrologiciel/langue Afficher l'image du micrologiciel actuellement utilise ou slectionner l'image utiliser lors du redmarrage suivant, comme dcrit dans la section Slection de l'image active Enregistrer les fichiers du commutateur dans un emplacement situ sur un autre appareil, comme dcrit dans la section Tlchargement ou sauvegarde d'une configuration ou d'un journal Effacer les types de fichiers de Configuration de dmarrage ou de Configuration de secours, comme dcrit dans la section Affichage des proprits des fichiers de configuration Copier un type de fichier de configuration sur un autre type de fichier de configuration, comme dcrit dans la section Copie ou enregistrement des types de fichiers de configuration du commutateur Tlcharger un fichier de configuration d'un serveur TFTP sur le commutateur, comme dcrit dans la section Dfinition de la configuration automatique DHCP
33
!
ATTENTION Sauf si la Configuration d'excution est copie manuellement sur la Configuration
de dmarrage, la Configuration de secours ou un fichier externe, toutes les modifications apportes depuis le dernier enregistrement du fichier sont perdues lors du redmarrage du commutateur. Nous vous conseillons d'enregistrer la Configuration d'excution dans la Configuration de dmarrage avant de vous dconnecter afin de conserver toute modification apporte au cours de cette session. Une icne X rouge qui s'affiche gauche du lien d'application Enregistrer indique que des changements apports la configuration n'ont pas encore t enregistrs dans le fichier de Configuration de dmarrage. Lorsque vous cliquez sur Enregistrer, la rubrique Copier/enregistrer la configuration s'affiche. Enregistrez le fichier de Configuration d'excution en le copiant sur le fichier de Configuration de dmarrage. Une fois cet enregistrement effectu, l'icne X rouge et le lien vers la rubrique Copier/enregistrer la configuration sont masqus.
Ce chapitre dcrit la faon dont les fichiers de configuration et les fichiers journaux sont grs. Il contient les rubriques suivantes : Mettre niveau/sauvegarder micrologiciel/langue Slection de l'image active Tlchargement ou sauvegarde d'une configuration ou d'un journal Affichage des proprits des fichiers de configuration Copie ou enregistrement des types de fichiers de configuration du commutateur Dfinition de la configuration automatique DHCP
34
Les mthodes de transfert de fichiers suivantes sont actives : HTTP qui utilise la structure fournie par le navigateur TFTP qui ncessite un serveur TFTP
Si un nouveau fichier de langue a t charg sur le commutateur, la langue correspondante peut tre slectionne dans le menu droulant. (Il n'est pas ncessaire de redmarrer le commutateur.) Vous pouvez galement accder la rubrique Mettre niveau/sauvegarder micrologiciel/langue en slectionnant Tlcharger une langue dans le menu droulant Langue qui s'affiche sur toutes les pages.
35
dcrite dans cette tape. Sinon, passez l'TAPE 4. Slectionnez l'Action si enregistrement. Dans Action si enregistrement, si vous avez slectionn Mettre niveau pour spcifier que le type de fichier du commutateur doit tre remplac par une nouvelle version de ce type de fichier, situe sur un serveur TFTP, procdez comme suit. Sinon, passez la procdure suivante de cette tape. a. Type de fichier : slectionnez le type de fichier de destination. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.) b. Version IP : indiquez si l'adresse utilise est de type IPv4 ou IPv6. c. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux.
d. Interface de liaison locale : slectionnez dans la liste de liaison locale (si IPv6 est utilis). e. Serveur TFTP : saisissez l'adresse IP du serveur TFTP. f. Nom du fichier source : saisissez le nom du fichier source.
36
Dans Action si enregistrement, si vous avez slectionn Sauvegarder pour spcifier qu'une copie du type de fichier doit tre enregistre dans un fichier sur un autre appareil, procdez comme suit : a. Type de fichier : slectionnez le type de fichier source. Seuls les types de fichiers valides peuvent tre slectionns. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.) b. Version IP : indiquez si l'adresse utilise est de type IPv4 ou IPv6. c. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (si IPv6 est utilis). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux.
d. Interface de liaison locale : slectionnez dans la liste de liaison locale (si IPv6 est utilis). e. Serveur TFTP : saisissez l'adresse IP du serveur TFTP. f. Nom du fichier de destination : saisissez le nom du fichier de destination. Les noms de fichiers ne peuvent pas comporter de barres obliques (\ ou /) ; la premire lettre du nom du fichier ne doit pas tre un point (.) ; et les noms de fichiers sur un serveur TFTP ne doivent pas dpasser 160 caractres. (Caractres valides : A-Z, a-z, 0-9, . , - , _ )
TAPE 4 Si vous avez slectionn HTTP, saisissez les paramtres en suivant la procdure
dcrite dans cette tape. Slectionnez l'Action si enregistrement : seules les actions actives peuvent tre slectionnes. Dans Action si enregistrement, si vous avez slectionn Mettre niveau pour spcifier que le type de fichier du commutateur doit tre remplac par une nouvelle version de ce type de fichier, procdez comme suit. a. Type de fichier : slectionnez le type de fichier de configuration. Seuls les types de fichiers valides peuvent tre slectionns. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.)
37
b. Nom du fichier : cliquez sur Parcourir pour slectionner un fichier ou saisissez le chemin et le nom du fichier source utiliser pour le transfert. c. Cliquez sur Appliquer. Le fichier est mis niveau.
TAPE 5 Cliquez sur Appliquer ou sur Termin. Le fichier est mis niveau ou sauvegard.
identifier l'image du micrologiciel utilise en tant qu'image active une fois le commutateur redmarr. Numro de version de l'image active aprs redmarrage affiche la version du micrologiciel de l'image active utilise une fois le commutateur redmarr.
TAPE 3 Cliquez sur Appliquer. La slection de l'image active est mise jour.
38
Slectionnez l'Action si enregistrement. Dans Action si enregistrement, si vous avez slectionn Tlcharger pour spcifier que le fichier d'un autre appareil remplacera un type de fichier sur le commutateur, procdez comme suit. Sinon, passez la procdure suivante de cette tape. a. Version IP : indiquez si l'adresse utilise est de type IPv4 ou IPv6. b. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (si IPv6 est utilis). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau
39
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable partir d'autres rseaux.
c. Interface de liaison locale : slectionnez l'interface de liaison locale dans la liste. d. Serveur TFTP : saisissez l'adresse IP du serveur TFTP. e. Nom du fichier source : saisissez le nom du fichier source. Les noms de fichiers ne peuvent pas comporter de barres obliques (\ ou /) ; la premire lettre du nom du fichier ne doit pas tre un point (.) et les noms de fichiers sur le serveur TFTP ne peuvent dpasser 160 caractres. (Caractres valides : A-Z, a-z, 0-9, . , - , _ ) f. Type du fichier de destination : saisissez le type du fichier de configuration de destination. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.)
Dans Action si enregistrement, si vous avez slectionn Sauvegarder pour spcifier qu'un type de fichier doit tre copi sur un fichier d'un autre appareil, procdez comme suit : a. Version IP : indiquez si l'adresse utilise est de type IPv4 ou IPv6. b. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (si IPv6 est utilis). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable partir d'autres rseaux.
c. Interface de liaison locale : slectionnez l'interface de liaison locale dans la liste. d. Serveur TFTP : saisissez l'adresse IP du serveur TFTP.
40
e. Type du fichier source : saisissez le type du fichier de configuration source. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.) f. Nom du fichier de destination : saisissez le nom du fichier de destination. Les noms de fichiers ne peuvent pas comporter de barres obliques (\ ou /) ; la premire lettre du nom du fichier ne doit pas tre un point (.) ; et les noms de fichiers sur le serveur TFTP ne doivent pas dpasser 160 caractres. (Caractres valides : A-Z, a-z, 0-9, . , - , _ )
TAPE 4 Si vous avez slectionn HTTP, saisissez les paramtres en suivant la procdure
dcrite dans cette tape. Slectionnez l'Action si enregistrement. Dans Action si enregistrement, si vous avez slectionn Tlcharger pour spcifier que le type de fichier du commutateur doit tre remplac par une nouvelle version de ce type de fichier partir d'un fichier d'un autre appareil, procdez comme suit. Sinon, passez la procdure suivante de cette tape. a. Nom du fichier source : cliquez sur Parcourir pour slectionner un fichier ou saisissez le chemin et le nom du fichier source utiliser pour le transfert. b. Type du fichier de destination : slectionnez le type du fichier de configuration. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.) c. Cliquez sur Appliquer. Le fichier est transfr de l'autre appareil vers le commutateur. Dans Action si enregistrement, si vous avez slectionn Sauvegarder pour spcifier qu'un type de fichier doit tre copi sur un fichier d'un autre appareil, procdez comme suit : a. Type du fichier source : slectionnez le type de fichier de configuration. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.) b. Cliquez sur Appliquer. La fentre Tlchargement de fichier s'affiche. c. Cliquez sur Enregistrer. La fentre Enregistrer sous s'affiche. d. Cliquez sur Enregistrer.
TAPE 5 Cliquez sur Appliquer ou sur Termin. Le fichier est mis niveau ou sauvegard
41
Pour effacer un fichier de configuration, slectionnez-le et cliquez sur Effacer les fichiers.
!
ATTENTION Sauf si la Configuration d'excution est copie sur la Configuration de dmarrage
ou sur un autre fichier de configuration, toutes les modifications apportes depuis la dernire copie du fichier seront perdues lors du redmarrage du commutateur.
42
Les combinaisons suivantes de copie de types de fichiers internes sont autorises : De la Configuration d'excution sur la Configuration de dmarrage ou la Configuration de secours De la Configuration de dmarrage sur la Configuration de secours De la Configuration de secours sur la Configuration de dmarrage De la Configuration miroir sur la Configuration de dmarrage ou la Configuration de secours
valides s'affichent. (Les types de fichiers sont dcrits dans la section Fichiers et types de fichiers.)
TAPE 3 Slectionnez le Nom du fichier de destination remplacer par le fichier source. TAPE 4 Cliquez sur Appliquer. Le fichier est copi et le commutateur est mis jour.
43
REMARQUE Si vous activez Configuration automatique DHCP sur un commutateur sur lequel le
protocole DHCP est dsactiv, vous devez activer ce dernier en suivant la procdure dcrite dans la section Adressage IP. La rubrique Configuration automatique DHCP configure le commutateur afin qu'il reoive les informations DHCP pointant sur un serveur TFTP pour une configuration automatique ou une configuration manuelle du serveur TFTP et du fichier de configuration pour le cas o les informations ne seraient pas fournies dans un message DHCP. Notez les limitations suivantes se rapportant au processus de mise jour automatique DHCP : Un fichier de configuration plac sur le serveur TFTP doit correspondre aux exigences en termes de forme et de format du fichier de configuration pris en charge. La forme et le format du fichier sont vrifis mais la validit des paramtres de configuration n'est pas contrle avant son chargement dans la Configuration de dmarrage. Pour s'assurer que la configuration des appareils fonctionne comme prvu et en raison de l'allocation d'adresses IP diffrentes pour chaque cycle de renouvellement DHCP, les adresses IP doivent tre lies des adresses MAC dans la table des serveurs DHCP. Cela permet de garantir que chaque appareil dispose de sa propre adresse IP rserve ainsi que d'autres informations appropries.
Configuration automatique via DHCP : slectionnez ce champ pour activer ou dsactiver le transfert automatique d'une configuration d'un serveur TFTP vers la Configuration de dmarrage du commutateur. Serveur TFTP de secours : saisissez l'adresse IP du serveur TFTP utiliser si aucune adresse IP de serveur TFTP n'a t spcifie dans le message DHCP. Fichier de configuration de secours : saisissez le chemin et le nom du fichier utiliser si aucun fichier de configuration n'a t spcifi dans le message DHCP.
44
La fentre affiche les lments suivants : Adresse IP du dernier serveur TFTP pour configuration automatique : affiche l'adresse IP du dernier serveur TFTP utilis pour effectuer une configuration automatique. Dernier nom du fichier de configuration automatique : affiche le dernier nom de fichier utilis par le commutateur pour effectuer une configuration automatique. L'Adresse IP du dernier serveur TFTP pour configuration automatique et le Dernier nom du fichier de configuration automatique sont compars aux informations reues de la part d'un serveur DHCP lors de la rception d'une adresse IP de configuration pour le commutateur. Si ces valeurs ne correspondent pas, le commutateur transfre le fichier de configuration du serveur TFTP identifi par le serveur DHCP dans le fichier de Configuration de dmarrage puis initie un redmarrage. Si les valeurs correspondent, aucune action n'est initie.
TAPE 3 Cliquez sur Appliquer. La Configuration automatique DHCP est mise jour.
45
5
Informations et oprations administratives gnrales
Ce chapitre indique comment afficher les informations relatives au systme et configurer diffrentes options sur le commutateur. Il contient les rubriques suivantes : Informations systme Modles de commutateurs Redmarrage du commutateur Surveillance de l'tat et de la temprature du ventilateur Dfinition du dlai d'expiration en cas de session inactive
Informations systme
La rubrique Rcapitulatif du systme fournit une vue graphique du commutateur et affiche l'tat du commutateur, des informations sur le matriel, des informations sur le micrologiciel, l'tat PoE (Power-over-Ethernet) gnral, etc.
46
Informations systme : Description du systme : prsente une description du systme. Emplacement du systme : indique l'emplacement physique du commutateur. Cliquez sur Modifier pour accder la rubrique Paramtres systme et entrer cette information. Contact systme : nom d'une personne contacter. Cliquez sur Modifier pour accder la rubrique Paramtres systme et entrer cette information. Nom d'hte : nom du commutateur. Cliquez sur Modifier pour accder la rubrique Paramtres systme et entrer cette information. Par dfaut, le nom d'hte du commutateur se compose du mot commutateur concatn avec les trois octets les moins significatifs de l'adresse MAC du commutateur (les six chiffres hexadcimaux les plus droite). ID de l'objet systme : identification unique du fournisseur du soussystme de gestion du rseau contenu dans l'entit (utilise dans SNMP). Temps utilisation syst. : temps qui s'est coul depuis le dernier redmarrage. Heure actuelle : heure actuelle du systme. Adresse MAC de base : adresse MAC du commutateur. Trames Jumbo : tat de prise en charge des trames Jumbo. Cette prise en charge peut tre active ou dsactive depuis la rubrique Paramtres du port.
Informations sur la version du matriel et du micrologiciel : Description du modle : description du modle de commutateur. Numro de srie : numro de srie. PID VID : rfrence de pice et ID de version. Version du micrologiciel (image active) : numro de version du micrologiciel de l'image active. MD5 Checksum du micrologiciel (image active) : MD5 Checksum de l'image active. Version du micrologiciel (non active) : numro de version du micrologiciel de l'image non active. . MD5 Checksum du micrologiciel (non active) : MD5 Checksum de l'image non active.
47
Version de dmarrage : numro de version de dmarrage. MD5 Checksum de dmarrage : MD5 Checksum de la version de dmarrage. Locale : locale de la premire langue (toujours dfinie sur Anglais). Version de langue : version du micrologiciel du paquet linguistique principal. MD5 Checksum de langue : MD5 Checksum du fichier de langue. Locale : locale de la seconde langue. Version de langue : version du micrologiciel du paquet linguistique secondaire. MD5 Checksum de langue : MD5 Checksum du fichier de langue secondaire.
tat PoE gnral sur les modles dots de la fonctionnalit PoE : Puissance maximale disponible (W) : puissance maximale disponible pouvant tre fournie par le PoE. Consommation de l'alimentation principale (W) : puissance PoE actuelle fournie aux priphriques PoE connects. tat de fonctionnement du systme : mode d'alimentation du PoE.
systme s'ouvre.
TAPE 2 Modifiez les paramtres systme.
Description du systme : affiche une description du commutateur. Emplacement du systme : indiquez l'emplacement physique du commutateur. Contact systme : saisissez le nom d'une personne contacter.
48
Nom d'hte : slectionnez le nom d'hte : Valeurs par dfaut : le nom d'hte par dfaut (Nom du systme) de ces commutateurs est commutateur123456, o 123456 reprsente les trois derniers octets de l'adresse MAC du commutateur au format hexadcimal. Dfini par l'utilisateur : saisissez le nom d'hte. Utilisez uniquement des lettres, des chiffres et des tirets. Les noms d'htes ne peuvent pas tre prcds ou suivis d'un tiret. Les autres symboles, les signes de ponctuation et les espaces ne sont pas autoriss (comme cela est spcifi dans les normes RFC1033, 1034 et 1035).
TAPE 3 Cliquez sur Appliquer pour dfinir les valeurs dans la Configuration d'excution.
Modles de commutateurs
Tous les modles peuvent tre entirement grs via l'utilitaire Web de configuration du commutateur. Le Niveau 2 est le mode de fonctionnement par dfaut de tous les appareils. En mode Niveau 2, le commutateur transfre les paquets en tant que pont VLAN-aware. En mode Niveau 3, le commutateur effectue la fois un routage IPv4 et un pontage VLAN-aware. Chaque modle peut tre configur en mode Niveau 3 en utilisant l'interface console, dcrite dans le chapitre Interface de la console du guide d'administration. Lorsque le commutateur fonctionne en mode Niveau 3, les contrleurs de limite du dbit VLAN et de QoS ne sont pas oprationnels. Les autres fonctionnalits du Mode avanc de QoS sont quant elles oprationnelles.
g1-g10, 8 GE + 2 ports combo (GE/ SFP) g1-g10, 8 GE + 2 ports combo g1-g10, 8 GE + 2 ports combo 124 W au maximum 62 W au maximum 8 8
49
5
Puissance ddie au PoE Nbre de ports grant PoE
g1-g20, 16 GE + 4 GE-2 logements SFP partags g1-g28. 24 ports normaux et quatre ports spcifiques - liaisons montantes et ports combo g1-g28. 24 ports normaux et quatre ports spcifiques - liaisons montantes et ports combo g1-g52. 48 ports normaux et quatre ports spcifiques - liaisons montantes et ports combo e1-e8. 8 ports 10/100 e1-e8, g1-g2. 8 ports 10/1000 + deux ports 10/100/1000 e1-e8, g1-g2. 8 ports 10/1000 + deux ports 10/100/1000 e1-e8, g1-g2. 8 ports 10/100 + deux ports 10/100/1000 e1-e24, g1-g4. 24 ports 10/100 normaux + quatre ports 10/100/1000 spcifiques - liaisons montantes et ports combo e1-e24, g1-g4. 24 ports 10/100 normaux + quatre ports 10/100/1000 spcifiques - liaisons montantes et ports combo e1-e48, g1-g4. 48 ports 10/100 normaux + quatre ports 10/100/1000 spcifiques - liaisons montantes et ports combo e1-e48, g1-g4. 48 ports 10/100 normaux + quatre ports 10/100/1000 spcifiques - liaisons montantes et ports combo 375 W au maximum 48 180 W au maximum 24 124 W au maximum 62 W au maximum 8 8 180 W au maximum 24
SG 300-28P
SRW2024P-K9
SG 300-52
SRW2048-K9
52 ports Gigabit
8 ports 10/100 8 ports 10/100 8 ports 10/100 PoE 8 ports 10/100 PoE 24 ports 10/100
SF 300-24P
SRW224G4P-K9
SF 300-48
SRW248G4-K9
48 ports Gigabit
SF 300-48P
SRW248G4P-K9
50
Redmarrage du commutateur
Certaines modifications apportes au niveau de la configuration, telles que l'activation de la prise en charge des trames Jumbo, ncessitent le redmarrage du systme pour tre effectives. Le redmarrage du commutateur supprime toutefois la Configuration d'excution. Il est donc indispensable de l'enregistrer dans la Configuration de dmarrage avant de procder un redmarrage. Cliquer sur Appliquer n'a pas pour effet d'enregistrer la configuration dans la Configuration de dmarrage. Pour plus d'informations sur les fichiers et les types de fichiers, consultez la section Fichiers et types de fichiers du chapitre Gestion des fichiers systme. Vous pouvez sauvegarder la configuration en utilisant Administration > Copier/ enregistrer la configuration ou cliquer sur Enregistrer en haut de la fentre. Vous pouvez galement tlcharger la configuration partir d'un appareil distant. Pour plus d'informations, consultez la section Tlchargement ou sauvegarde d'une configuration ou d'un journal du chapitre Gestion des fichiers systme. Pour redmarrer le commutateur :
TAPE 1 Cliquez sur Administration > Redmarrer. La rubrique Redmarrer s'ouvre. TAPE 2 Cliquez sur l'un des boutons de redmarrage.
Redmarrer : redmarre le commutateur. Les informations non enregistres de la Configuration d'excution tant ignores lors du redmarrage du commutateur, vous devez cliquer sur Enregistrer en haut droite de n'importe quelle fentre afin de conserver la configuration actuelle lors du processus de dmarrage. (Si l'option Enregistrer ne s'affiche pas, cela signifie que la Configuration d'excution est identique la Configuration de dmarrage et qu'aucune action n'est ncessaire.) Redmarrer avec les paramtres d'origine : redmarre le commutateur en utilisant sa configuration d'origine. Ce processus efface le fichier de Configuration de dmarrage. Lorsque cette action est slectionne, tout paramtre non enregistr dans un autre fichier est effac.
!
ATTENTION Configuration automatique DHCP doit tre dsactive (cette option est active par
dfaut). Dans le cas contraire, un fichier de configuration pourrait tre charg depuis un serveur TFTP, la place des paramtres d'origine par dfaut. Le commutateur est redmarr.
51
52
Pour saisir le dlai d'expiration en cas de session inactive et ce pour diffrents types de sessions :
TAPE 1 Cliquez sur Administration > Dlai d'expiration de session inactive. La rubrique
commutateur.
53
6
Heure systme
La synchronisation de l'heure du rseau est cruciale car chaque aspect de la gestion, de la scurit, de la planification et du dbogage d'un rseau implique de dterminer le moment o se produit l'vnement. L'heure constitue galement le seul systme de rfrence entre tous les priphriques du rseau. Sans synchronisation de l'heure, la corrlation prcise des fichiers journaux entre ces priphriques est difficile, voire mme impossible. Le suivi des failles de scurit et l'utilisation du rseau font entre autre partie des raisons spcifiques. Il s'avre presque impossible de suivre les problmes affectant un grand nombre de composants si les heures systmes des journaux ne sont pas prcises. L'heure rduit galement la confusion dans les systmes de fichiers partags, car il est essentiel que les heures de modification soient cohrentes, quelle que soit la machine sur laquelle se trouvent les fichiers systmes. C'est pour ces raisons que l'heure configure sur tous les priphriques du rseau ncessite tre prcise.
REMARQUE Le commutateur prend en charge le protocole SNTP (Simple Network Time
Protocol) et lorsque ce dernier est activ, le commutateur synchronise dynamiquement son heure sur celle du serveur SNTP. Le commutateur fonctionne uniquement en tant que client SNTP et ne peut pas fournir de services d'heure d'autres priphriques. Ce chapitre dcrit les options permettant de configurer l'heure systme, le fuseau horaire et l'heure d't (DST). Il contient les rubriques suivantes : Options d'heure systme Configuration de l'heure systme Paramtrer SNTP Dfinition de l'authentification SNTP
54
Heure systme
Options d'heure systme
6
L'heure systme peut tre rgle manuellement par l'utilisateur ou dynamiquement l'aide du serveur SNTP. Si un serveur SNTP est choisi, les paramtres d'heure manuels sont crass lorsque des communications avec le serveur sont tablies. Dans le cadre du processus de dmarrage, le commutateur configure toujours l'heure, le fuseau horaire et l'heure d't d'une certaine manire, partir de DHCP, de SNTP, de valeurs dfinies manuellement ou si rien d'autre ne fonctionne, partir des paramtres usine par dfaut. Heure Les mthodes suivantes sont disponibles pour obtenir ou dfinir l'heure sur le commutateur : SNTP qui garantit une synchronisation de l'heure rseau prcise du commutateur la milliseconde prs en utilisant un serveur SNTP comme source d'horloge.
REMARQUE Sans synchronisation de l'heure, la corrlation prcise des fichiers journaux entre priphriques est difficile, voire mme impossible. Nous vous recommandons d'utiliser SNTP pour la source d'horloge.
Saisie manuelle de l'heure systme par l'utilisateur. Saisie de l'heure par l'ordinateur qui accde au commutateur via l'utilitaire de configuration de l'appareil. Si cette fonction est active, le commutateur utilise l'heure systme de l'ordinateur de configuration, sauf si l'heure a t manuellement configure sur le commutateur par l'utilisateur ou si la prise en charge du serveur SNTP n'est pas disponible ou active.
REMARQUE La rception de l'heure depuis l'ordinateur de configuration du
commutateur devrait tre utilise en dernier recours, comme par exemple, aprs une panne de courant ou lorsqu'aucune autre source d'horloge n'est disponible. Fuseau horaire et heure d't Le fuseau horaire et l'heure d't peuvent tre dfinis sur le commutateur comme suit : Configuration dynamique du commutateur via un serveur DHCP, o : L'heure d't dynamique, lorsqu'elle est active et disponible, a toujours la priorit sur la configuration manuelle de l'heure d't.
55
Heure systme
Configuration de l'heure systme
6
Les paramtres manuels sont utiliss si le serveur fournissant les paramtres de source choue ou si la configuration dynamique est dsactive par l'utilisateur. La configuration dynamique du fuseau horaire et de l'heure d't se poursuit aprs l'expiration de l'heure de bail IP.
La configuration manuelle du fuseau horaire et de l'heure d't par l'utilisateur o le fuseau horaire et l'heure d't dfinis manuellement deviennent les paramtres oprationnels, seulement si la configuration dynamique pour ces options est dsactive ou choue.
!
ATTENTION Le commutateur n'a pas d'horloge interne qui met cette valeur jour. Si l'heure
systme est dfinie manuellement et que le commutateur est redmarr, les paramtres d'heure saisis manuellement doivent tre ressaisis. Pour dfinir l'heure systme :
TAPE 1 Cliquez sur Administration> Paramtres d'heure > Heure systme. La rubrique
Source d'horloge : slectionnez la source utilise pour dfinir l'horloge systme. Utiliser les paramtres locaux : l'heure systme est saisie manuellement ou prise sur l'ordinateur de configuration. Si ce bouton est slectionn, saisissez les paramtres locaux. Utiliser le serveur SNTP : l'heure systme est obtenue partir d'un serveur SNTP. Ajoutez galement un serveur SNTP et activez le mode de diffusion SNTP en utilisant la rubrique Paramtrer SNTP. Excutez l'authentification des sessions SNTP en utilisant la rubrique Authentification SNTP.
56
Heure systme
Configuration de l'heure systme
6
Autre source d'horloge : slectionnez cette option pour dfinir la date et l'heure depuis cet ordinateur lorsque l'option Utiliser les paramtres locaux est slectionne. Obtenir le fuseau horaire de DHCP : slectionnez cette option pour activer la configuration dynamique du fuseau horaire et l'heure d't partir du serveur DHCP. Un seul ou les deux paramtres peuvent tre configurs selon les informations trouves dans le paquet DHCP. Si cette option est active, vous devez galement activer le client DHCP sur le commutateur. Pour ce faire, rglez le Type d'adresse IP sur Dynamique la rubrique Interface IPv4.
Paramtres locaux : l'heure locale est utilise lorsqu'il n'existe aucune autre source de temps comme un serveur SNTP : Date : saisissez la date du systme. Heure locale : saisissez l'heure systme. Dcalage du fuseau horaire : slectionnez la diffrence en heures entre le temps du mridien de Greenwich (GMT) et l'heure locale. Par exemple, le dcalage de fuseau horaire pour Paris et GMT +1et celui pour New York est GMT - 5. Heure d't : slectionnez Heure d't pour activer cette option. Diffrence d'heure : saisissez le nombre en minutes du changement d'heure caus par l'heure d't. Type d'heure d't : slectionnez le mode de dfinition de l'heure d't : tats-Unis : selon les dates utilises aux tats-Unis Europe : selon les dates utilises par l'Union Europenne et d'autres pays utilisant cette norme. Par dates : manuellement, gnralement pour un pays autre que les tats-Unis ou un pays europen. Saisissez les paramtres suivants : De : jour et heure de dbut de l'heure d't. : jour et heure de fin de l'heure d't. Rcurrent : l'heure d't entre en vigueur la mme date chaque anne. Saisissez les paramtres suivants : De : date laquelle l'heure d't commence chaque anne. Jour : jour de la semaine au cours duquel l'heure d't dbute chaque anne.
57
Heure systme
Paramtrer SNTP
6
Semaine : semaine du mois au cours de laquelle l'heure d't dbute chaque anne. Mois : mois de l'anne au cours duquel l'heure d't dbute chaque anne. Heure : heure laquelle l'heure d't dbute chaque anne. : date laquelle l'heure d't prend fin chaque anne. Par exemple, l'heure d't prend localement fin le quatrime vendredi du mois d'octobre 05 h 00. Les paramtres sont les suivants : Jour : jour de la semaine au cours duquel l'heure d't prend fin chaque anne. Semaine : semaine du mois au cours de laquelle l'heure d't prend fin chaque anne. Mois : mois de l'anne au cours duquel l'heure d't prend fin chaque anne. Heure : heure laquelle l'heure d't prend fin chaque anne.
TAPE 3 Cliquez sur Appliquer. Les valeurs d'heure systme sont dfinies et le
commutateur est mis jour. Les paramtres de temps s'affichent dans la section Dtails sur l'heure actuelle.
Paramtrer SNTP
Un commutateur peut tre configur afin de synchroniser son horloge systme avec un serveur SNTP en utilisant la rubrique Paramtrer SNTP.
REMARQUE Cette fonctionnalit ncessite que les serveurs DNS soient configurs sur le
commutateur (voir la section Dfinition de serveurs DNS) pour fonctionner correctement. Le commutateur prend en charge les modes suivants : Diffusion : le serveur SNTP diffuse l'heure et le commutateur coute ces diffusions. Lorsque le commutateur est dans ce mode, il n'est pas ncessaire de dfinir un serveur SNTP monodiffusion. Mode Serveur SNTP monodiffusion : le commutateur envoie des requtes de monodiffusion la liste de serveurs SNTP configurs manuellement et attend une rponse.
58
Heure systme
Paramtrer SNTP
6
Le commutateur est capable de disposer des deux modes activs en mme temps et choisit la meilleure source de paramtres selon la strate la plus proche (distance par rapport l'horloge de rfrence). Pour dfinir les paramtres du serveur SNTP :
les paquets de synchronisation de la diffusion SNTP pour les informations d'heure systme. Si cette option est slectionne, le systme n'affiche pas le serveur SNTP partir duquel les paramtres d'heure sont reus. La page suivante affiche ces informations pour chaque serveur SNTP monodiffusion : Serveur SNTP : adresse IP du serveur SNTP. Un maximum de huit serveurs SNTP peuvent tre dfinis. Le serveur prfr est choisi selon le niveau de sa strate. Intervalle d'interrogation : intervalle (en secondes) auquel le serveur SNTP est interrog pour les informations d'heure systme. L'intervalle d'interrogation est de 1024 secondes. ID de cl d'authentification : l'identification de cl sert communiquer entre le serveur SNTP et le commutateur. Prfrence : priorit d'utilisation pour le serveur SNTP. Principal : serveur disposant du niveau de strate le plus faible. Le niveau de strate reprsente la distance par rapport l'horloge de rfrence. Les informations concernant l'heure sont puises partir de ce serveur. Secondaire : serveur disposant du second niveau de strate le plus faible aprs celui du serveur principal. Sert de serveur de secours au serveur principal. En fonctionnement : serveur SNTP qui envoie ou reoit actuellement des informations SNTP.
tat : tat du serveur SNTP. Les options disponibles sont les suivantes : Actif : le serveur SNTP fonctionne actuellement normalement. Inactif : le serveur SNTP n'est actuellement pas disponible.
59
Heure systme
Paramtrer SNTP
6
Inconnu : le serveur SNTP est actuellement recherch par le commutateur. Dernire rponse : date et heure de la dernire rponse reue de la part de ce serveur SNTP. Dcalage : dcalage estim entre l'horloge du serveur et l'horloge locale, en millisecondes. L'hte dtermine la valeur de ce dcalage l'aide de l'algorithme dcrit au sein de la RFC 2030. Ecart : temps estim d'un aller-retour de transmission entre l'horloge du serveur et l'horloge locale sur le chemin du rseau, en millisecondes. L'hte dtermine la valeur de cet cart l'aide de l'algorithme dcrit au sein de la RFC 2030.
TAPE 3 Cliquez sur Ajouter pour afficher la rubrique Ajouter un serveur SNTP. TAPE 4 Saississez les paramtres suivants :
Dfinition du serveur : slectionnez cette option si le serveur SNTP sera identifi par son adresse IP ou si vous allez choisir un serveur SNTP connu par son nom dans la liste.
REMARQUE Pour spcifier un serveur SNTP connu, le commutateur doit tre
connect Internet et configur avec un serveur DNS ou configur de manire ce qu'un serveur DNS soit identifi en utilisant DHCP. (Voir la section Dfinition de serveurs DNS.) Version IP : slectionnez la version de l'adresse IP : Version 6 ou Version 4. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont : Liaison locale : l'adresse IPv6 identifie uniquement des htes sur une liaison de rseau unique. Une adresse locale de liaison possde le prfixe FE80, ne peut pas tre route et ne peut servir uniquement la communication que sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est d'un type global d'IPV6 de monodiffusion visible et accessible partir d'autres rseaux.
Interface de liaison locale : slectionnez dans la liste de liaison locale (si le type d'adresse IPv6 Liaison locale est slectionn). Adresse IP du serveur SNTP : saisissez l'adresse IP du serveur SNTP. Le format dpend du type d'adresse slectionn.
60
Heure systme
Dfinition de l'authentification SNTP
6
Serveur SNTP : slectionnez le nom du serveur SNTP partir d'une liste de serveurs SNTP connus. Si autre est choisi, saisissez le nom du serveur SNTP dans le champ adjacent. Intervalle d'interrogation : slectionnez cette option afin d'activer l'interrogation du serveur SNTP pour les informations d'heure systme. Tous les serveurs SNTP enregistrs pour l'interrogation sont interrogs et l'horloge est slectionne partir du serveur accessible qui dispose du niveau de strate le plus faible (distance par rapport l'horloge de rfrence). Le serveur disposant de la strate la plus faible est considr comme tant le serveur principal. Le serveur disposant de la strate la deuxime plus faible est un serveur secondaire et ainsi de suite. Si le serveur principal est inactif, le commutateur interroge tous les serveurs ayant leur paramtre d'interrogation activ et slectionne celui disposant de la strate la plus faible comme le nouveau serveur principal. Authentification : cochez la case pour activer l'authentification. ID de cl d'authentification : si l'authentification est active, slectionnez la valeur de l'ID de cl. (Crez des cls d'authentification en utilisant la rubrique Authentification SNTP.)
TAPE 5 Cliquez sur Appliquer. Le serveur SNTP est ajout et vous retournez la page
principale.
61
Heure systme
Dfinition de l'authentification SNTP
ID de cl d'authentification : saisissez le numro utilis pour identifier cette cl d'authentification SNTP en interne. Cl d'authentification : saisissez la cl utilise pour l'authentification (huit caractres maximum). Le serveur SNTP doit envoyer cette cl pour que le commutateur s'y synchronise. Cl de confiance : cochez la case pour permettre au commutateur de recevoir les informations de synchronisation de diffusion uniquement partir d'un serveur SNTP utilisant cette cl d'authentification.
TAPE 6 Cliquez sur Appliquer. L'authentification SNTP est dfinie et le commutateur mis
jour.
62
7
Gestion des diagnostics de l'appareil
Ce chapitre comporte des informations relatives la configuration de la mise en miroir des ports, l'excution de tests de cbles et l'affichage des informations oprationnelles se rapportant l'appareil. Il contient les rubriques suivantes : Test des ports cuivre Affichage de l'tat des modules optiques Configuration de la mise en miroir des ports et de VLAN Affichage de l'utilisation des CPU
63
!
ATTENTION Lorsqu'un port est test, il est mis en l'tat Inactif et les communications sont
interrompues. Une fois le test termin, le port revient en l'tat Actif. Il est dconseill d'excuter un test de port cuivre sur un port que vous utilisez pour excuter l'utilitaire Web de configuration du commutateur, les communications avec cet appareil tant interrompues. Pour tester les cbles en cuivre relis aux ports :
TAPE 1 Cliquez sur Administration > Diagnostics > Ports cuivre. La rubrique Ports
cuivre s'ouvre. Cette page affiche les rsultats des tests de base prcdemment raliss.
TAPE 2 Pour effectuer un Test de base, slectionnez un port dans la liste des ports et
cliquez sur Test de base. Un message s'affiche, indiquant que le test amne brivement la liaison en tat inactif.
TAPE 3 Cliquez sur OK pour confirmer que la liaison peut passer l'tat inactif ou sur
Annuler pour abandonner le test. Les rsultats s'affichent sur la page : Rsultat de test : les rsultats du test du cble. Les valeurs possibles sont : OK : le cble a russi le test. Aucun cble : le cble n'est pas connect au port. Cble ouvert : le cble n'est connect que d'un ct. Cble court-circuit : un court-circuit s'est produit au niveau du cble. Rsultat de test inconnu : une erreur s'est produite.
Distance au dfaut : distance entre le port et l'emplacement du cble o le problme a t dtect. Longueur de cble : longueur estime du cble, uniquement disponible pour les liaisons 1 Gbit/s, l'exception des ports combo. Consultez l'explication fournie la section Description de la longueur de cble.
REMARQUE La longueur du cble est Inconnu lorsque les fonctionnalits
cologiques sont actives. Dernire mise jour : heure laquelle a t effectu le dernier test sur le port.
64
TAPE 4 Pour effectuer le test avanc sur tous les ports GE, cliquez sur Test avanc. La
Cette page affiche les rsultats du test le plus rcent : Port : identificateur du port. tat du cble : tat du cble. Vitesse : vitesse de la liaison. tat de la liaison : tat Actif/Inactif actuel de la liaison. Paire : paires de fils de cble testes. Distance au dfaut : distance entre le port et l'emplacement du cble o le problme a t dtect. tat : tat de la paire de fils. Rouge indique un dfaut et Vert indique l'tat OK. Longueur de cble : longueur du cble en mtres. Si la liaison est inactive, la technologie TDR est utilise pour tester les ports GE et FE. Les mesures de longueur de cble sont prcises 3 ou 4 mtres prs. Si la liaison est active, la technologie DSP est utilise pour tester les ports GE. (La longueur des ports FE n'est pas teste.) Les valeurs renvoyes sont : 1 : moins de 50 mtres 2 : de 50 80 mtres 3 : de 80 110 mtres 4 : de 110 140 mtres 5 : plus de 140 mtres
Canal : canal du cble. Polarit : indique si la dtection et la correction automatiques de la polarit ont t actives pour la paire de fils. Dphasage entre paires : diffrence de phase entre les paires de fils.
65
Les metteurs-rcepteurs SFP GE (1 000 Mbit/s) suivants sont disponibles : MGBBX1 : metteur-rcepteur SFP 1000BASE-BX-20U pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu' 40 km. MGBLH1 : metteur-rcepteur SFP 1000BASE-LH pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu' 40 km. MGBLX1 : metteur-rcepteur SFP 1000BASE-LX pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu' 10 km. MGBSX1 : metteur-rcepteur SFP 1000BASE-SX pour la fibre multimode, longueur d'onde de 850 nm, jusqu' 550 m. MGBT1 : metteur-rcepteur SFP 1000BASE-T pour le fil cuivre de catgorie 5, jusqu' 100 m.
Pour afficher les rsultats des tests optiques, cliquez sur Administration > Diagnostics > tat des modules optiques. La rubrique tat des modules optiques s'ouvre. Cette page affiche les champs suivants : Port : numro du port sur lequel le SFP est connect. Temprature : temprature (en degrs Celsius) laquelle le SFP fonctionne.
66
Tension : tension de fonctionnement du SFP. Intensit : consommation de courant du SFP. Puissance de sortie : puissance optique transmise. Puissance d'entre : puissance optique reue. Dfaillance du transmetteur : le SFP distant indique une perte de signal. Les valeurs sont Vrai, Faux et A/S (Aucun signal). Perte de signal : le SFP local indique une perte de signal. Les valeurs sont Vrai et Faux. Donnes prtes : le SFP est oprationnel. Les valeurs sont Vrai et Faux.
Une seule instance de mise en miroir est possible pour l'ensemble du systme. Le port de l'analyseur (ou le port cible pour la mise en miroir VLAN ou des ports) est le mme pour l'ensemble des VLAN et des ports mis en miroir. Pour activer la mise en miroir des ports et VLAN :
TAPE 1 Cliquez sur Administration > Diagnostics > Mise en miroir des ports et VLAN. La
TAPE 2 Cliquez sur Ajouter pour ajouter un port ou un VLAN mettre en miroir. La rubrique
Port de destination : slectionnez le port de l'analyseur sur lequel les paquets sont copis. Un analyseur rseau, par exemple un PC excutant Wireshark, est connect ce port. Un port identifi en tant que port de destination de l'analyseur conserve cette fonction jusqu' ce que toutes les entres aient t supprimes. Interface source : slectionnez un Port ou VLAN en tant que port ou VLAN source partir duquel le trafic doit tre mis en miroir. Type : indiquez si le trafic entrant, le trafic sortant ou les deux sont mis en miroir sur le port de l'analyseur. Si vous slectionnez Port, les options disponibles sont : Rception uniquement : mise en miroir des ports sur les paquets entrants. mission uniquement : mise en miroir des ports sur les paquets sortants. mission et rception : mise en miroir des ports sur les paquets entrants et sortants.
TAPE 4 Cliquez sur Appliquer. La mise en miroir des ports est ajoute et le commutateur
mis jour.
68
s'coule avant l'actualisation des statistiques. Un nouvel chantillon est cr pour chaque priode. La fentre affiche un graphique de l'utilisation des CPU. L'axe des Y reprsente le pourcentage d'utilisation et l'axe des X le numro de l'chantillon.
69
8
Configuration de la dtection
Ce chapitre fournit des informations sur la configuration de la dtection. Il contient les rubriques suivantes : Configuration de la dtection Bonjour Configuration de LLDP
Configuration de la dtection
Configuration de la dtection Bonjour
Bonjour s'ouvre.
TAPE 2 Slectionnez Activer pour activer globalement la dtection Bonjour sur le
commutateur.
TAPE 3 Cliquez sur Appliquer. Bonjour est activ ou dsactiv sur le commutateur, en
71
Configuration de la dtection
Configuration de LLDP
Bonjour s'ouvre.
TAPE 2 Slectionnez les interfaces activer ou dsactiver, ainsi que celles ajouter ou
supprimer dans la table de contrle des interfaces de dtection Bonjour. La dtection Bonjour ne peut tre active que sur les interfaces dotes d'une adresse IP.
TAPE 3 Cliquez sur Ajouter pour activer une interface et l'ajouter la table de contrle des
interfaces de dtection Bonjour. Cliquez sur Supprimer pour dsactiver une interface et la supprimer de la table de contrle des interfaces de dtection Bonjour.
TAPE 4 Cliquez sur Appliquer. Une fentre pop-up clair ( popup ) s'affiche, indiquant si
Configuration de LLDP
Link Layer Discovery Protocol (LLDP) permet aux gestionnaires rseau d'effectuer le dpannage et d'amliorer la gestion du rseau en dtectant des topologies et en assurant leur maintenance dans des environnements multifournisseurs. LLDP dtecte le voisinage rseau en normalisant les mthodes de dtection des priphriques rseau afin de s'annoncer auprs des autres systmes et de stocker les informations dtectes. LLDP permet un priphrique d'annoncer son identificateur, sa configuration et ses fonctions auprs de priphriques voisins qui peuvent alors stocker ces donnes dans un fichier MIB (Management Information Base, base d'informations de gestion). Le systme de gestion rseau modlise la topologie du rseau en interrogeant ces bases de donnes MIB. Le protocole LLDP fonctionne en mode Layer 2 en diffusant des trames de multidiffusion depuis chaque port. On les appelle PDU (Protocol Data Units, units de donnes de protocole) ou PDU LLDP. Elles sont traites par les priphriques qui reconnaissent le protocole LLDP. La PDU LLDP contient des TLV (combinaisons Type, Longueur, Valeur), qui stockent les informations diffuses par le priphrique. Vous pouvez configurer les types de TLV diffuser.
72
Configuration de la dtection
Configuration de LLDP
Le protocole LLDP possde une extension nomme LLDP Media Endpoint Discovery (LLDP MED, dtection d'extrmit de support), qui fournit et accepte des informations manant de priphriques voix ou vido. Pour en savoir plus sur LLDP MED, reportez-vous la section Protocole LLDP MED. Flux de travail de configuration de LLDP Voici des exemples d'actions qu'il est possible de raliser avec la fonction LLDP : 1. Activer LLDP globalement (LLDP est activ par dfaut) puis entrer des paramtres LLDP globaux comme l'intervalle d'envoi des mises jour LLDP l'aide de la rubrique Proprits LLDP. 2. Configurer LLDP pour chaque interface l'aide de la rubrique Paramtres du port. 3. Crer des stratgies rseau LLDP MED l'aide de la rubrique Stratgie rseau LLDP MED. 4. Associer des stratgies rseau LLDP MED aux ports l'aide de la rubrique Paramtres des ports LLDP MED. 5. Afficher les dtails d'tat des ports locaux LLDP l'aide de la rubrique
73
Configuration de la dtection
Configuration de LLDP
8
Intervalle d'annonce TLV : dfinissez, en nombre de secondes, la frquence d'envoi des mises jour des annonces LLDP. Intervalle de notification SNMP de changement de topologie : saisissez le dlai minimal entre deux notifications SNMP. Multiplicateur de conservation : saisissez la dure de conservation des paquets LLDP avant leur limination, en multiples de l'intervalle d'annonce TLV. Par exemple, si l'intervalle d'annonce TLV est de 30 secondes et si le multiplicateur de conservation est 4, les paquets LLDP seront limins aprs 120 secondes. Dlai de rinitialisation : saisissez l'intervalle en secondes qui spare la dsactivation et la ractivation de LLDP, suite un cycle d'activation ou de dsactivation de LLDP. Dlai de transmission : saisissez le dlai en secondes qui sparera deux transmissions de trames LLDP successives en cas de modification dans la MIB de systmes locaux LLDP.
Pour consulter la description de LLDP MED, reportez-vous la section Protocole LLDP MED.
TAPE 3 Dans le champ Nombre de rptitions pour le dmarrage rapide, saisissez le
nombre d'envois de paquets LLDP lors de l'initialisation du mcanisme de dmarrage rapide LLDP MED. Cela se produit lorsqu'un nouveau priphrique d'extrmit tablit une liaison au commutateur.
TAPE 4 Cliquez sur Appliquer. Les proprits LLDP sont dfinies.
74
Configuration de la dtection
Configuration de LLDP
paramtres de port LLDP s'ouvre. Cette page contient les champs suivants : Interface : slectionnez le port dfinir. tat administratif : slectionnez l'option de publication LLDP pour le port. Les valeurs disponibles sont les suivantes : mission uniquement : publication uniquement, pas de dtection. Rception uniquement : dtection uniquement, pas de publication. mission et rception : publication et dtection. Dsactiver : indique que LLDP est dsactiv sur le port.
Notification SNMP : slectionnez Activer pour envoyer des notifications aux destinataires de notification SNMP (systme de gestion SNMP, par exemple) en cas de modification de la topologie. L'intervalle entre deux notifications est dfini dans le champ Intervalle de notification SNMP de changement de topologie de la rubrique Proprits LLDP. Dfinissez les destinataires des notifications SNMP en utilisant les options SNMP > Destinataires de notifications v1,2 et/ou SNMP > Destinataires de notifications v3.
TLV facultatives disponibles : slectionnez les informations que le commutateur doit publier en dplaant la TLV voulue vers la liste TLV facultatives slectionnes. Les TLV disponibles contiennent les informations suivantes : Description du port : informations sur le port, notamment son fabricant, son nom de produit et la version du matriel/logiciel. Nom du systme : nom attribu au systme, au format alphanumrique. Cette valeur est identique l'objet sysName.
75
Configuration de la dtection
Configuration de LLDP
8
Description du systme : description de l'entit rseau, au format alphanumrique. Inclut le nom du systme et la version du matriel, le systme d'exploitation et les logiciels rseau pris en charge par le commutateur. Cette valeur est identique l'objet sysDescr. Fonctionnalits du systme : fonctions principales du commutateur. L'cran indique aussi si ces fonctions sont actives ou non sur le commutateur. Les fonctions sont indiques par deux octets. Les bits 0 7 indiquent respectivement Autres, Rpteur, Pont, Point d'accs WLAN, Routeur, Tlphone, Systme de cble DOCSIS et Station. Les bits 8 15 sont rservs. MAC-PHY 802.3 : fonction duplex et dbit, avec les paramtres duplex et de dbut actuels du priphrique d'envoi. Indique galement si les paramtres actuels sont obtenus par ngociation automatique ou configuration manuelle. Agrgation de liaisons 802.3 : indique s'il est possible d'agrger la liaison (associe au port sur lequel la PDU LLDP est transmise). Indique galement si la liaison est actuellement agrge et, dans ce cas, prcise l'ID du port agrg. Taille de trame maximale 802.3 : capacit de taille maximale de trame de l'implmentation MAC/PHY.
Les champs suivants concernent l'adresse de gestion : Mode d'annonce : slectionnez l'une des mthodes suivantes d'annonce de l'adresse IP de gestion au commutateur : Annonce automatique : envoyez l'adresse IP de gestion actuelle au commutateur, qu'elle ait t acquise par DHCP ou manuellement. Aucun : aucune annonce de l'adresse IP de gestion. Annonce manuelle : slectionnez cette option et l'adresse IP de gestion annoncer. Il est recommand de choisir cette option lorsque le commutateur fonctionne en mode Layer 3 et qu'il est configur avec plusieurs adresses IP.
Adresse IP : si vous avez slectionn Annonce manuelle, slectionnez l'adresse de gestion voulue dans la liste d'adresses IP fournie.
TAPE 3 Saisissez les informations voulues puis cliquez sur Appliquer. Les paramtres de
76
Configuration de la dtection
Configuration de LLDP
configuration ; toutefois, vous devez galement configurer manuellement le commutateur pour qu'il utilise cette stratgie.
Vous associez des stratgies rseau aux ports l'aide de la rubrique Paramtres des ports LLDP MED. (L'administrateur doit crer les VLAN puis configurer leurs membres sur la base des spcifications des stratgies rseau LLDP-MED.)
Guide d'administration du commutateur administrable Cisco Small Business srie 300 77
Configuration de la dtection
Configuration de LLDP
La rubrique Stratgie rseau LLDP MED s'ouvre. Cette page affiche les stratgies rseau prcdemment cres.
TAPE 2 Cliquez sur Ajouter pour ouvrir la rubrique Ajouter une stratgie rseau LLDP MED.
Numro de stratgie rseau : slectionnez le numro de la stratgie crer. Application : slectionnez dans la liste le type d'application (type de trafic) pour lequel vous dfinissez la stratgie rseau : Voix Signalisation vocale Voix invit Signalisation vocale invit Voix, tlphone logiciel Vidoconfrence Lecture vido en continu Signaux vido
ID VLAN : saisissez l'ID du VLAN auquel le trafic doit tre envoy. Balise VLAN : indiquez si le trafic doit tre marqu ou non. Priorit d'utilisateur : slectionnez le niveau de priorit qui sera accord au trafic dfini par cette stratgie rseau. Valeur DSCP : slectionnez la valeur DSCP associer aux donnes d'application envoyes par les voisins. Cela leur indique la faon dont ils doivent marquer le trafic d'application qu'ils envoient au commutateur.
TAPE 4 Cliquez sur Appliquer. La stratgie rseau est dfinie. Associez cette stratgie
78
Configuration de la dtection
Configuration de LLDP
MED. La rubrique Paramtres des ports LLDP MED s'ouvre. Cette page affiche les paramtres LLDP MED, TLV actives comprises, pour tous les ports.
TAPE 2 Slectionnez un port puis cliquez sur Modifier. La rubrique Modifier les
paramtres de port LLDP MED s'ouvre. Cette page vous permet d'associer des stratgies LLDP MED des ports.
TAPE 3 Saisissez les paramtres.
Port : slectionnez le port configurer. Aprs avoir configur ce port et cliqu sur Appliquer, vous pouvez configurer un autre port sans revenir la rubrique Paramtres des ports LLDP MED. tat LLDP MED : Activez/dsactivez LLDP MED sur ce port. Notification SNMP : indiquez si la notification SNMP doit tre envoye, port par port, lorsqu'une station de travail prenant en charge MED est dtecte (un systme de gestion SNMP, par exemple), lors d'un changement de topologie. TLV facultatives disponibles : slectionnez les TLV que le commutateur peut publier en les dplaant vers la liste TLV facultatives slectionnes. Stratgies rseau disponibles : slectionnez les stratgies LLDP MED que LLDP va publier en les dplaant vers la liste Stratgies rseau slectionnes. Vous les aviez prcdemment cres dans la rubrique Stratgie rseau LLDP MED.
REMARQUE Vous devez remplir les champs suivants, au format hexadcimal, en respectant exactement le format de donnes dfini dans la norme LLDP MED (ANSI-TIA-1057_final_for_publication.pdf).
Coordonnes de l'emplacement : saisissez les coordonnes de l'emplacement que LLDP devra publier.
79
Configuration de la dtection
Configuration de LLDP
8
Adresse civique de l'emplacement : saisissez l'adresse de l'emplacement que LLDP devra publier. Emplacement ECS ELIN : saisissez l'emplacement ECS (Emergency Call Service, service d'appel d'urgence) ELIN que LLDP devra publier.
TAPE 4 Cliquez sur Appliquer. Les paramtres de port LLDP MED sont modifis et le
Table d'tat des ports LLDP Interface : identificateur de port. tat LLDP : option de publication LLDP. tat LLDP MED : indique si la fonction est active ou dsactive.
80
Configuration de la dtection
Configuration de LLDP
8
PoE local : informations PoE locales annonces. PoE distant : informations PoE annonces par le voisin. Nbre de voisins : nombre de voisins dtects. Fonctionnalits de voisinage du 1er priphrique : affiche la principale fonction de priphrique active sur le voisin. Par exemple, pont ou routeur.
Cette page contient les champs suivants : Global Sous-type de l'ID du chssis : type d'ID de chssis (adresse MAC, par exemple). ID du chssis : identificateur du chssis. Si vous avez choisi l'adresse MAC comme sous-type d'ID de chssis, l'adresse MAC du commutateur est affiche. Nom du systme : nom du commutateur. Description du systme : description du commutateur, au format alphanumrique. Fonctionnalits systme actives : fonctions principales du priphrique, comme Pont, Point d'accs WLAN ou Routeur. Fonctionnalits systme actives : fonctions principales actives sur le priphrique. Sous-type de l'ID du port : type d'ID de port affich.
81
Configuration de la dtection
Configuration de LLDP
8
ID du port : identificateur du port. Description du port : informations sur le port, notamment son fabricant, son nom de produit et la version du matriel/logiciel.
Adresse de gestion Affiche la table d'adresses de l'agent LLDP local. D'autres gestionnaires distants peuvent utiliser cette adresse pour obtenir des informations sur le priphrique local. Cette adresse est constitue des lments suivants : Sous-type de l'adresse : type de l'adresse IP de gestion affiche dans le champ Adresse de gestion. Par exemple, IPv4.. Adresse : adresse renvoye qui convient le mieux pour la gestion ; gnralement, une adresse Layer 3. Sous-type de l'interface : mthode de numrotation servant dfinir le numro de l'interface. Numro de l'interface : interface spcifique associe cette adresse de gestion.
Dtails MAC/PHY Ngociation automatique prise en charge : tat de prise en charge de la ngociation automatique du dbit de port. Ngociation automatique active : tat d'activation de la ngociation automatique du dbit de port. Fonctionnalits annonces de ngociation automatique : fonctions de ngociation automatique du dbit de port. Exemples : mode half-duplex 1000BASE-T ou mode full duplex 100BASE-TX. Type de MAU oprationnel : type de MAU (Medium Attachment Unit, unit de raccordement au support). La MAU gre les fonctions de couche physique, notamment la conversion des donnes numriques partir de la dtection de collision des interfaces Ethernet et l'injection de bits dans le rseau. Exemple : mode full duplex 100BASE-TX.
Dtails 802.3 Taille de trame maximale 802.3 : taille maximale de trame IEEE 802.3 possible.
82
Configuration de la dtection
Configuration de LLDP
8
Capacit d'agrgation : indique si l'interface peut faire l'objet d'une agrgation. tat de l'agrgation : indique si l'interface est ou non agrge. ID du port d'agrgation : ID d'interface agrge annonc.
Dtails MED Fonctionnalits actives : fonctions MED actives sur le port. Fonctionnalits actuelles : fonctions MED actives sur le port. Classe de priphrique : classe du priphrique d'extrmit LLDP MED. Les classes disponibles sont les suivantes : Classe d'extrmit 1 : indique une extrmit gnrique offrant des services LLDP de base. Classe d'extrmit 2 : indique un point d'extrmit multimdia offrant des services de lecture multimdia en continu, en plus des services de classe 1. Classe d'extrmit 3 : indique une classe de priphrique de communications offrant tous les services de classe 1 et de classe 2 ainsi que des fonctions de reconnaissance de l'emplacement, d'appel d'urgence, de prise en charge des commutateurs Layer 2 et de gestion des informations de priphrique.
Type de priphrique PoE : type PoE du port. Exemple : aliment. Source d'alimentation PoE : source d'alimentation du port. Priorit d'alimentation PoE : priorit d'alimentation du port. Valeur d'alimentation PoE : valeur d'alimentation du port. Rvision du matriel : version du matriel. Rvision du micrologiciel : version du micrologiciel. Rvision du logiciel : version du logiciel. Numro de srie : numro de srie du priphrique. Nom du fabricant : nom du fabricant du priphrique.
83
Configuration de la dtection
Configuration de LLDP
8
Nom du modle : nom de modle du priphrique. ID de bien : ID du bien.
Informations sur l'emplacement Saisissez les structures de donnes suivantes au format hexadcimal conformment la section 10.2.4 de la norme ANSI-TIA-1057 : Civique : adresse, ndont le nom de la rue. Coordonnes : coordonnes gographiques : latitude, longitude et altitude. ECS ELIN : numro ELIN (Emergency Location Identification Number, numro d'identification de l'emplacement en cas d'urgence) pour l'ECS (Emergency Call Service, service d'appel d'urgence).
Table des stratgies rseau Type d'application : type d'application de stratgie rseau. Exemple : Voix. ID VLAN : ID du VLAN pour lequel la stratgie rseau est dfinie. Type VLAN : type de VLAN pour lequel la stratgie rseau est dfinie. Les valeurs disponibles sont les suivantes : Marqu : indique que la stratgie rseau est dfinie pour les VLAN avec marquage. Non marqu : indique que la stratgie rseau est dfinie pour les VLAN sans marquage.
Priorit d'utilisateur : priorit d'utilisateur de la stratgie rseau. DSCP : DSCP de la stratgie rseau.
84
Configuration de la dtection
Configuration de LLDP
La rubrique Informations de voisinage LLDP s'ouvre. Cette page contient les champs suivants : Port local : numro du port local auquel le voisin est connect. Sous-type de l'ID du chssis : type d'ID de chssis (adresse MAC, par exemple). ID du chssis : identificateur du chssis du priphrique de voisinage rseau (LAN) 802. Sous-type de l'ID du port : type d'ID de port affich. ID du port : identificateur du port. Nom du systme : nom publi du commutateur. Dure de vie : dure en secondes l'issue de laquelle les informations concernant ce voisin sont supprimes.
TAPE 2 Slectionnez un port local puis cliquez sur Dtails. La rubrique Informations LLDP
Dtails de base Sous-type de l'ID du chssis : type d'ID de chssis (adresse MAC, par exemple).
85
Configuration de la dtection
Configuration de LLDP
8
ID du chssis : identificateur du chssis du priphrique de voisinage rseau (LAN) 802. Sous-type de l'ID du port : type d'ID de port affich. ID du port : identificateur du port. Description du port : informations sur le port, notamment son fabricant, son nom de produit et la version du matriel/logiciel. Nom du systme : nom du systme publi. Description du systme : description de l'entit rseau, au format alphanumrique. Inclut le nom du systme et la version du matriel, le systme d'exploitation et les logiciels rseau pris en charge par le priphrique. Cette valeur est identique l'objet sysDescr. Fonctionnalits systme actives : fonctions principales du priphrique. Les fonctions sont indiques par deux octets. Les bits 0 7 indiquent respectivement Autres, Rpteur, Pont, Point d'accs WLAN, Routeur, Tlphone, Systme de cble DOCSIS et Station. Les bits 8 15 sont rservs. Fonctionnalits systme actives : fonctions principales actives sur le priphrique.
Adresse de gestion Sous-type de l'adresse : sous-type d'adresse gre. Exemple : MAC ou IPv4. Adresse : adresse gre. Sous-type de l'interface : sous-type de port. Numro de l'interface : numro de port.
Dtails MAC/PHY Ngociation automatique prise en charge : tat de prise en charge de la ngociation automatique du dbit de port. Les valeurs admises sont Vrai et Faux. Ngociation automatique active : tat d'activation de la ngociation automatique du dbit de port. Les valeurs admises sont Vrai et Faux. Fonctionnalits annonces de ngociation automatique : fonctions de ngociation automatique du dbit de port. Exemples : mode half-duplex 1000BASE-T ou mode full duplex 100BASE-TX.
86
Configuration de la dtection
Configuration de LLDP
8
Type de MAU oprationnel : type de MAU (Medium Attachment Unit, unit de raccordement au support). La MAU gre les fonctions de couche physique, notamment la conversion des donnes numriques partir de la dtection de collision des interfaces Ethernet et l'injection de bits dans le rseau. Exemple : mode full duplex 100BASE-TX.
Alimentation 802.3 via MDI Classe de port de prise en charge de l'alimentation MDI : classe de port annonce pour la prise en charge de l'alimentation. Prise en charge de l'alimentation MDI PSE : indique si l'alimentation MDI est prise en charge sur le port. tat de l'alimentation MDI PSE : indique si l'alimentation MDI est active sur le port. Capacit de contrle des paires d'alimentation PSE : indique si le contrle des paires d'alimentation est pris en charge sur le port. Paire d'alimentation PSE : type de contrle des paires d'alimentation pris en charge sur le port. Classe d'alimentation PSE : classe de port annonce pour l'alimentation.
Dtails 802.3 Taille de trame maximale 802.3 : taille maximale de trame annonce comme possible sur le port.
Agrgation de liaisons 802.3 Capacit d'agrgation : indique si le port peut faire l'objet d'une agrgation. tat de l'agrgation : indique si le port est actuellement agrg. ID du port d'agrgation : ID du port agrg annonc.
Dtails MED Fonctionnalits actives : fonctions MED actives sur le port. Fonctionnalits actuelles : TLV MED annonces par le port. Classe de priphrique : classe du priphrique d'extrmit LLDP MED. Les classes disponibles sont les suivantes : Classe d'extrmit 1 : indique un point d'extrmit gnrique offrant des services LLDP de base.
87
Configuration de la dtection
Configuration de LLDP
8
Classe d'extrmit 2 : indique un point d'extrmit multimdia offrant des services de lecture multimdia en continu, en plus des services de classe 1. Classe d'extrmit 3 : indique une classe de priphrique de communications offrant tous les services de classe 1 et de classe 2, ainsi que des fonctions de reconnaissance de l'emplacement, d'appel d'urgence, de prise en charge des commutateurs Layer 2 et de gestion des informations de priphrique.
Type de priphrique PoE : type PoE du port. Exemple : aliment. Source d'alimentation PoE : source d'alimentation du port. Priorit d'alimentation PoE : priorit d'alimentation du port. Valeur d'alimentation PoE : valeur d'alimentation du port. Rvision du matriel : version du matriel. Rvision du micrologiciel : version du micrologiciel. Rvision du logiciel : version du logiciel. Numro de srie : numro de srie du priphrique. Nom du fabricant : nom du fabricant du priphrique. Nom du modle : nom de modle du priphrique. ID de bien : ID du bien.
PPVID VID : ID VLAN du protocole. Pris en charge : ID VLAN de port et de protocole pris en charge. Activs : ID VLAN de port et de protocole activs.
ID VLAN VID : ID VLAN du port et du protocole. Noms VLAN : noms VLAN annoncs.
88
Configuration de la dtection
Configuration de LLDP
8
ID du protocole : ID de protocole annoncs.
ID de protocole
Informations sur l'emplacement Saisissez les structures de donnes suivantes au format hexadcimal conformment la section 10.2.4 de la norme ANSI-TIA-1057 : Civique : adresse civique, dont le nom de la rue. Coordonnes : coordonnes gographiques de l'emplacement : latitude, longitude et altitude. ECS ELIN : numro ELIN (Emergency Location Identification Number, numro d'identification de l'emplacement en cas d'urgence) du priphrique pour l'ECS (Emergency Call Service, service d'appel d'urgence). Inconnu : informations d'emplacement inconnues.
Stratgies rseau Type d'application : type d'application de la stratgie rseau. Exemple : Voix. ID VLAN : ID du VLAN pour lequel la stratgie rseau est dfinie. Type VLAN : type de VLAN pour lequel la stratgie rseau est dfinie, savoir avec ou sans marquage. Priorit d'utilisateur : priorit d'utilisateur de la stratgie rseau. DSCP : DSCP de la stratgie rseau.
89
Configuration de la dtection
Configuration de LLDP
8
Total de trames mises : nombre des trames transmises. Trames reues Total : nombre des trames reues. limin : nombre des trames reues qui ont t limines. Erreurs : nombre total des trames reues comportant des erreurs.
TLV reues limin : nombre total de TLV reues qui ont t limines. Non reconnu : nombre total de TLV reues non reconnues.
Nombre de suppressions d'informations du voisin : nombre d'expirations du dlai maximal du voisin sur l'interface.
TAPE 2 Cliquez sur Actualiser pour afficher les statistiques les plus rcentes.
Surcharge LLDP
LLDP ajoute des informations aux paquets, ce qui peut crer des paquets surdimensionns. Les informations ajoutes par LLDP sont divises en divers groupes. Le commutateur transmet un maximum de groupes entiers, ce qui signifie qu'aucun groupe partiel n'est transmis. La rubrique Surcharge LLDP affiche l'tat de transmission du port ainsi que le nombre d'octets envoys et le nombre d'octets restant envoyer pour les TLV LLDP, ce pour chaque port. Pour afficher les informations de surcharge LLDP :
TAPE 1 Cliquez sur Administration > Dtection - LLDP > Surcharge LLDP. La rubrique
90
Configuration de la dtection
Configuration de LLDP
8
tat : indique si des TLV sont en cours de transmission ou si une surcharge est intervenue.
TAPE2 Pour afficher les dtails de surcharge d'un port, slectionnez-le et cliquez sur
Dtails. La LLDP Overloading Details s'ouvre. Cette page contient les informations suivantes pour chaque TLV envoye sur le port : TLV LLDP obligatoires Taille (octets) : taille totale des TLV obligatoires, en octets. tat : indique si un groupe de TLV obligatoires est en cours de transmission ou si une surcharge est intervenue.
Fonctionnalits LLDP MED Taille (octets) : taille totale des paquets de fonctionnalits LLDP MED, en octets. tat : indique si les paquets de fonctionnalits LLDP MED ont t envoys ou s'il y a surcharge.
Taille (octets) : taille totale des paquets de stratgie rseau LLDP MED, en
octets.
Taille (octets) : taille totale des paquets d'alimentation LLDP MED tendue
via MDI, en octets.
tat : indique si les paquets d'alimentation LLDP MED tendue via MDI ont
t envoys ou si une surcharge est intervenue.
91
Configuration de la dtection
Configuration de LLDP
8
TLV 802.3 -
Taille (octets) : taille totale des paquets de TLV 802.3 LLDP MED, en
octets.
tat : indique si les paquets de TLV 802.3 LLDP MED ont t envoys ou
si une surcharge est intervenue
Taille (octets) : taille totale des paquets de TLV LLDP MED facultatives, en
octets.
Taille (octets) : taille totale des paquets de TLV d'inventaire LLDP MED, en
octets.
Total (octets) : nombre total de paquets envoys, en octets. Restant envoyer (octets) : nombre total des octets de paquet restant transmettre.
92
9
Gestion des ports
Ce chapitre dcrit la configuration des ports, l'agrgation de liaisons et la fonction Green Ethernet. Il inclut les rubriques suivantes : Dfinition de la configuration de base des ports Configuration de l'agrgation de liaisons Flux de travail des LAG statiques et dynamiques Dfinition de la gestion des LAG Configuration de LACP Green Ethernet
93
6. Configurez chaque port en mode d'conomie d'nergie Green Ethernet dans la rubrique Paramtres du port. 7. Si la PoE (Power on Ethernet, alimentation sur Ethernet) est prise en charge pour le commutateur concern, configurez ce dernier en suivant les instructions de la rubrique Gestion des appareils PoE.
du port s'ouvre.
TAPE 2 Slectionnez Trames Jumbo - Activer pour prendre en charge les paquets des
tailles allant jusqu' 10 Ko. Si l'option Trames Jumbo n'est pas active, le systme prend en charge les tailles de paquets jusqu' 1 632 octets.
TAPE 3 Cliquez sur Appliquer pour mettre jour le paramtre global.
Les modifications apportes la configuration des trames Jumbo prennent effet uniquement aprs un enregistrement explicite de la configuration d'excution dans le fichier de configuration de dmarrage dans la rubrique Copier/enregistrer la configuration et aprs un redmarrage du commutateur.
TAPE 4 Pour mettre jour les paramtres des ports, slectionnez le port voulu puis
Port : slectionnez le numro du port. Description du port : saisissez le nom dfini par l'utilisateur pour ce port ou un commentaire. Type de port : affiche le type du port. Les options disponibles sont les suivantes : Ports cuivre : les ports standard, non mixtes, prennent en charge les valeurs suivantes : 10M, 100M, 1000M (type : Cuivre).
94
Ports cuivre mixtes : un port mixte connect un cble cuivre CAT5 prend en charge les valeurs suivantes : 10M, 100M, 1000M (type : ComboC). Fibre mixte : port GBIC (Gigabit Interface Converter, convertisseur d'interface Gibabit) fibre SFP dispose des valeurs suivantes : 100M et 1000M (type : ComboF).
tat administratif : indiquez si le port doit tre oprationnel (Dmarr) ou non oprationnel (Arrt) au redmarrage du commutateur. tat oprationnel : affiche l'tat actuel de la connexion du port. Ractiver un port suspendu : slectionnez cette option pour ractiver un port prcdemment suspendu. Vous pouvez suspendre un port de diverses manires, notamment via l'option de scurit de verrouillage des ports, des configurations d'ACL (Access Control List, liste de contrle d'accs), BPDUGuard ou Root-Guard. Ngociation automatique : slectionnez cette option pour activer la ngociation automatique sur le port. La ngociation automatique permet un port d'annoncer son dbit de transmission, son mode duplex et ses fonctions de contrle de flux d'autres priphriques. Ngociation automatique oprationnelle : affiche l'tat actuel de la ngociation automatique sur le port. Dbit de port administratif : slectionnez le dbit configur pour le port. Le type du port dtermine les options de dbit disponibles. Vous ne pouvez choisir Dbit administratif que si la ngociation automatique est dsactive pour le port. Dbit de port oprationnel : affiche le dbit actuel du port, obtenu par ngociation. Mode duplex administratif : slectionnez le mode duplex du port. Ce champ ne peut tre configur que lorsque la ngociation automatique est dsactive et que le dbit du port est rgl sur 10M ou 100M. Les options disponibles sont les suivantes : Full (bidirectionnelle) : l'interface prend en charge la transmission entre le commutateur et le client dans les deux directions simultanment. Half (unidirectionnelle) : l'interface prend en charge la transmission entre le commutateur et le client dans une seule direction la fois.
Mode duplex oprationnel : affiche le mode duplex actuel du port, obtenu par ngociation.
95
Annonce automatique : slectionnez les fonctions que le port doit annoncer. Les options disponibles sont les suivantes : Capacit maximale : tous les dbits de port et tous les modes duplex sont accepts. 10 Half : dbit de 10 Mbits/s et mode half-duplex. 10 Full : dbit de 10 Mbits/s et mode full duplex. 100 Half : dbit de 100 Mbits/s et mode half-duplex. 100 Full : dbit de 100 Mbits/s et mode full duplex. 1000 Full : dbit de 1000 Mbits/s et mode full duplex.
Annonce oprationnelle : affiche les fonctions actuellement publies l'attention du voisin du port pour dmarrer le processus de ngociation. Les options disponibles sont celles spcifies dans le champ Annonce administrative. Contre-pression : slectionnez le mode de contre-pression du port (utilis en mode half-duplex) appliquer pour ralentir le dbit de rception des paquets en cas de surcharge du commutateur. Cela dsactive le port distant, ce qui l'empche d'envoyer des paquets en engorgeant l'appareil. Contrle de flux : activez ou dsactivez le contrle de flux 802.3x ou activez la ngociation automatique du contrle de flux sur le port (uniquement en mode full duplex). MDI/MDIX tat MDI (Media Dependent Interface, interface dpendant du support)/MDIX (Media Dependent Interface with Crossover, interface dpendant du support avec croisement) sur le port. Les ports du commutateur sont cbls conformment aux normes TIA (Telecommunications Industry Association). Les options disponibles sont les suivantes : MDIX : slectionnez cette option pour relier ce commutateur des concentrateurs ou d'autres commutateurs via un cble droit. Ce commutateur change ses paires d'mission et de rception. Vous pouvez donc le connecter un autre commutateur ou un autre concentrateur l'aide d'un cble droit. MDI : slectionnez cette option pour relier ce commutateur une station de travail via un cble droit.
96
Auto : slectionnez cette option pour configurer le commutateur afin qu'il dtecte automatiquement le brochage correct pour la connexion un autre priphrique. Si l'autre priphrique prend en charge la fonction AutoMDX et que vous dfinissez le paramtre sur Auto, les priphriques concerns ngocient gnralement le brochage sur la base du type de cble qui relie les priphriques ainsi que sur la base de la configuration de brochage d'mission et de rception de chaque port.
MDI/MDIX oprationnel : affiche le paramtre MDI/MDIX actuel. Port protg : slectionnez cette option pour dfinir ce port en tant que port protg. (Un port protg est galement appel PVE (Private VLAN Edge).) Les fonctions d'un port protg sont les suivantes : Les ports protgs fournissent une isolation Layer 2 (snooping) entre les diverses interfaces (ports Ethernet et LAG (Link Aggregation Groups, groupes d'agrgation de liaisons)) qui partagent le mme domaine de diffusion (VLAN). Les paquets reus de ports protgs ne peuvent tre transfrs que vers des ports de sortie non protgs. Les rgles de filtrage des ports protgs s'appliquent galement aux paquets transfrs par un logiciel comme les applications de traage. La protection des ports ne dpend pas de l'appartenance aux VLAN. Les priphriques connects des ports protgs ne peuvent pas communiquer entre eux, mme s'ils sont membres du mme VLAN. Les ports et les LAG peuvent tre munis ou non d'une protection.
Membre du LAG : indique le nom du LAG dans la mesure o le port est membre d'un LAG.
TAPE 6 Cliquez sur Appliquer. Les paramtres de port sont modifis et le commutateur
est mis jour. Pour configurer un autre port, slectionnez-le dans le champ Port, en haut de la rubrique Modifier le paramtre de port.
97
quilibrage de charge La charge du trafic transfr un LAG est quilibre entre les divers ports qui sont des membres actifs. Ceci permet d'obtenir une bande passante effective proche du total cumul des bandes passantes de tous les membres actifs du LAG. L'quilibrage de charge du trafic sur les ports membres actifs d'un LAG est gr par une fonction de distribution par hachage, qui rpartit le trafic de diffusion sur la base des informations d'en-tte de paquet Layer 2 ou Layer 3. Les paquets de multidiffusion se comportent de faon identique aux paquets de diffusion. Le commutateur prend en charge deux modes d'quilibrage de charge : Par les adresses MAC : traitement bas sur les adresses MAC source et cible de tous les paquets. Par les adresses IP et MAC : traitement bas sur les adresses IP source et cible pour les paquets IP. Pour les paquets non-IP, traitement bas sur les adresses MAC source et cible.
98
Gestion des LAG Les ports membres actifs d'un LAG sont dfinis de manire statique via une affectation explicite par l'utilisateur ou slectionns de manire dynamique par le protocole LACP (Link Aggregation Control Protocol, protocole de contrle de l'agrgation de liaisons). Le processus de slection LACP choisit les ports membres actifs du LAG aprs un change d'informations LACP entre les priphriques locaux et distants. En gnral, un LAG est trait par le systme comme tant un seul port logique. En particulier, le LAG comporte des attributs semblables ceux d'un port unique, notamment son tat et son dbit. Le commutateur peut prendre huit LAG en charge. Chaque LAG possde les caractristiques suivantes : Tous les ports d'un LAG doivent disposer du mme type de support. Pour que vous puissiez ajouter un port au LAG, il ne doit appartenir aucun autre VLAN que le VLAN par dfaut. Les ports d'un LAG ne doivent tre affects aucun autre LAG. Il est impossible d'affecter plus de huit ports un LAG statique. Il est galement impossible de dfinir plus de 16 ports comme candidats un LAG dynamique. Bien que cette fonction puisse tre active sur le LAG, vous devez dsactiver la ngociation automatique sur tous les ports d'un LAG. Lorsque vous ajoutez un port la configuration d'origine du LAG, la configuration existante de ce port n'est plus applique car ce port adopte la configuration du LAG. Lorsque vous retirez ce port du LAG, il reprend sa configuration d'origine. Les divers protocoles, comme Spanning Tree, considrent tous les ports d'un LAG comme tant un port unique. Tous les ports du LAG doivent avoir la mme priorit 802.1p.
99
de liaisons > Gestion des LAG. La rubrique Gestion des LAG s'ouvre.
TAPE 2 Slectionnez l'un des algorithmes d'quilibrage de charge suivants :
Adresse MAC : quilibrage de charge bas sur les adresses MAC source et cible de tous les paquets. Adresse IP/MAC : quilibrage de charge bas sur les adresses IP source et cible pour les paquets IP et sur les adresses MAC source et cible pour les paquets non-IP.
100
LAG : slectionnez le numro du LAG. Nom du LAG : saisissez le nom du LAG ou un commentaire. LACP : slectionnez cette option pour activer LACP sur le LAG slectionn. Ceci en fait un LAG dynamique. Liste des ports : dplacez les ports affecter au LAG de la liste des ports la liste Membres du LAG. Vous pouvez affecter jusqu' huit ports un LAG statique et jusqu' 16 ports un LAG dynamique.
TAPE 3 Cliquez sur Appliquer. Les membres du LAG sont dfinis et le commutateur est
mis jour. En modifiant le champ LAG, vous pouvez choisir un autre LAG afin de le configurer.
101
TAPE 2 Slectionnez un LAG puis cliquez sur Modifier. La rubrique Modifier les
LAG : slectionnez le numro d'ID du LAG. Description : saisissez le nom du LAG ou un commentaire. Type de LAG : affiche le type de port inclus dans le LAG. tat administratif : dfinissez le LAG slectionn comme tant oprationnel (Dmarr) ou non oprationnel (Arrt). tat oprationnel : indique si le LAG est actuellement oprationnel. Ractiver le LAG suspendu : slectionnez cette option pour ractiver un port si le LAG a t dsactiv via l'option de scurit de verrouillage des ports ou via des configurations ACL. Ngociation automatique administrative : permet d'activer ou de dsactiver la ngociation automatique sur le LAG. La ngociation automatique est un protocole tabli entre deux partenaires de liaison qui permet un LAG d'annoncer son dbit de transmission et son contrle de flux son partenaire (la valeur par dfaut pour le contrle de flux est Dsactiv). Il est recommand de maintenir la ngociation automatique active des deux cts d'une liaison agrge (ou de la dsactiver des deux cts), tout en s'assurant que les dbits de liaison sont identiques. Ngociation automatique oprationnelle : affiche le paramtre de ngociation automatique. Dbit administratif : slectionnez le dbit du LAG. Dbit de LAG oprationnel : affiche le dbit actuel de fonctionnement du LAG. Annonce administrative : slectionnez les fonctions que le LAG doit annoncer. Les options disponibles sont les suivantes : Capacit maximale : tous les dbits de LAG et modes duplex sont accepts. 10 Full : le LAG annonce un dbit de 10 Mbits/s et le mode full duplex. 100 Full : le LAG annonce un dbit de 100 Mbits/s et le mode full duplex. 1000 Full : le LAG annonce un dbit de 1000 Mbits/s et le mode full duplex.
102
9
Annonce oprationnelle : affiche l'tat d'annonce administrative. Le LAG annonce ses fonctions son voisin pour lancer le processus de ngociation. Les options disponibles sont celles spcifies dans le champ Annonce administrative. Annonce de voisin : affiche les fonctions annonces par le LAG voisin (celui auquel l'interface slectionne est connecte) pour lancer le processus de ngociation. Les options disponibles sont celles spcifies dans le champ Annonce administrative. Contrle de flux administratif : activez ou dsactivez le contrle de flux ou activez la ngociation automatique du contrle de flux sur le LAG. Contrle de flux oprationnel : affiche le paramtre de contrle de flux actuel. LAG protg : slectionnez cette option pour dfinir ce LAG comme un port protg pour l'isolation Layer 2. Consultez la description de la configuration des ports la section Flux de travail de gestion des ports pour en savoir plus sur les ports et LAG protgs.
En modifiant le champ LAG, vous pouvez choisir un autre LAG afin de le configurer.
Configuration de LACP
Un LAG dynamique est un LAG o LACP est activ ; le protocole LACP (Link Aggregation Control Protocol, protocole de contrle de l'agrgation de liaisons) est excut sur chaque port candidat dfini dans le LAG. Priorit et rgles LACP Les options Priorit du systme LACP et Priorit des ports LACP dterminent les ports candidats qui deviennent des ports membres actifs d'un LAG dynamique configur avec plus de huit ports candidats. Les ports candidats slectionns pour le LAG sont tous connects au mme priphrique distant. Un groupe de canaux LACP peut comporter jusqu' 16 ports Ethernet d'un mme type. Huit ports (maximum) peuvent tre actifs et jusqu' huit ports peuvent tre en mode de rserve. Si un groupe de canaux LACP comprend plus de huit ports, le commutateur situ du ct qui contrle la liaison applique les priorits de port pour dterminer les ports agrgs dans le canal et ceux qui restent en mode de
103
9
rserve chaud. Les priorits des ports de l'autre commutateur (du ct de la liaison qui n'a pas le contrle) sont ignores. La priorit LACP est dduite du priphrique local ou distant conformment la rgle suivante : la valeur Priorit du systme LACP locale est compare la priorit systme LACP du priphrique distant. La priorit la plus faible est applique. Si les deux priorits sont identiques, les adresses MAC locale et distante sont compares. Le niveau de priorit du priphrique muni de l'adresse MAC la plus basse est pris en compte. Les rgles supplmentaires de slection des ports actifs ou de rserve d'un LACP dynamique sont les suivantes : Toute liaison fonctionnant avec un dbit diffrent de celui du membre actif ayant le dbit le plus lev ou fonctionnant en mode half-duplex est dsigne comme tant celle de rserve. Tous les ports actifs d'un LAG dynamique fonctionnent avec le mme dbit en bauds. Si la priorit LACP du port de la liaison est infrieure celle des membres de liaison actuellement actifs et si le nombre maximal de membres actifs a dj t atteint, la liaison devient inactive et place en mode de rserve.
LACP s'ouvre.
TAPE 2 Saisissez la valeur Priorit du systme LACP globale qui dterminera les ports
candidats qui deviendront membres du LAG. Cette page affiche les paramtres LACP de chaque port. Vous pouvez slectionner et modifier le port voulu dans la rubrique Modifier les paramtres
104
9
paramtres s'ouvre.
TAPE 3 Slectionnez un port puis cliquez sur Modifier. La rubrique Modifier les
Port : slectionne le numro du port auquel les valeurs de dlai et de priorit s'appliquent. Priorit des ports LACP : saisissez la valeur de priorit LACP du port. Dlai LACP : indiquez si la transmission priodique des PDU LACP doit se produire un rythme lent ou rapide, selon la prfrence de dlai LACP dfinie.
Vous pouvez choisir un autre port dans le champ Port afin de poursuivre les modifications.
Green Ethernet
Green Ethernet est le nom d'usage d'un ensemble de fonctions conues pour respecter l'environnement et rduire la consommation lectrique d'un priphrique. La fonction Green Ethernet rduit la consommation nergtique globale de deux manires : Mode Dtection d'nergie : sur une liaison inactive, le port passe en mode inactif, ce qui permet d'conomiser l'nergie tout en maintenant le port l'tat administratif Dmarr. La sortie de ce mode et le Prcdente au mode entirement oprationnel sont rapides, transparents et sans aucune perte de trame. Ce mode est pris en charge sur les ports GE comme sur les ports FE. Courte porte : la longueur du cble est analyse et la consommation d'nergie est ajuste en fonction de cette longueur. Dans ce mode, un test de longueur VCT (Virtual Cable Tester, testeur de cble virtuel) est ralis pour mesurer le cble. Si le cble est infrieur une longueur (prdfinie) donne, le commutateur consomme moins de puissance pour envoyer des trames sur ce cble, ce qui reprsente une conomie d'nergie. Ce mode n'est pris en charge que sur les ports GE RJ45 ; il ne s'applique pas aux ports GE mixtes.
105
9
Les deux modes Green Ethernet (Dtection d'nergie et Courte porte) doivent tre globalement activs et configurs sur chaque port. Il est possible de contrler les conomies d'nergie et la consommation lectrique actuelle. La quantit totale d'nergie conomise est affiche sous la forme d'un pourcentage de l'nergie qu'auraient consomm les interfaces physiques sans le mode Green Ethernet. Vous pouvez surveiller les conomies d'nergie. Les fonctions Green Ethernet sont dfinies pour chaque port, que ce dernier soit ou non membre d'un LAG.
Proprits s'ouvre.
TAPE 2 Saisissez les valeurs pour les champs suivants :
Mode Dtection d'nergie : permet d'activer ou de dsactiver globalement le mode Dtection d'nergie. Si ce mode change, un message est affich. Le mode d'conomie d'nergie change lorsque vous cliquez sur OK.
Courte porte : permet d'activer ou de dsactiver globalement le mode Courte porte s'il existe des ports GE sur le commutateur.
REMARQUE La dsactivation ou l'activation du mode Dtection d'nergie
dconnecte temporairement les connexions rseau. conomies d'nergie : affiche le pourcentage d'nergie conomis grce au mode Green Ethernet. nergie totale conomise : affiche la quantit d'nergie conomise depuis le dernier redmarrage du commutateur. Cette valeur est mise jour chaque vnement qui affecte l'conomie d'nergie.
TAPE 3 Cliquez sur Appliquer. Les paramtres de port sont modifis et le commutateur
106
9
Dfinition de proprits Green Ethernet pour chaque port
La rubrique Paramtres du port affiche le mode d'conomie d'nergie Green Ethernet actuel de chaque port et vous permet de slectionner un port pour la configuration de Green Ethernet dans la rubrique Modifier le paramtre de port. Pour que les modes Green Ethernet fonctionnent sur un port, vous devez avoir activ ces modes globalement dans la rubrique Proprits. Pour dfinir les paramtres Green Ethernet de chaque port :
TAPE 1 Cliquez sur Gestion des ports > Green Ethernet > Paramtres des ports. La
rubrique Paramtres du port s'ouvre. La rubrique Paramtres du port affiche les champs suivants : N d'entre : numro de squence de l'entre dans la table. Port : numro du port. Dtection d'nergie : tat du mode Dtection d'nergie sur le port : Administratif : indique si le mode Dtection d'nergie est activ. Oprationnel : indique si le mode Dtection d'nergie est actuellement oprationnel. Motif : si le mode Dtection d'nergie n'est pas oprationnel, indique le motif.
Courte porte : tat du mode Courte porte sur le port : Administratif : indique si le mode Courte porte est activ. Oprationnel : indique si le mode Courte porte est actuellement oprationnel. Motif : si le mode Courte porte n'est pas oprationnel, indique le motif.
port. Pour autant, vous ne pouvez pas activer la fonction Courte porte tant qu'elle n'est pas active globalement (utilisez la rubrique Proprits). Pour activer globalement le mode Courte porte, reportez-vous la section Dfinition de proprits Green Ethernet globales. Longueur de cble : indique la longueur de cble dtecte par VCT, en mtres.
TAPE 2 Slectionnez un port puis cliquez sur Modifier. La rubrique Modifier le paramtre
de port s'ouvre.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 107
TAPE 3 Choisissez d'activer ou de dsactiver le mode Dtection d'nergie pour le port. TAPE 4 Choisissez d'activer ou de dsactiver le mode Courte porte pour le port. TAPE 5 Cliquez sur Appliquer. Les paramtres Green Ethernet du port sont modifis et le
commutateur est mis jour. Slectionnez un autre port pour l'afficher et le modifier.
108
10
Gestion des appareils PoE
La fonctionnalit PoE (Power over Ethernet) n'est disponible que sur les appareils bass sur PoE. Une liste de ces appareils vous est prsente la section Modles de commutateurs. Ce chapitre explique comment utiliser la fonctionnalit PoE. Il contient les rubriques suivantes : PoE sur le commutateur Configurer les proprits PoE Configurer la puissance, la priorit et la classe PoE
Fonctionnalits PoE
Fonctionnalits PoE PoE offre les fonctionnalits suivantes : limine le besoin de fournir une alimentation de 110/220 Vca tous les appareils connects un LAN cbl. Supprime le besoin de placer tous les appareils rseau proximit de sources d'alimentation. limine le besoin de dployer des systmes double cblage dans une entreprise et permet ainsi ainsi de rduire de faon significative les cots d'installation.
109
10
les tlphones IP, les points d'accs sans fil, les passerelles IP, les appareils de surveillance audio et vido distance.
PoE peut tre utilis dans tout rseau d'entreprise dployant des appareils de puissance relativement faible connects au LAN Ethernet et notamment :
Fonctionnement de PoE
Fonctionnement de PoE La mise en uvre de PoE comprend les tapes suivantes : Dtection : envoie des impulsions spciales sur le cble en cuivre. Lorsqu'un appareil PoE est situ l'autre extrmit, cet appareil rpond ces impulsions. Classification : la ngociation entre le PSE (Power Sourcing Equipment) et l'appareil aliment (PD, Powered Device) dbute aprs l'tape de dtection. Au cours de la ngociation, le PD spcifie sa classe, qui correspond la puissance maximale qu'il consomme. Consommation lectrique : une fois l'tape de classification termine, le PSE fournit de la puissance au PD. Si ce dernier prend en charge PoE, il est considr en l'abscence d'une classification comme tant de classe 0 (le maximum). Si un PD essaie de consommer plus de puissance que ne l'autorise la norme, le PSE arrte d'alimenter le port.
PoE prend en charge deux modes : Limite du port : la puissance maximale que le commutateur accepte de fournir est limite la valeur configure par l'administrateur systme, ceci indpendamment du rsultat de la Classification. Limite de classe : la puissance maximale que le commutateur accepte de fournir est dtermine par les rsultats de l'tape Classification. Cela signifie qu'elle est dfinie conformment la demande du client.
110
10
Vous pouvez dcider : de la puissance maximale qu'un PSE est autoris fournir un PD ; alors que l'appareil fonctionne, de changer le mode de Limite de classe en Limite du port et vice versa. Les valeurs de puissance par port ayant t configures pour le mode Limite du port sont conserves ; de la limite de port maximale autorise en tant que limite numrique par port en mW (mode Limite du port) ; de gnrer une message trap lorsqu'un PD essaie de consommer trop de puissance et du pourcentage de la puissance maximale auquel ce message trap est gnr.
Le matriel PoE spcifique dtecte automatiquement la classe du PD et sa limite de puissance en fonction de la classe de l'appareil connect chaque port spcifique (mode Limite de classe). Si, tout moment au cours de la connexion, un PD reli ncessite plus de puissance de la part du commutateur que ce que permet l'allocation configure (que le commutateur soit en mode Limite de classe ou Limite du port), le commutateur : maintient l'tat actif/inactif de la liaison du port PoE ; dsactive la fourniture de puissance au port PoE ; journalise le motif de l'arrt de l'alimentation ; gnre un message trap SNMP.
111
10
s'ouvre.
TAPE 2 Saisissez les valeurs pour les champs suivants :
Mode d'alimentation : slectionnez l'une des options suivantes : Limite du port : la limite maximale de puissance par port est configure par l'utilisateur. Limite de classe : la limite maximale de puissance par port est dtermine par la classe de l'appareil, elle-mme rsultant de l'tape de Classification.
Messages trap : permet d'activer ou de dsactiver les messages trap . Si les traps sont activs, vous devez galement activer SNMP et configurer au moins un destinataire de notification SNMP. Seuil des trap d'alimentation : saisissez le seuil d'utilisation sous la forme d'un pourcentage de la limite de puissance. Une alarme se dclenche si la puissance dpasse cette valeur.
Les compteurs suivants s'affichent : Puissance nominale : la quantit totale de puissance que le commutateur peut fournir l'ensemble des PD connects. Consommation : puissance actuellement consomme par les ports PoE. Puissance disponible : puissance nominale - la quantit de puissance consomme.
112
10
s'ouvre.
TAPE 2 Slectionnez un port et cliquez sur Modifier. La rubrique Modifier les
Port : slectionnez le port configurer. tat administratif PoE : permet d'activer ou de dsactiver PoE sur le port. Niveau de priorit d'alimentation : slectionnez la priorit du port (faible, leve ou critique) qui sera utilise en cas de manque de puissance. Par
113
10
exemple, si 99 % de la puissance disponible est consomme et que le port 1 a une priorit leve et le port 3 une priorit faible, le port 1 sera aliment contrairement au port 3. Classe : ce champ ne s'affiche que si le Mode d'alimentation Limite de classe est dfini dans la rubrique Proprits PoE. La classe dtermine le niveau de puissance :
Classe 0 1 2 3 4
Puissance maximale fournie par le port du commutateur 15,4 W 4,0 W 7,0 W 15,4 W 15,4 W
Affectation de puissance : ce champ ne s'affiche que si le Mode d'alimentation Limite du port est dfini dans la rubrique Proprits PoE. Saisissez la puissance affecte au port (en milliwatts). Cette plage est comprise entre 0 et 15 400. Consommation lectrique : affiche la puissance (en milliwatts) affecte l'appareil aliment connect l'interface slectionne. Nombre de surcharges : affiche le nombre total d'occurrences de surcharges de courant. Nombre de courts-circuits : affiche le nombre total d'occurrences de courts-circuits lectriques. Nombre de refus : affiche le nombre de fois o l'alimentation a t refuse pour l'appareil aliment. Nombre d'absences : affiche le nombre de fois o l'alimentation de l'appareil aliment a t arrte, l'appareil n'tant plus dtect. Nombre de signatures non valides : affiche le nombre de fois o une signature non valide a t reue. L'appareil aliment utilise des signatures pour s'identifier auprs du PSE. Ces signatures sont gnres lors de la dtection, la classification ou la maintenance de l'appareil aliment.
TAPE 4 Cliquez sur Appliquer. Les paramtres PoE du port sont dfinis et le commutateur
114
11
Gestion des VLAN
Ce chapitre contient les sections suivantes : VLAN Configuration des paramtres VLAN par dfaut Cration de VLAN Configuration des paramtres d'interface VLAN Dfinition de l'appartenance VLAN Paramtres GVRP Groupes VLAN VLAN voix Configuration des proprits du VLAN voix
VLAN
Un VLAN est un groupe logique qui permet aux priphriques qui lui sont connects de communiquer entre eux sur une couche MAC Ethernet, quel que soit le segment LAN physique du rseau raccord auquel ils sont connects. Description des VLAN Les VLAN sont configurs avec un VID unique (ID VLAN) dont la valeur est comprise entre 1 et 4094. Un port sur un priphrique d'un rseau raccord est membre d'un VLAN s'il peut changer (envoyer/recevoir) des donnes avec le VLAN. Un port est un membre non balis d'un VLAN si aucun des paquets qui lui sont destins ne dispose de balise VLAN. Un port est un membre balis d'un VLAN si tous les paquets qui lui sont destins disposent d'une balise VLAN. Un port peut tre membre d'un ou plusieurs VLAN.
115
11
Un port en mode Accs VLAN ne peut faire partie que d'un seul VLAN. S'il est en mode Gnral ou Liaison, le port peut faire partie d'un ou plusieurs VLAN. Les VLAN traitent les problmes de scurit et d'extensibilit. Le trafic d'un VLAN reste l'intrieur du VLAN et se termine ses priphriques. II facilite galement la configuration rseau en connectant logiquement les priphriques sans les transfrer physiquement. Si une trame est balise VLAN, une balise VLAN 4 octets est ajoute chaque trame Ethernet, ce qui augmente sa taille maximum de 1518 1522. La balise contient un ID VLAN compris entre 1 et 4094 et une balise de priorit VLAN (VPT) comprise entre 0 et 7. Voir Modes QoS pour en savoir plus sur VPT. Lorsqu'une trame entre dans un priphrique tenant compte du VLAN, elle est classe comme appartenant un VLAN spcifique en vertu de sa balise VLAN 4 octets au sein de la trame. S'il n'existe aucune balise VLAN dans la trame ou si la trame comporte une balise de priorit, elle est catgorise dans le VLAN selon le PVID (identificateur de port VLAN) configur au port de rception de la trame. La trame est dsactive au port d'entre si le filtrage d'entre est activ et le port d'entre n'est pas membre du VLAN auquel appartient le paquet. Une trame est considre comme trame de priorit si le VID dans sa balise VLAN est 0. Les trames appartenant un VLAN restent dans le VLAN. Ceci s'applique en envoyant ou en transfrant une trame uniquement des ports de sortie membres du VLAN cible. Un port de sortie peut tre un membre balis ou non balis d'un VLAN. Le port de sortie : Ajoute une balise VLAN la trame si le port de sortie est un membre balis du VLAN cible et si la trame d'origine n'a pas de balise VLAN. Supprime la balise VLAN de la trame si le port de sortie est un membre non balis du VLAN cible et si la trame d'origine a une balise VLAN.
Rles du VLAN Les VLAN fonctionnent au niveau de la Couche 2 (Layer 2). Tout le trafic VLAN (monodiffusion/diffusion/multidiffusion) demeure au sein du VLAN. Les priphriques relis diffrents VLAN n'ont pas de connectivit directe entre eux sur la couche MAC Ethernet. Des priphriques de VLAN diffrents peuvent communiquer entre eux uniquement via des routeurs de Couche 3 (Layer 3). Un routeur IP, par exemple, est requis pour acheminer le trafic IP entre les VLAN si chaque VLAN reprsente un sous-rseau IP.
116
11
Le routeur IP peut tre un routeur traditionnel o chacune de ses interfaces se connecte un seul VLAN. Le trafic depuis et vers un routeur IP traditionnel doit tre balis VLAN. Le routeur IP peut tre un routeur tenant compte du VLAN o chacune de ses interfaces peut se connecter un ou plusieurs VLAN. Le trafic depuis et vers un routeur IP tenant compte du VLAN peut tre balis ou non balis VLAN. Les priphriques adjacents tenant compte du VLAN changent des informations VLAN entre eux via le protocole GVRP (Generic VLAN Registration Protocol). En consquence, les informations VLAN sont propages via un rseau raccord. Les VLAN sur un priphrique peuvent tre crs statistiquement ou dynamiquement en vertu des informations GVRP changes par les priphriques. Un VLAN peut tre statique ou dynamique (via GVRP), mais pas les deux. Pour en savoir plus sur GVRP, reportez-vous la section Paramtres GVRP. Certains VLAN peuvent avoir des rles supplmentaires, notamment : VLAN voix : pour en savoir plus, reportez-vous la section VLAN voix. VLAN invit : dfini dans la rubrique Modifier l'authentification VLAN. VLAN par dfaut : pour en savoir plus, reportez-vous la section Configuration des paramtres VLAN par dfaut. VLAN de gestion (dans des systmes en mode Couche 2 (Layer 2)) : pour en savoir plus, reportez-vous la section Adressage IP Layer 2.
Charge de travail de la configuration VLAN Pour configurer les VLAN : 1. Dans la mesure o cela est requis, modifiez le VLAN par dfaut en utilisant la section Configuration des paramtres VLAN par dfaut. 2. Crez les VLAN requis l'aide de la section Cration de VLAN. 3. Dfinissez la configuration VLAN par port l'aide de la section Configuration des paramtres d'interface VLAN. 4. Assignez des interfaces aux VLAN l'aide de la section Configuration du port au VLAN ou de la section Configuration du VLAN au port. 5. Vous pouvez afficher l'appartenance actuelle du port VLAN pour toutes les interfaces dans la section Affichage de l'appartenance VLAN.
117
11
Lorsque le VID du VLAN par dfaut est modifi, le commutateur excute les oprations suivantes sur tous les ports du VLAN aprs avoir enregistr la configuration et redmarr le commutateur : Supprime l'appartenance VLAN des ports au VLAN par dfaut d'origine (uniquement possible aprs le redmarrage). Remplace le PVID (identificateur de port VLAN) des ports par le VID du nouveau VLAN par dfaut. L'ID VLAN par dfaut d'origine est supprim du commutateur. Il doit tre recr pour pouvoir tre utilis. Ajoute des ports en tant que membres VLAN non baliss du nouveau VLAN par dfaut.
118
11
Pour changer le VLAN par dfaut :
TAPE 1 Cliquez sur Gestion des VLAN > Paramtres VLAN par dfaut. La rubrique
ID VLAN par dfaut actuel : affiche l'ID VLAN par dfaut actuel. ID VLAN par dfaut aprs rinitialisation : saisissez un nouvel ID VLAN pour remplacer l'ID VLAN par dfaut aprs le redmarrage.
TAPE 3 Cliquez sur Appliquer. TAPE 4 Cliquez sur Enregistrer (dans le coin suprieur droit de la fentre) et enregistrez la
Configuration d'excution dans la Configuration de dmarrage. L'ID VLAN par dfaut aprs rinitialisation devient l'ID VLAN par dfaut actuel aprs le redmarrage du commutateur.
Cration de VLAN
Vous pouvez crer un VLAN mais cela n'a aucun effet tant que le VLAN n'est pas manuellement ou dynamiquement li au moins un port. Les ports doivent toujours appartenir un ou plusieurs VLAN. Le commutateur Cisco Sx300 prend en charge des VLAN 256, VLAN par dfaut inclus. Chaque VLAN doit tre configur avec un VID unique (ID VLAN) dont la valeur est comprise entre 1 et 4094. Le commutateur conserve le VID 4095 comme VLAN d'abandon. Tous les paquets classs comme VLAN d'abandon sont abandonns l'entre et ne sont jamais transfrs un port. Pour crer un VLAN :
TAPE 1 Cliquez sur Gestion des VLAN > Crer un VLAN. La rubrique Crer un VLAN
s'ouvre. La page de cration des VLAN affiche les champs suivants pour tous les VLAN : ID VLAN : ID VLAN dfini par l'utilisateur. Nom du VLAN : nom du VLAN dfini par l'utilisateur.
119
11
Type : type du VLAN. Les options disponibles sont les suivantes : Dynamique : le VLAN a t dynamiquement cr via le protocole GVRP (Generic VLAN Registration Protocol). Statique : le VLAN a t dfini par l'utilisateur. Dfaut : c'est le VLAN par dfaut.
TAPE 2 Cliquez sur Ajouter pour ajouter un nouveau VLAN ou slectionnez un VLAN
existant puis cliquez sur Modifier pour modifier les paramtres du VLAN. La rubrique Ajouter/Modifier VLAN s'ouvre. La page active la cration d'un VLAN unique ou d'une plage de VLAN.
TAPE 3 Pour crer un VLAN unique, slectionnez le bouton VLAN, saisissez l'ID VLAN (VID)
et le nom du VLAN (facultatif). Pour crer une plage de VLAN, Slectionnez le bouton Plage et spcifiez la plage de VLAN crer en saisissant le VID de dpart et le VID de fin (ces valeurs sont comprises).
TAPE 4 Cliquez sur Appliquer pour crer le ou les VLAN.
d'interface s'ouvre.
La page des paramtres d'interface rpertorie tous les ports ou LAG ainsi que leurs paramtres VLAN.
TAPE 2 Slectionnez un type d'interface (Port ou LAG) puis cliquez sur OK. TAPE 3 Slectionnez un port ou un LAG et cliquez sur Modifier. La rubrique Modifier les
120
11
Interface : slectionnez un port ou un LAG. Mode d'interface VLAN : slectionnez le mode d'interface du VLAN. Les options disponibles sont les suivantes : Gnral : l'interface peut prendre en charge toutes les fonctions telle qu'elles sont dfinies dans les caractristiques techniques IEEE 802.1q. Elle peut tre un membre balis ou non balis d'un ou plusieurs VLAN. Accs : l'interface est un membre non balis d'un VLAN unique. Un port configur dans ce mode est connu comme port d'accs. Liaison : l'interface est un membre non balis d'au moins un VLAN ainsi qu'un membre balis de zro ou plusieurs VLAN. Un port configur dans ce mode est connu comme port de liaison.
PVID : saisissez l'ID VLAN du port (PVID) du VLAN dans lequel les trames non balises entrantes et les trames balises de priorit sont classes. Les valeurs possibles sont comprises entre 1 et 4094. Type de trame : slectionnez le type de trame que l'interface peut recevoir. Les trames qui n'ont pas le type configur sont abandonnes l'entre. Ces types de trames sont uniquement disponibles en mode Gnral. Les valeurs possibles sont : Tout admettre : l'interface accepte tous les types de trames : trames non balises, trames balises et trames balises de priorit. Admettre marques uniquement : l'interface accepte uniquement les trames balises. Admettre non marques uniquement : l'interface accepte uniquement les trames de priorit et non balises.
Filtrage d'entre (uniquement disponible en mode Gnral) : slectionnez cette option pour activer le Filtrage d'entre. Lorsqu'une interface est en mode Filtrage d'entre, elle abandonne toutes les trames entrantes qui sont classes comme appartenant aux VLAN dont elle n'est pas membre. Le filtrage d'entre peut tre dsactiv ou activ sur les ports gnraux. Il est toujours activ sur les ports d'accs et les ports de liaison. Appartenance automatique en VLAN voix : slectionnez cette option pour activer Appartenance VLAN voix automatique. Lorsque cette option est active sur une interface, le commutateur configure automatiquement l'interface comme membre du VLAN voix s'il dtecte les paquets voix
121
11
entrants bass sur les OUI (Organizationally Unique Identifiers) de tlphonie configurs. La stratgie rseau LLDP-MED n'active pas le VLAN voix.
Mode QoS VLAN voix : slectionnez l'une des valeurs suivantes : Tout : les valeurs de qualit de service (QoS) configures sur le VLAN voix sont appliques toutes les trames entrantes qui sont reues sur l'interface et catgorises comme VLAN voix. Adresse MAC source de tlphonie : les valeurs de QoS configures pour le VLAN voix sont appliques la trame entrante reue sur l'interface, catgorise comme VLAN voix et dont l'adresse MAC source est configure avec l'OUI de tlphonie. (Les OUI de tlphonie sont configures en suivant la procdure de la section Configuration de l'OUI de tlphonie.)
TAPE 5 Cliquez sur Appliquer. Les paramtres sont dfinis et le commutateur est mis
jour.
122
11
Les trames balises VLAN peuvent traverser des priphriques d'interconnexion rseau prenant ou non en compte les VLAN. Si un nud d'extrmit de destination ne prend pas en compte le VLAN, mais doit recevoir du trafic depuis un VLAN, alors le dernier priphrique prenant en compte le VLAN (s'il existe) doit envoyer les trames du VLAN de destination au nud d'extrmit non balis. Le port de sortie atteignant le nud d'extrmit doit tre un membre non balis du VLAN.
afin d'afficher ou de modifier la caractristique du port relative au VLAN. Le mode Port de chaque port ou LAG s'affiche dans son mode actuel (Accs, Liaison ou Gnral) configur depuis la rubrique Paramtres d'interface. Chaque port ou LAG s'affiche avec son enregistrement actuel au VLAN.
TAPE 3 Modifiez l'enregistrement d'une interface au VLAN en slectionnant l'option
souhaite dans la liste suivante : Interdit : l'interface n'est pas autorise rejoindre le VLAN mme partir de l'enregistrement GVRP. Lorsqu'un port n'est pas membre d'un autre VLAN, l'activation de cette option sur le port l'intgre au VLAN interne 4095 (VID rserv). Exclu : l'interface n'est actuellement pas membre du VLAN. C'est le paramtre par dfaut pour tous les ports et LAG. Le port peut rejoindre le VLAN via un enregistrement GVRP. Marqu : l'interface est un membre balis du VLAN. Les trames du VLAN sont envoyes balises l'interface VLAN. Non balis : l'interface est un membre non balis du VLAN. Les trames du VLAN sont envoyes non balises l'interface VLAN. PVID : slectionnez cette option pour dfinir le PVID de l'interface sur le VID du VLAN. Le PVID est un paramtre par port. Vous ne pouvez configurer que le PVID des ports gnraux.
123
11
TAPE 4 Cliquez sur Appliquer. Les interfaces sont assignes au VLAN et le commutateur
est mis jour. Vous pouvez continuer d'afficher et/ou de configurer l'appartenance de port un autre VLAN en slectionnant l'ID d'un autre VLAN.
suivants s'affichent pour toutes les interfaces du type slectionn : Interface : ID du port/LAG. Mode : mode de l'interface VLAN slectionn dans la rubrique Paramtres
d'interface.
VLAN : menu droulant qui affiche tous les VLAN dont l'interface est membre. LAG : si l'interface slectionne est Port, affiche le LAG dont elle est membre.
Interface : slectionnez un port/LAG. Mode : affiche le mode port VLAN slectionn dans la rubrique Paramtres d'interface. Slectionner le VLAN : pour associer un port un ou plusieurs VLAN, dplacez le ou les ID VLAN de la liste de gauche vers la liste de droite l'aide des flches. Le VLAN par dfaut peut apparatre dans la liste de droite s'il est marqu. Il ne peut cependant tre slectionn.
124
11
Balisage : slectionnez une des options de PVID/balisage suivantes : Marqu : slectionnez cette option pour baliser le port. Cette option ne concerne pas les ports d'accs. Non balis : slectionnez cette option pour que le port soit non balis. Cette option ne concerne pas les ports d'accs. PVID : le PVID du port est dfini sur ce VLAN. Si l'interface est en mode Accs ou Liaison, le commutateur fait automatiquement de l'interface un membre non balis du VLAN. Si l'interface est en mode gnral, vous devez configurer manuellement l'appartenance VLAN.
TAPE 5 Cliquez sur Appliquer. Les paramtres sont modifis et le commutateur est mis
jour.
La page d'appartenance VLAN des ports affiche l'appartenance oprationnelle des ports ou LAG : numro du port. Mode : le mode port est dfini dans la rubrique Paramtres d'interface. PVID : identificateur de port VLAN du VLAN auquel les trames non balises entrantes sont assignes l'entre. Cette option suppose qu'aucun autre mcanisme d'affectation avec VLAN n'est utilis, tel que les VLAN bass sur MAC. VLAN : VLAN auquel le port appartient.
125
11
Les priphriques adjacents tenant compte du VLAN peuvent s'changer des informations VLAN via le protocole GVRP (Generic VLAN Registration Protocol). Le GVRP est bas sur le protocole GARP (Generic Attribute Registration Protocol) et propage des informations VLAN travers le rseau raccord. tant donn que GVRP requiert une prise en charge du balisage, le port doit tre configur en mode Liaison ou Gnral. Lorsqu'un port est connect un VLAN via GVRP, il est ajout au VLAN en tant que membre dynamique, sauf si cette action a t expressment interdite la rubrique VLAN au port. Si le VLAN n'existe pas, il est dynamiquement cr lorsque la cration de VLAN dynamiques est active pour ce port. Le GVRP doit tre activ globalement et sur chaque port. Lorsqu'il est activ, il transmet et reoit des GPDU (GARP Packet Data Units). Les VLAN dfinis mais non actifs ne sont pas propags. Pour propager le VLAN, il doit tre actif au moins sur un port.
Paramtres GVRP
GVRP s'ouvre.
TAPE 2 Slectionnez tat global GVRP pour activer globalement le GVRP. TAPE 3 Cliquez sur Appliquer pour dfinir l'tat global GVRP. TAPE 4 Slectionnez un type d'interface (Port ou LAG) puis cliquez sur OK. Les champs
suivants s'affichent dans le tableau des paramtres GVRP. Interface : numro du port/LAG. tat GVRP : indique si le GVRP est activ/dsactiv sur l'interface. Cration de VLAN dynamiques : indique si la cration de VLAN dynamiques est active/dsactive sur l'interface. Si elle est dsactive, GVRP peut fonctionner mais de nouveaux VLAN ne sont pas crs. Enregistrement GVRP : indique si l'enregistrement VLAN via GVRP est activ ou dsactiv sur le port.
126
11
Modifier. La rubrique Modifier le paramtre GVRP s'ouvre.
TAPE 5 Pour dfinir les paramtres GVRP pour un port, slectionnez-le et cliquez sur
Interface : slectionnez l'interface (port ou LAG) modifier. tat GVRP : slectionnez cette option pour activer GVRP sur cette interface. Cration de VLAN dynamiques : slectionnez cette option pour activer la cration de VLAN dynamiques sur cette interface. Enregistrement GVRP : slectionnez cette option pour activer l'enregistrement VLAN via GVRP sur cette interface.
TAPE 7 Cliquez sur Appliquer. Les paramtres GVRP sont modifis et le commutateur est
mis jour.
Groupes VLAN
Assignation de groupes VLAN bass sur MAC
Utilisez cette fonction afin d'assigner du trafic non balis partir d'adresses MAC spcifiques vers un VLAN spcifique pour les priphriques en mode Couche 2 (Layer 2). Cette affectation s'excute par tapes : 1. Assignez l'adresse MAC un ID de groupe (un identificateur cr l'aide de la rubrique Groupes bass sur MAC). 2. Pour chaque interface, assignez le groupe VLAN un VLAN en utilisant rubrique Mappage de groupes au VLAN (les interfaces doivent tre en mode Gnral.) Cette fonction est uniquement disponible lorsque le commutateur est en mode Couche 2 (Layer 2). Le VLAN doit tre cr puis li l'interface. Pour assigner une adresse MAC un groupe VLAN :
TAPE 1 Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes bass sur MAC. La
127
11
Adresse MAC : saisissez une adresse MAC assigner un groupe VLAN.
REMARQUE Cette adresse ne peut pas tre assigne un autre groupe
VLAN. Masque : saisissez l'une des informations suivantes : Hte : hte source de l'adresse MAC Prfixe de l'adresse MAC
TAPE 4 Cliquez sur Appliquer. L'adresse MAC est assigne un groupe VLAN.
VLAN. La rubrique Mappage de groupes au VLAN s'ouvre. La fentre affiche : Interface : type d'interface (port ou LAG), via lequel le trafic est reu pour ce groupe. ID de groupe : groupe VLAN dfini dans la rubrique Groupes bass sur MAC. ID de VLAN : le trafic est transfr depuis le groupe VLAN vers ce VLAN.
128
11
Type de groupe : indique que le groupe est bas sur adresse MAC. Interface : saisissez une interface (port ou LAG) via laquelle le trafic est reu. ID de groupe : slectionnez l'un des groupes VLAN dfinis dans la rubrique
VLAN.
TAPE 4 Cliquez sur Appliquer pour dfinir le mappage du groupe VLAN au VLAN. (Le
VLAN bas sur adresse MAC ne lie pas dynamiquement le port au VLAN de groupe MAC ; l'interface pour laquelle le VLAN bas sur-MAC est dfini doit tre manuellement ajoute ce VLAN.)
VLAN voix
Le VLAN voix est utilis lorsque le trafic depuis des tlphones ou quipements VoIP est assign un VLAN spcifique. Le commutateur peut automatiquement dtecter et ajouter des ports membres au VLAN voix et assigner la QoS (Qualit de service) configure aux paquets depuis le VLAN voix. Attributs de la QoS Les attributs de la QoS peuvent tre assigns aux paquets VoIP (voix et signalisation) afin d'attribuer la priorit au trafic via le commutateur. Les attributs de la QoS peuvent tre assigns par port aux paquets voix suivant deux modes : Tout : les valeurs de qualit de service (QoS) configures sur le VLAN voix sont appliques toutes les trames entrantes reues sur l'interface et catgorises comme VLAN voix. SRC : les valeurs de QoS configures pour le VLAN voix sont appliques la trame entrante reue sur l'interface, catgorise comme VLAN voix et son adresse MAC source est configure avec l'OUI de tlphonie. (Les OUI de tlphonie sont configurs en suivant la procdure de la section Configuration de l'OUI de tlphonie.)
129
11
Dans les adresses MAC, les trois premiers octets contiennent un ID de fabricant, connu comme OUI (Organizationally Unique Identifier) et les trois derniers octets contiennent un ID de station unique. La classification d'un paquet de tlphones ou quipements VoIP est base sur l'OUI de son adresse MAC source. Les ports peuvent tre assigns au VLAN voix comme suit : Statique : assign manuellement au VLAN voix (dcrit dans la section Configuration des paramtres d'interface VLAN). Dynamique : le port est identifi comme candidat pour rejoindre le VLAN voix. Lorsqu'un paquet muni d'une adresse MAC OUI source identifiant l'quipement distance comme quipement voix est peru sur le port, le port se connecte au VLAN voix en tant que port balis. (Cette option est configure l'aide du processus dcrit dans la section Configuration des paramtres d'interface VLAN.) Si le dlai d'expiration de la dernire adresse MAC de tlphonie dpasse le dlai d'expiration du VLAN voix, le port est supprim du VLAN voix. Le dlai d'expiration peut tre modifi en utilisant la procdure dcrite dans la section Configuration des proprits du VLAN voix.
Les scnarios de rseau suivants sont pris en charge pour l'affectation dynamique : Un tlphone est configur avec l'ID VLAN voix et envoie toujours des paquets baliss. Un tlphone envoie des paquets non baliss pour acqurir son adresse IP initiale. Une rponse du serveur DHCP local dirige le tlphone afin qu'il utilise l'ID VLAN voix. Le tlphone redmarre alors une session DHCP sur le VLAN voix (balis). Si l'quipement voix prend en charge le protocole LLDP-MED, le commutateur envoie une stratgie de rseau LLDP-MED qui indique au tlphone comment envoyer les trames au commutateur (par exemple : balis et balis avec un VLAN spcifique).
130
11
Options de VLAN voix
Options de VLAN voix Vous pouvez effectuer les oprations suivantes avec cette fonctionnalit : Activer ou dsactiver le VLAN voix tel qu'indiqu dans la section Configuration des proprits du VLAN voix/ Crer un nouveau VLAN pour servir de VLAN voix en utilisant la rubrique Crer un VLAN ou configurer un VLAN existant tel qu'indiqu dans la section Configuration des proprits du VLAN voix. Assigner des ports en tant que candidats au VLAN voix. (Cette option est configure l'aide du processus dcrit dans la section Configuration des paramtres d'interface VLAN.) Assignez le mode QoS par port l'un des lments suivants : Pour un port qui est dj connect au VLAN voix, tous les paquets sont assigns au VLAN voix tel qu'indiqu dans la section Configuration des paramtres d'interface VLAN. Seuls les paquets qui proviennent des tlphones IP (bass sur le prfixe d'adresse MAC OUI source) en utilisant la procdure dcrite dans la section Configuration des paramtres d'interface VLAN.
Saisissez la CoS (classe de service) du VLAN voix (avec ou sans nouveau marquage du VPT du paquet) en utilisant la rubrique Proprits du VLAN voix. Lorsque l'option de nouveau marquage est slectionne, le commutateur modifie la priorit 802.1p du paquet la sortie. Paramtrez l'option de nouveau marquage telle qu'indique dans la section Configuration des proprits du VLAN voix. Configurez et mettez jour le tableau OUI de tlphonie avec un maximum de 128 entres (chaque entre est un numro trois octets) tel qu'indiqu dans la section Configuration de l'OUI de tlphonie. Le commutateur utilise le tableau pour dterminer si l'appartenance VLAN voix automatique du port est active et si le port va se connecter au VLAN voix. Saisissez le dlai d'expiration du VLAN voix tel qu'indiqu dans la section Configuration des proprits du VLAN voix.
131
11
Pour activer la fonctionnalit sur un port, ce dernier doit tre globalement activ dans la rubrique Paramtres d'interface.
132
11
tat du VLAN voix : slectionnez ce champ pour activer la fonction VLAN voix. ID VLAN voix : slectionnez le VLAN qui sera le VLAN voix. Classe de service : slectionnez cette option pour ajouter un niveau de CoS aux paquets non baliss reus sur le VLAN voix. Les valeurs possibles sont comprises entre 0 et 7, o 7 dispose de la priorit la plus leve. 0 est utilis dans le cadre d'un mode meilleur effort (best effort) et est automatiquement invoqu lorsqu'aucune autre valeur n'a t dfinie (par dfaut). Remarquer la CoS : slectionnez cette option pour rassigner le niveau de CoS aux paquets reus sur le VLAN voix. Si cette option est slectionne, la priorit d'utilisateur extrieure sera la nouvelle CoS. Dans le cas contraire, la priorit d'utilisateur extrieure sera la CoS d'origine car le mode Liaison est utilis. Dlai d'expiration d'appartenance automatique : saisissez la dure aprs laquelle le port quitte le VLAN voix si aucun paquet voix n'est reu. Le dlai peut se situer entre 1 minute et 30 jours.
133
11
de tlphonie s'ouvre. La page OUI de tlphonie affiche les champs suivants : Tlphonie OUI : six premiers chiffres de l'adresse MAC rservs pour les OUI. Description : description de l'OUI assign l'utilisateur.
Cliquez sur Restaurer les OUI par dfaut pour supprimer tous les OUI crs par l'utilisateur et conserver uniquement les OUI par dfaut dans la table. Pour supprimer tous les OUI, cochez la case du haut. Tous les OUI sont slectionns et peuvent tre supprims en cliquant sur Supprimer. Si vous cliquez ensuite sur Restaurer les OUI par dfaut, le systme rcupre les OUI connus.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un OUI de tlphonie s'ouvre. TAPE 3 Saisissez les valeurs pour les champs suivants :
134
12
Configuration du protocole Spanning Tree
Le protocole Spanning Tree (STP) (IEEE802.1D et IEEE802.1Q) est activ par dfaut, rgl sur le mode RSTP (Rapid Spanning Tree Protocol) et protge un domaine de diffusion de couche 2 contre la propagation d'orages en paramtrant slectivement des liens sur le mode de rserve pour empcher les boucles. En mode de rserve, ces liens ne transfrent pas de donnes d'utilisateur pendant un moment. Ils sont automatiquement ractivs lorsque la topologie est modifie pour relancer le transfert de donnes d'utilisateur. Ce chapitre contient les sections suivantes : Types de STP Configuration de l'tat STP et des paramtres globaux Dfinition des paramtres d'interface du Spanning Tree Configuration des paramtres Rapid Spanning Tree Multiple Spanning Tree Dfinition des proprits MSTP Mappage des VLAN une instance MST Dfinition des paramtres d'instance MSTP Dfinition des paramtres de l'interface MSTP
135
12
Types de STP
Des boucles se produisent lorsque des routes alternatives existent entre les htes. Des boucles au sein d'un rseau tendu peuvent provoquer un transfert indfini du trafic par les commutateurs de couche 2 et ainsi engendrer l'augmentation du trafic ainsi qu'un rseau moins efficace. Le protocole STP fournit une topologie en arborescence pour l'agencement de commutateurs de couche 2 et de liens d'interconnexion afin de crer un chemin d'accs unique entre des stations d'arrive sur un rseau et d'liminer les boucles. Le commutateur prend en charge les versions de protocole STP suivantes : Le STP classique fournit un chemin d'accs unique entre deux stations d'arrive afin d'empcher et d'liminer les boucles. Le STP rapide (RSTP) dtecte les topologies de rseau afin de fournir une convergence du Spanning Tree plus rapide. Ce protocole est plus efficace lorsque la topologie du rseau est naturellement structure en arborescence et permet une convergence plus rapide. RSTP est activ par dfaut. Mme si le STP classique empche la couche 2 de transfrer des boucles dans une topologie de rseau gnrale, un dlai inacceptable peut se produire avant la convergence. Cela signifie que les ponts ou commutateurs du rseau doivent choisir de transfrer activement ou non le trafic chacun de leurs ports. Le STP multiple (MSTP) dtecte les boucles de couche 2 et tente de les rduire en empchant le port impliqu de transfrer le trafic. tant donn que les boucles existent au niveau d'un domaine de couche 2, il peut se produire une situation o une boucle se cre dans le VLAN A mais pas dans le VLAN B. Si les deux VLAN sont dfinis sur un port X et STP souhaite rduire la boucle, le protocole stoppe le trafic sur tout le port, y compris celui du VLAN B alors que cela n'est pas ncessaire. MSTP rsout ce problme en activant plusieurs instances STP afin de dtecter et de rduire sparment les boucles chaque instance. En associant les instances aux VLAN, chacune d'entre elles est associe au domaine de couche 2 sur lequel elle dtecte et rduit les boucles. Cette opration permet par exemple lors d'une instance de stopper le trafic du VLAN A provoquant une boucle, tout en maintenant le trafic dans un autre domaine (tel que le VLAN B) o aucune boucle ne se produit. MSTP fournit une connectivit complte pour les paquets affects un VLAN. MSTP est bas sur RSTP. Par ailleurs, MSTP transmet des paquets assigns divers VLAN via des rgions MST diffrentes. Les rgions MST agissent comme pont unique.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 136
12
Paramtres globaux : tat du Spanning Tree : activez ou dsactivez STP sur le commutateur. Mode de fonctionnement STP : slectionnez un mode STP. Gestion Bridge Protocol Data Unit (BPDU) : slectionnez la manire dont les paquets BPDU sont grs lorsque STP est dsactiv sur le port ou commutateur. Les BPDU sont utiliss pour transmettre des informations du Spanning Tree. Filtrage : filtre les paquets BPDU lorsque Spanning Tree est dsactiv sur une interface. Inondation : inonde les paquets BPDU lorsque Spanning Tree est dsactiv sur une interface.
Valeurs par dfaut du cot de chemin : slectionne la mthode utilise pour assigner des cots de chemin par dfaut aux ports STP. Le cot de chemin par dfaut assign une interface varie selon la mthode slectionne. Court : spcifie la plage de 1 65 535 pour les cots de chemin des ports. Long : spcifie la plage de 1 200 000 000 pour les cots de chemin des ports.
137
12
Paramtres des ponts : Priorit : dfinit la valeur de priorit du pont. Aprs l'change de BPDU, le priphrique de priorit infrieure devient le pont racine. Si tous les ponts utilisent la mme priorit, leurs adresses MAC sont alors utilises pour dterminer le pont racine. La valeur de priorit du pont est fournie par paliers de 4096. Par exemple 4096, 8192, 12 288, etc. Dlai Hello : dfinissez le temps d'attente en secondes d'un pont racine entre deux messages de configuration. Ce dlai peut tre de 1 10 secondes. Dlai maximum : dfinissez la dure en secondes durant laquelle le commutateur attend avant de tenter de redfinir sa propre configuration lorsqu'il ne reoit pas de message de configuration. Dlai de transfert : dfinissez la dure en secondes durant laquelle le pont reste en mode d'apprentissage avant de transfrer des paquets. Pour en savoir plus, reportez-vous la section Dfinition des paramtres d'interface du Spanning Tree.
Racine dsigne : ID du pont : la priorit du pont est concatne avec l'adresse MAC du commutateur. ID du pont racine : la priorit du pont racine est concatne avec l'adresse MAC du pont racine. Port racine : port proposant un chemin de cot infrieur entre ce pont et le pont racine. (Cette information est importante lorsque le pont n'est pas le pont racine.) Cot du chemin racine : cot du chemin entre ce pont et le pont racine. Nombre de changements de topologie : nombre total des changements de topologie STP effectus. Dernier changement de topologie : intervalle de temps coul depuis le dernier changement de topologie. Cette dure s'affiche au format jours/ heures/minutes/secondes.
TAPE 3 Cliquez sur Appliquer. Le commutateur est mis jour muni des paramtres
globaux STP.
138
12
Interface : slectionnez le numro de port ou le LAG sur lequel le Spanning Tree est configur. STP : active ou dsactive STP sur le port. Port de bordure : active ou dsactive Fast Link sur le port. Si le mode Fast Link est activ pour un port, le port est automatiquement plac en mode Transfert lorsque le lien du port est actif. Fast Link optimise la convergence du protocole STP. Les options disponibles sont les suivantes : Activer : active immdiatement Fast Link. Auto : active Fast Link quelques secondes aprs l'activation de l'interface. Ceci permet STP de rsoudre les problmes de boucles avant d'activer Fast Link. Dsactiver : dsactive Fast Link.
Cot de chemin : dfinissez la contribution du port au cot du chemin racine ou utilisez le cot par dfaut gnr par le systme. Priorit : dfinissez la valeur de priorit du port. La valeur de priorit influence le choix du port lorsqu'un pont dispose de deux ports connects au sein d'une boucle. La priorit est une valeur comprise entre 0 et 240 et fonctionne par multiples de 16.
139
12
tat du port : affiche l'tat STP actuel d'un port. Dsactiv : le STP est actuellement dsactiv sur le port. Le port transfre le trafic tout en apprenant les adresses MAC. Blocage : le port est actuellement bloqu et ne peut ni transfrer le trafic ( l'exception des donnes BPDU) ni connatre les adresses MAC. coute : le port est en mode coute. Il ne peut ni transfrer le trafic ni connatre les adresses MAC. Apprentissage : le port est en mode Apprentissage. Il ne peut pas transfrer le trafic mais peut connatre les adresses MAC. Transfert : le port est en mode Transfert. Il peut transfrer le trafic et prendre connaissance de nouvelles adresses MAC.
Rle du port : affiche le comportement du port. ID du pont dsign : affiche la priorit du pont et les adresses MAC du pont dsign. ID du port dsign : affiche la priorit et l'interface du port slectionn. Cot dsign : affiche le cot du port participant la topologie STP. Les ports de cots infrieurs sont peu susceptibles d'tre bloqus si STP dtecte des boucles. Transitions de transfert : affiche le nombre de fois o le port est pass de l'tat Blocage l'tat Transfert. Vitesse : affiche la vitesse du port. LAG : affiche le LAG auquel appartient le port. Si un port est membre d'un LAG, les paramtres du LAG remplacent ceux du port.
TAPE 4 Cliquez sur Appliquer. Les paramtres d'interface sont modifis et le commutateur
140
12
disponible aprs avoir slectionn le port connect au pont associ en cours de test.)
TAPE 4 Si un partenaire de lien est dtect via STP, cliquez sur Activer la migration des
protocoles pour effectuer un test de migration des protocoles. Cette opration dtecte si le lien associ utilisant STP existe toujours et s'il a migr ou non vers RSTP ou MSTP. S'il existe toujours en tant que lien STP, le priphrique continue de communiquer avec lui via STP. Sinon, s'il a migr vers RSTP ou MSTP, il communique avec lui respectivement via RSTP ou MSTP.
TAPE 5 Slectionnez une interface puis cliquez sur Modifier. La rubrique Paramtres
Interface : dfinissez l'interface et prcisez le port ou LAG o RSTP doit tre configur. Etat oprationnel point point : dfinissez l'tat du lien point point. Les ports dfinis en tant que Full Duplex sont considrs comme liens de port point point. Activer : ce port devient un port de bordure RSTP lorsque cette option est active et il est plac rapidement en mode Transfert (gnralement en 2 secondes).
141
12
Dsactiver : le port n'est pas considr comme port point point pour le RSTP ; par consquent, STP fonctionne sur ce port une vitesse normale et non une vitesse rapide. Auto : dtermine automatiquement l'tat du commutateur en utilisant les BPDU RSTP.
tat oprationnel point point : affiche l'tat de fonctionnement point point si l'tat oprationnel point point est dfini sur Auto. Rle : affiche le rle du port assign par STP afin de fournir des chemins STP. Les rles possibles sont : Racine : chemin de cot infrieur pour transfrer des paquets au pont racine. Dsign : interface par laquelle le pont est reli au LAN et qui fournit le chemin de cot infrieur depuis le LAN vers le pont racine. Secondaire : fournit un chemin alternatif de l'interface racine au pont racine. Secours : fournit un chemin de secours pour le chemin de port dsign vers les nuds terminaux du Spanning Tree. Des ports de secours existent lorsque deux ports sont relis dans une boucle par un lien point point. Des ports de secours apparaissent galement lorsqu'un LAN possde deux ou plusieurs connexions relies un segment partag. Dsactiv : le port ne participe pas au Spanning Tree.
Mode : affiche le mode Spanning Tree actuel : RSTP ou STP classique. tat oprationnel Fast Link : indique si Fast Link (port de bordure) est activ, dsactiv ou automatique pour l'interface. Les valeurs disponibles sont les suivantes : Activ : Fast Link est activ. Dsactiv : Fast Link est dsactiv. Auto : le mode Fast Link s'active quelques secondes aprs l'activation de l'interface.
tat des ports : affiche l'tat RSTP sur le port spcifique. Dsactiv : le STP est actuellement dsactiv sur le port. Blocage : le port est actuellement bloqu et ne peut ni transfrer le trafic ni connatre les adresses MAC.
142
12
coute : le port est en mode coute. Il ne peut ni transfrer le trafic ni connatre les adresses MAC. Apprentissage : le port est en mode Apprentissage. Il ne peut pas transfrer le trafic mais il peut prendre connaissance les nouvelles adresses MAC. Transfert : le port est en mode Transfert. Il peut transfrer le trafic et prendre connaissance de nouvelles adresses MAC.
143
12
s'affiche.
TAPE 3 Saisissez les paramtres.
Nom de rgion : dfinissez un nom de rgion MSTP. Rvision : dfinissez un nombre non affect d'un signe 16 octets qui identifie la rvision de la configuration MST actuelle. Ce champ est compris entre 0 et 65535.
144
12
Sauts max. : dfinissez le nombre total des sauts se produisant dans une rgion spcifique avant la dsactivation du BPDU. Lorsque le BPDU est dsactiv, les informations du port sont obsoltes. Ce champ est compris entre 1 et 40. Matre IST : affiche le matre de la rgion.
TAPE 4 Cliquez sur Appliquer. Les proprits MSTP sont dfinies et le commutateur est
mis jour.
une instance MST. La configuration indique sur cette page (et toutes les pages MSTP) s'applique si le mode STP du systme est dfini sur MSTP. Sept instances MST peuvent au maximum tre dfinies sur les commutateurs Cisco Small Business 300. Le commutateur mappe automatiquement l'instance CIST (Core and Internal Spanning Tree) les VLAN qui ne sont pas explicitement mapps l'une des instances MST. L'instance CIST est l'instance MST 0. Pour relier des VLAN des instances MSTP :
TAPE 1 Cliquez sur Spanning Tree > VLAN d'une instance MSTP. La rubrique VLAN
d'une instance MST s'affiche. La rubrique VLAN d'une instance MSTP contient les champs suivants : ID d'instance MSTP : toutes les instances MSTP sont affiches. VLAN : tous les VLAN appartenant l'instance MSTP sont affichs.
TAPE 2 Pour ajouter un VLAN une instance MSTP, slectionnez l'instance MSTP puis
145
12
VLAN : dfinissez les VLAN mapper sur cette instance MSTP. Action : choisissez Ajouter (mapper) ou Supprimer le VLAN /de l'instance MSTP.
TAPE 4 Cliquez sur Appliquer. Les mappages MSTP VLAN sont dfinis et le commutateur
ID d'instance : slectionnez une instance MSTP afficher et dfinir. VLAN inclus : affiche les VLAN mapps l'instance slectionne. Le mappage par dfaut mappe tous les VLAN l'instance CIST (Common and Internal Spanning Tree) (instance 0). Priorit du pont : dfinissez la priorit de ce pont pour l'instance MSTP slectionne. ID du pont racine dsign : affiche la priorit et l'adresse MAC du pont racine pour l'instance MSTP. Port racine : affiche le port racine de l'instance slectionne. Cot du chemin racine : affiche le cot du chemin racine de l'instance slectionne. ID du pont : affiche la priorit du pont et l'adresse MAC de ce commutateur pour l'instance slectionne. Sauts restants : affiche le nombre de sauts restant jusqu' la prochaine destination.
146
12
L'instance quivaut : slectionnez l'instance MSTP configurer. Le type d'interface quivaut : choisissez d'afficher la liste des ports ou des LAG.
ID d'instance : slectionnez l'instance MST configurer. Interface : slectionnez l'interface pour laquelle les paramtres MSTI doivent tre dfinis. Priorit d'interface : dfinissez la priorit du port pour l'interface spcifie et l'instance MST. Cot de chemin : dfinissez la contribution du port au cot du chemin racine ou utilisez la valeur par dfaut. Le cot du chemin racine est le cot du commutateur pour le pont racine de l'instance MST spcifie.
147
12
tat du port : affiche l'tat MSTP du port spcifique sur une instance MST spcifique. Les paramtres sont dfinis comme suit : Dsactiv : STP est actuellement dsactiv. Blocage : le port sur cette instance est actuellement bloqu et ne peut ni transfrer le trafic ( l'exception des donnes BPDU) ni connatre les adresses MAC. coute : le port sur cette instance est en mode coute. Il ne peut ni transfrer le trafic ni connatre les adresses MAC. Apprentissage : le port sur cette instance est en mode Apprentissage. Il ne peut pas transfrer le trafic mais peut peut connaissance de nouvelles adresses MAC. Transfert : le port sur cette instance est en mode Transfert. Il peut transfrer le trafic et prendre connaissance de nouvelles adresses MAC.
Rle du port : affiche le rle du port ou du LAG, par port ou LAG par instance, assign par l'algorithme MSTP afin de fournir les chemins STP : Racine : le transfert des paquets vers cette interface fournit le chemin de cot infrieur pour transfrer les paquets vers le priphrique racine. Dsign : interface par laquelle le pont est reli au LAN et qui fournit le chemin de cot infrieur depuis le LAN vers le pont racine pour l'instance MST. Secondaire : l'interface fournit un chemin alternatif depuis l'interface racine vers le priphrique racine. Secours : l'interface fournit un chemin de secours pour le chemin de port dsign vers les nuds terminaux du Spanning Tree. Des ports de secours existent lorsque deux ports sont relis dans une boucle par un lien point point. Des ports de secours apparaissent galement lorsqu'un LAN possde deux ou plusieurs connexions relies un segment partag. Dsactiv : l'interface ne participe pas au Spanning Tree.
Mode : affiche le mode Spanning Tree actuel. STP classique : active le STP classique sur le port. STP rapide : active RSTP sur le port. STP : active STP sur le port.
148
12
Type : affiche le type MST du port. Limite : un port de limite relie les ponts MST un LAN dans une rgion loigne. Si le port est un port de limite, il indique galement si le priphrique de l'autre ct du lien fonctionne en mode RSTP ou STP. Port matre : un port matre fournit une connectivit d'une rgion MSTP vers la racine CIST loigne. Interne : le port est un port interne.
ID de pont dsign : affiche le numro d'ID de pont qui connecte le lien ou le LAN partag la racine. ID de port dsign : affiche le numro d'ID du port sur le pont dsign qui connecte le lien ou le LAN partag la racine. Cot dsign : affiche le cot du port participant la topologie STP. Les ports de cots infrieurs sont peu susceptibles d'tre bloqus si STP dtecte des boucles. Sauts restants : affiche le nombre de sauts restant jusqu' la prochaine destination. Transitions de transfert : affiche le nombre de fois o le port est pass du mode Transfert au mode Blocage.
149
13
Gestion des tables d'adresses MAC
Les adresses MAC sont stockes avec les informations relatives aux VLAN et aux ports dans la table des adresses statiques ou la table des adresses dynamiques. Les adresses statiques sont configures par l'utilisateur dans la Tables des adresses statiques et n'expirent pas. Les adresses MAC dtectes dans les paquets arrivant sur le commutateur sont rpertories dans la table des adresses dynamiques pour une priode dfinie. Si aucune autre trame disposant de la mme adresse MAC source n'apparat sur le commutateur avant l'expiration de ce dlai, l'entre est supprime de la table. Lorsqu'une trame arrive sur le commutateur, celui-ci recherche une adresse MAC correspondant une entre de la table des adresses statiques ou dynamiques. En cas de correspondance, la trame est marque en sortie sur un port spcifique sur la base d'une recherche effectue dans les tables. Les trames adresses une adresse MAC de destination n'ayant pas t trouve dans les tables sont diffuses tous les ports du VLAN appropri. Ces trames sont appeles trames de monodiffusion inconnue. Le commutateur prend en charge un maximum de 8 000 adresses MAC statiques et dynamiques. Cette section contient des informations relatives la dfinition des tables d'adresses MAC statiques et dynamiques et englobe les rubriques suivantes : Configuration d'adresses MAC statiques Adresses MAC dynamiques Dfinition d'adresses MAC rserves
150
13
statiques s'ouvre.
La rubrique Adresses statiques affiche les adresses statiques dfinies.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une adresse statique s'ouvre. TAPE 3 Saisissez les paramtres.
ID VLAN : slectionnez l'ID VLAN du port. Adresse MAC : saisissez l'adresse MAC de l'interface. Interface : slectionnez une interface (port ou LAG) pour l'entre. tat : slectionnez le mode de traitement de l'entre. Les options disponibles sont les suivantes : Permanent : l'adresse MAC statique n'est jamais supprime de la table l'expiration d'un dlai et si elle est enregistre dans la Configuration de dmarrage elle est conserve aprs le redmarrage. Supprimer la rinitialisation : l'adresse MAC statique n'est jamais supprime de la table l'expiration d'un dlai. Supprimer l'expiration : l'adresse MAC est supprime expiration du dlai. Scuris : l'adresse MAC est scurise lorsque l'interface est en mode verrouill classique.
TAPE 4 Cliquez sur Appliquer. Une nouvelle entre est cre dans la table.
151
13
la valeur configure par l'utilisateur et deux fois cette valeur moins 1. Par exemple, si vous avez entr 300 secondes, le dlai d'expiration sera compris entre 300 et 599 secondes.
TAPE 3 Cliquez sur Appliquer. La Table des adresses MAC dynamiques est mise jour.
152
13
Cette page affiche les adresses MAC acquises de faon dynamique. Vous pouvez effacer les adresses dynamiques de la table des adresses MAC et spcifier des critres d'interrogation afin d'afficher un sous-ensemble de la table comme les adresses MAC acquises via une interface spcifique. Vous pouvez galement spcifier le mode de tri des rsultats de l'interrogation. Si vous n'saisissez aucun critre de filtrage, toute la table s'affichera. Pour interroger la table des adresses dynamiques :
TAPE 1 Cliquez sur Tables d'adresses MAC > Adresses dynamiques. La rubrique
ID VLAN : saisissez l'ID VLAN pour lequel la table est interroge. Adresse MAC : saisissez l'adresse MAC pour laquelle la table est interroge. Interface : slectionnez l'interface au sujet de laquelle la table est interroge. L'interrogation peut galement rechercher des ports ou LAG spcifiques. Cl de tri de la table des adresses dynamiques : saisissez le champ en fonction duquel la table est trie. La table des adresses peut tre trie en fonction de l'ID VLAN, de l'adresse MAC ou de l'interface.
TAPE 3 Slectionnez l'option souhaite pour le tri de la Cl de tri de la table des adresses
dynamiques.
TAPE 4 Cliquez sur OK. La Table des adresses MAC dynamiques est interroge et les
rsultats s'affichent. Cliquez sur Effacer la table pour supprimer toutes les adresses MAC dynamiques.
153
13
Adresses MAC rserves s'ouvre. Cette page affiche les adresses MAC rserves.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une adresse MAC rserve s'ouvre. TAPE 3 Saisissez les valeurs pour les champs suivants :
Adresse MAC : slectionnez l'adresse MAC rserver. Type de trame : slectionnez un type de trame en fonction des critres suivants : Ethernet V2 : s'applique aux paquets Ethernet V2 avec l'adresse MAC spcifique. LLC : s'applique aux paquets LLC (Logical Link Control) avec l'adresse MAC spcifique. LLC-SNAP : s'applique aux paquets LLC-SNAP (Logical Link Control/ Sub-Network Access Protocol) avec l'adresse MAC spcifique. Tout : s'applique tous les paquets avec l'adresse MAC spcifique.
154
13
Action : slectionnez l'une des actions suivantes qui sera applique au paquet entrant correspondant aux critres slectionns : Abandonner : supprime le paquet. Pont : transfre le paquet tous les membres du VLAN.
TAPE 4 Cliquez sur Appliquer. Une nouvelle adresse MAC est rserve.
155
14
Configuration du transfert de multidiffusion
Ce chapitre dcrit la fonction de transfert de multidiffusion. Il contient les rubriques suivantes : Transfert de multidiffusion Dfinition des proprits de multidiffusion Adresse MAC de groupe Adresse IP de multidiffusion de groupe Traage IGMP Snooping Traage MLD Snooping IP de multidiffusion de groupes IGMP/MLD Port de routeur de multidiffusion Dfinition de la multidiffusion Tout transfrer Dfinition de paramtres de multidiffusion non enregistre
Transfert de multidiffusion
Le transfert de multidiffusion permet la transmission d'informations en mode 1--n. Les applications de multidiffusion sont particulirement utiles pour transmettre des informations plusieurs clients lorsque ces clients n'ont pas besoin de l'intgralit du service disponible. Ceci est par exemple le cas dans le cadre d'une application de TV par cble o les clients peuvent contacter une chane au milieu d'une transmission et rompre la connexion avant la fin. Les donnes ne sont envoyes qu'aux ports pertinents. Le fait de ne transfrer les donnes qu'aux ports concerns permet d'conomiser de la bande passante et des ressources d'hte sur la liaison.
156
14
Pour que le transfert de multidiffusion fonctionne sur des sous-rseaux IP, les nuds et les routeurs doivent tre compatibles avec la multidiffusion. Un nud compatible avec la multidiffusion doit pouvoir : Envoyer et recevoir des paquets de multidiffusion Enregistrer les adresses de multidiffusion que le nud coute auprs des routeurs locaux afin que les routeurs locaux et distants puissent router le paquet de multidiffusion vers les nuds.
section concerne principalement IGMP, elle dcrit galement l'utilisation de MLD lorsque cela s'applique. Ces requtes atteignent le commutateur, qui rpond en transmettant ces requtes au VLAN et en reconnaissant le port o rside un routeur de multidiffusion (Mrouter). Lorsqu'un hte reoit le message de requte IGMP, il rpond en envoyant un message d'adhsion IGMP indiquant que l'hte souhaite recevoir un flux de multidiffusion spcifique provenant (facultatif) d'une source spcifique. Le commutateur avec fonction de traage IGMP Snooping analyse les messages d'adhsion et apprend que le flux de multidiffusion demand par l'hte doit tre transfr ce port spcifique. Il transfre ensuite l'adhsion IGMP, uniquement vers le routeur Mrouter. De mme, lorsque le routeur Mrouter reoit un message d'adhsion IGMP, il apprend que l'interface o il reoit ce message souhaite recevoir un flux de multidiffusion spcifique. Le routeur Mrouter transfre le flux de multidiffusion demand vers l'interface.
157
14
Fonctionnement de la multidiffusion
Fonctionnement de la multidiffusion Dans un service de multidiffusion Layer 2, un commutateur Layer 2 reoit une seule trame, adresse une adresse de multidiffusion spcifique. Il cre des copies de la trame pour les transmettre chacun des ports concerns. Lorsque le commutateur possde une fonction de traage IGMP/MLD Snooping et qu'il reoit une trame de flux de multidiffusion, il la transfre tous les ports enregistrs pour recevoir le flux de multidiffusion en question l'aide de messages d'adhsion IGMP. Le commutateur peut transfrer des flux de multidiffusion sur la base de l'une des options suivantes : Adresse MAC de groupe de multidiffusion Adresse IP de multidiffusion de groupe (G) Combinaison de l'adresse IP source (S) et de l'Adresse IP de multidiffusion de groupe (G) du paquet de multidiffusion
Vous ne pouvez configurer qu'une seule de ces options pour chaque VLAN. Le systme gre des listes de groupes de multidiffusion pour chaque VLAN. Ceci permet de grer les informations de multidiffusion que chaque port doit recevoir. Les groupes de multidiffusion et les ports destinataires associs peuvent tre configurs de manire statique ou appris de manire dynamique via le traage de protocole IGMP Snooping ou MLD (Multicast Listener Discovery) Snooping.
Enregistrement de multidiffusion
Enregistrement de multidiffusion L'enregistrement de multidiffusion est le processus qui consiste couter les protocoles d'enregistrement de multidiffusion et y rpondre. Les protocoles disponibles sont IGMP pour IPv4 et MLD pour IPv6. Lorsque le traage IGMP/MLD Snooping est activ sur un commutateur d'un VLAN, ce commutateur analyse tous les paquets IGMP/MLD qu'il reoit partir du VLAN connect au commutateur et tous les routeurs de multidiffusion du rseau. Lorsqu'un commutateur apprend qu'un hte utilise des messages IGMP/MLD pour enregistrer un flux de multidiffusion, ventuellement partir d'une source spcifique, ce commutateur ajoute l'enregistrement sa base MFDB (Multicast Forwarding Data Base, base de donnes de transfert de multidiffusion).
Guide d'administration du commutateur administrable Cisco Small Business srie 300 158
14
Le traage IGMP/MLD Snooping peut rduire le trafic de multidiffusion provenant d'applications IP grosses consommatrices de bande passante de flux. Un commutateur qui utilise le traage IGMP/MLD Snooping ne transfre le trafic de multidiffusion que vers les htes intresss par ce trafic. Cette rduction du trafic de multidiffusion diminue la charge de traitement des paquets sur le commutateur et rduit la charge de travail sur les htes puisqu'ils n'ont pas besoin de recevoir tout le trafic de multidiffusion gnr sur le rseau et de le filtrer. Les versions suivantes sont actives : IGMP v1/v2/ v3 MLD v1/v2 metteur de requtes de traage IGMP Snooping simple
Vous devez disposer d'un metteur de requtes IGMP pour grer le protocole IGMP sur un sous-rseau particulier. En gnral, le routeur de multidiffusion sert galement d'metteur de requtes IGMP. Lorsqu'un sous-rseau inclut plusieurs metteurs de requtes IGMP, ces metteurs choisissent l'un des leurs comme metteur principal. Vous pouvez configurer le Sx300 en tant qu'metteur de requtes IGMP de secours ou l'utiliser comme un metteur de requtes IGMP lorsqu'il n'existe aucun metteur de requtes IGMP standard. Le Sx300 ne dispose pas de toutes les fonctions d'un metteur de requtes IGMP. Si vous configurez le commutateur en tant qu'metteur de requtes IGMP, il dmarre s'il s'coule 60 secondes sans qu'aucun trafic (requtes) IGMP ne soit dtect depuis un routeur de multidiffusion. En prsence d'autres metteurs de requtes IGMP, le commutateur peut cesser d'envoyer des requtes (ou non), ceci en fonction des rsultats du processus de slection de l'metteur de requtes standard.
159
14
Pour mapper une Adresse IP de multidiffusion de groupe sur une adresse de multidiffusion Layer 2 : Pour IPv4, le mappage s'effectue en prenant les 23 bits de poids faible (de droite) de l'adresse IPv4 et en les ajoutant au prfixe 01:00:5e. Normalement, les neuf bits suprieurs de l'adresse IP sont ignors et toutes les adresses IP qui diffrent uniquement par ces bits suprieurs sont mappes sur la mme adresse Layer 2 puisque les 23 bits infrieurs utiliss sont identiques. Par exemple, l'adresse 234.129.2.3 est mappe sur l'adresse MAC de groupe de multidiffusion 01:00:5e:01:02:03. Il est possible de mapper jusqu' 32 adresses IP de groupe de multidiffusion sur une mme adresse Layer 2. Pour IPv6, le processus de mappage utilise les 32 bits de poids faible (de droite) de l'adresse de multidiffusion et leur ajoute le prfixe 33:33. Par exemple, l'adresse de multidiffusion IPv6 FF00:1122:3344 est mappe sur l'adresse de multidiffusion Layer 2 33:33:11:22:33:44.
160
14
Voici diffrentes mthodes de transfert des trames de multidiffusion : Adresse MAC de groupe : sur la base de l'adresse MAC de destination dans la trame Ethernet.
REMARQUE Comme cela est mentionn la section Proprits
d'adresse de multidiffusion , il est possible de mapper une ou plusieurs adresses IP de groupe de multidiffusion sur une seule adresse MAC de groupe. Le transfert bas sur une adresse MAC de groupe peut provoquer le transfert d'un flux de multidiffusion IP vers des ports qui ne possdent aucun rcepteur pour ce flux. Adresse IP de groupe : sur la base de l'adresse IP de destination du paquet IP (*,G). Adresse IP source de groupe : base la fois sur l'adresse IP de destination et l'adresse IP source du paquet IP (S,G).
En slectionnant le mode de transfert, vous pouvez dfinir la mthode utilise par le matriel pour identifier le flux de multidiffusion l'aide de l'une des options suivantes : Adresse MAC de groupe, Adresse IP de groupe ou Adresse IP source de groupe. (S,G) est pris en charge par IGMPv3 et MLDv2 alors qu'IGMPv1/2 et MLDv1 ne prennent en charge que (*.G), qui inclut uniquement l'ID de groupe. Le commutateur assure le soutien d'un maximum de 256 adresses de groupe de multidiffusion statiques et dynamiques. Pour activer le filtrage multidiffusion et slectionner la mthode de transfert :
TAPE 1 Cliquez sur Multidiffusion> Proprits. La rubrique Proprits s'ouvre. TAPE 2 Saisissez les paramtres.
tat du filtrage multidiffusion par ponts : permet d'activer ou de dsactiver le filtrage. ID VLAN : slectionnez l'ID du VLAN voulu pour dfinir sa mthode de transfert. Mthode de transfert pour IPv6 : dfinissez la mthode de transfert pour les adresses IPv6. Le matriel les utilise pour identifier le flux de multidiffusion l'aide de l'une des options suivantes : Adresse MAC de groupe, Adresse IP de groupe ou Adresse IP source de groupe.
161
14
Mthode de transfert pour IPv4 : dfinissez la mthode de transfert pour les adresses IPv4. Le matriel les utilise pour identifier le flux de multidiffusion l'aide de l'une des options suivantes : Adresse MAC de groupe, Adresse IP de groupe ou Adresse IP source de groupe.
Pour afficher les informations en transfert, utilisez la rubrique Adresse IP du groupe de multidiffusion une fois en mode Adresse de groupe IP ou en mode Groupe IP et source.
162
14
ID VLAN est gal : saisissez l'ID de VLAN du groupe afficher. Adresse MAC de groupe gale : dfinissez l'adresse MAC du groupe de multidiffusion afficher. Si aucune adresse MAC de groupe n'est indique, la page affiche toutes les adresses MAC de groupe du VLAN slectionn.
TAPE 3 Cliquez sur OK. Les adresses MAC de groupe de multidiffusion sont affiches
ID VLAN : dfinit l'ID de VLAN du nouveau groupe de multidiffusion. Adresse MAC de groupe : dfinit l'adresse MAC du nouveau groupe de multidiffusion.
commutateur est mis jour. Pour configurer et afficher l'enregistrement des interfaces au sein du groupe, slectionnez une adresse puis cliquez sur Dtails. La rubrique Paramtres d'adresse de groupe MAC s'ouvre. La page affiche les lments suivants : ID VLAN : ID de VLAN du groupe de multidiffusion. Adresse MAC de groupe : adresse MAC du groupe.
TAPE 7 Slectionnez dans le menu Filtre : Type d'Interface le port ou le LAG afficher. TAPE 8 Cliquez sur OK pour afficher les membres (ports ou LAG). TAPE 9 Slectionnez la faon dont chaque interface est associe au groupe de
multidiffusion : Statique : rattache l'interface au groupe de multidiffusion en tant que membre statique.
163
14
Dynamique : indique que l'interface a t ajoute au groupe de multidiffusion via le traage IGMP/MLD Snooping. Interdit : spcifie que ce port n'est pas autoris rejoindre ce groupe sur ce VLAN. Aucun : spcifie que le port n'est actuellement pas membre de ce groupe de multidiffusion sur ce VLAN.
ID VLAN est gal : dfinissez l'ID de VLAN du groupe afficher. Version IP est gale : slectionnez IPv6 ou IPv4. Adresse IP de multidiffusion de groupe gale : dfinissez l'Adresse IP de multidiffusion du groupe afficher. Cela s'applique uniquement lorsque le mode de transfert est (S,G). Adresse IP source est gale : dfinissez l'adresse IP source du priphrique metteur. Si le mode est (S,G), saisissez la valeur S (indiquant l'expditeur). Combine l'adresse IP de groupe, cette valeur dfinit l'ID de multidiffusion du groupe (S,G) afficher. Si le mode est (*.G), saisissez un astrisque (*) pour indiquer que le groupe de multidiffusion n'est dfini que par sa destination.
164
14
TAPE 3 Cliquez sur OK. Les rsultats s'affichent dans le bloc infrieur. Lorsque vous
activez la fois Bonjour et IGMP sur un commutateur Layer 2, l'adresse IP de multidiffusion de Bonjour est affiche.
TAPE 4 Cliquez sur Ajouter pour ajouter une Adresse IP de multidiffusion statique de
ID VLAN : dfinit l'ID de VLAN du groupe ajouter. Version IP : slectionnez le type d'adresse IP appropri. Adresse IP de multidiffusion de groupe : dfinit l'adresse IP du nouveau groupe de multidiffusion. Propre la source : indique que l'entre contient une source spcifique et ajoute l'adresse correspondante dans le champ Adresse IP source. Dans le cas contraire, l'entre est ajoute sous la forme (*,G), c'est--dire une adresse IP de groupe associe toutes les sources IP. Adresse IP source : dfinit l'adresse source inclure. Filtre : Type d'interface est gal : slectionnez le port afin d'afficher les membres (ports ou LAG). Vous pouvez cliquer sur le bouton d'option Statique pour ajouter le port ou LAG spcifique concern l'IP de multidiffusion du groupe.
slectionnez une adresse puis cliquez sur Dtails. La rubrique Paramtres d'interface d'IP de multidiffusion s'ouvre.
TAPE 8 Saisissez les paramtres.
ID VLAN : saisissez l'ID de VLAN du groupe ajouter. Version IP : slectionnez la version IP. Adresse IP de multidiffusion de groupe : saisissez l'adresse IP du nouveau groupe de multidiffusion. Adresse IP source : saisissez l'adresse de l'expditeur. En mode (S,G), la source (S) de l'expditeur est affiche. Combine l'adresse IP de groupe, cette valeur dfinit l'ID de multidiffusion du groupe (S,G). Si le mode est (*.G), l'astrisque (*) indique que le groupe de multidiffusion est dfini par sa destination.
165
14
TAPE 9 Cliquez sur OK pour afficher les membres du groupe (ports ou LAG). TAPE 10 Slectionnez le type d'association de chaque interface. Les options disponibles
sont les suivantes : Statique : rattache l'interface au groupe de multidiffusion en tant que membre statique. Dynamique : indique que l'interface a t ajoute au groupe de multidiffusion via le traage IGMP/MLD Snooping. Interdit : spcifie que ce port n'est pas autoris rejoindre ce groupe sur ce VLAN. Aucun : indique que le port n'est actuellement pas membre de ce groupe de multidiffusion sur ce VLAN.
Le traage IGMP Snooping n'est pas pris en charge pour les VLAN dynamiques.
166
14
Lorsque vous activez le traage IGMP Snooping, globalement ou sur un VLAN, tous les paquets IGMP sont transfrs vers le CPU (l'unit centrale, l'UC). Le CPU analyse les paquets entrants et dtermine les lments suivants : Ports qui demandent rejoindre tel ou tel groupe de multidiffusion sur un VLAN spcifique. Ports connects aux routeurs de multidiffusion (Mrouters) qui gnrent des requtes IGMP. Ports qui reoivent les protocoles de requte PIM, DVMRP ou IGMP.
Ces informations sont affiches dans la rubrique Traage IGMP Snooping. Les ports demandant rejoindre un groupe de multidiffusion spcifique envoient un rapport IGMP qui spcifie le ou les groupes que l'hte concern souhaite rejoindre. Cela provoque la cration d'une entre de transfert dans la base de donnes de transfert de multidiffusion. L'metteur de requtes de traage IGMP Snooping sert prendre en charge un domaine de multidiffusion Layer 2 de commutateurs de traage, en l'absence d'un routeur de multidiffusion. Par exemple, dans le cas o un serveur local fournit un contenu de multidiffusion alors que le routeur (s'il en existe un) de ce rseau ne prend pas en charge la multidiffusion. Il ne doit exister qu'un seul metteur de requtes IGMP dans chaque domaine de multidiffusion Layer 2. Le commutateur prend en charge le choix de l'metteur de requtes IGMP bas sur les normes lorsqu'il existe plusieurs metteurs de requtes IGMP dans le domaine. La vitesse de fonctionnement de l'metteur de requtes IGMP doit s'aligner sur celle des commutateurs dots de fonctions de traage IGMP Snooping. Les requtes doivent tre envoyes un rythme qui corresponde la dure de vie des entres dans la table de traage. Si les requtes sont envoyes un rythme infrieur la dure de vie, l'abonn ne peut pas recevoir les paquets de multidiffusion.
Pour activer le traage IGMP Snooping et identifier le commutateur en tant qu'metteur de requtes de traage IGMP Snooping sur un VLAN :
TAPE 1 Cliquez sur Multidiffusion > IGMP Snooping. La rubrique Traage IGMP
Snooping s'ouvre.
La table de traage IGMP Snooping affiche les informations IGMP Snooping des VLAN du commutateur. Les colonnes de cet affichage sont dcrites l'TAPE 4.
TAPE 2 Vrifiez l'tat d'activation (ou de dsactivation) du traage IGMP Snooping.
167
14
L'option tat IGMP Snooping permet au priphrique qui surveille le trafic rseau de dterminer les htes qui ont demand recevoir le trafic de multidiffusion. Le commutateur excute le traage IGMP Snooping si vous avez activ la fois IGMP Snooping et le filtrage multidiffusion par ponts.
TAPE 3 Slectionnez un VLAN puis cliquez sur Modifier. La rubrique Modifier IGMP
Snooping s'ouvre.
Il ne doit exister qu'un seul metteur de requtes IGMP par rseau. Le commutateur prend en charge le choix de l'metteur de requtes IGMP bas sur les normes. Certaines des valeurs des paramtres de fonctionnement de cette table sont envoyes par l'metteur de requtes choisi. Les autres valeurs sont drives du commutateur.
TAPE 4 Saisissez les paramtres.
ID VLAN : slectionnez l'ID du VLAN o le traage IGMP Snooping est dfini. tat IGMP Snooping : activez ou dsactivez la surveillance du trafic rseau pour dterminer les htes qui ont demand recevoir le trafic de multidiffusion. Le commutateur excute le traage IGMP Snooping uniquement si vous avez activ la fois IGMP Snooping et le filtrage multidiffusion par ponts. tat IGMP Snooping oprationnel : affiche l'tat actuel du traage IGMP Snooping pour le VLAN slectionn. Apprentissage automatique des ports MRouter : permet d'activer ou de dsactiver l'apprentissage automatique des ports sur lesquels le routeur de multidiffusion (Mrouter) est connect. Robustesse des requtes : saisissez la valeur de la variable de robustesse utiliser si ce commutateur est choisi comme metteur de requtes. Robustesse des requtes oprationnelles : affiche la variable de robustesse envoye par l'metteur de requtes choisi. Intervalle de requte : saisissez l'intervalle appliquer entre deux requtes gnrales si ce commutateur est choisi comme metteur de requtes. Intervalle de requte oprationnelle : intervalle en secondes qui spare deux requtes gnrales envoyes par l'metteur de requtes choisi. Intervalle de rponse max aux requtes : saisissez la dure utilise pour calculer le code de rponse maximal insr dans les requtes gnrales priodiques.
168
14
Intervalle de rponse max aux requtes oprationnelles : indique l'intervalle maximal de rponse aux requtes inclus dans les requtes gnrales envoyes par l'metteur de requtes choisi. Nombre de requtes du dernier membre : indiquez le nombre de requtes propres au groupe IGMP envoyes avant que le commutateur considre qu'il n'existe aucun autre membre pour le groupe, dans la mesure o ce commutateur a t choisi comme metteur de requtes. Nombre de requtes du dernier membre oprationnel : affiche la valeur oprationnelle du compteur de requtes du dernier membre. Intervalle de requte du dernier membre : affiche l'intervalle de requte du dernier membre, envoy par l'metteur de requtes choisi. Intervalle de requte du dernier membre oprationnel : affiche l'intervalle de requte du dernier membre, envoy par l'metteur de requtes choisi. Sortie immdiate : activez Sortie immdiate pour rduire la dure ncessaire au blocage d'un flux de multidiffusion envoy un port membre lorsque ce dernier reoit un message de sortie de groupe IGMP. tat de l'metteur de requtes IGMP : permet d'activer ou de dsactiver l'metteur de requtes IGMP. Adresse IP source de l'metteur de requtes administratif : slectionnez l'adresse IP source de l'metteur de requtes IGMP. Il peut s'agir de l'adresse IP du VLAN ou de l'adresse IP de gestion. Adresse IP source de l'metteur de requtes oprationnel : affiche l'adresse IP source de l'metteur de requtes choisi. Version de l'metteur de requtes IGMP : slectionnez la version IGMP utilise si le commutateur devient l'metteur de requtes choisi. Slectionnez IGMPv3 s'il existe des commutateurs et/ou des routeurs de multidiffusion dans le VLAN qui ralise le transfert de multidiffusion IP propre la source.
169
14
statiques. Le traage MLD Snooping n'est pas pris en charge sur les VLAN dynamiques. Le commutateur exploite cette fonction pour construire des listes de membres de multidiffusion. Ces listes servent transmettre les paquets de multidiffusion uniquement aux ports du commutateur o existent des nuds htes membres des groupes de multidiffusion. Le commutateur ne prend pas en charge l'metteur de requtes MLD. Les htes emploient le protocole MLD pour signaler leur participation aux sessions de multidiffusion. Informations supplmentaires Le commutateur prend en charge deux versions du traage MLD Snooping : Le traage MLDv1 Snooping dtecte les paquets de contrle MLDv1 puis tablit un pont pour le trafic sur la base d'adresses de multidiffusion de destination IPv6. Le traage MLDv2 Snooping utilise des paquets de contrle MLDv2 pour transfrer le trafic sur la base de l'adresse IPv6 source et de l'adresse de multidiffusion de destination IPv6.
La version MLD relle est slectionne par le routeur de multidiffusion sur le rseau. Dans une approche semblable au traage IGMP Snooping, le trames MLD font l'objet d'un traage lorsqu'elles sont transfres par le commutateur des stations de travail vers un routeur de multidiffusion en amont et inversement. Cette fonction permet un commutateur de dterminer : les ports sur lesquels il existe des stations de travail intresses par l'adhsion un groupe de multidiffusion particulier ; les ports sur lesquels rsident les routeurs de multidiffusion qui envoient des trames de multidiffusion.
170
14
Ces connaissances servent exclure des ports dnus d'intrt (ceux sur lesquels aucune station de travail n'est enregistre pour recevoir un groupe de multidiffusion spcifique) de l'ensemble de transfert d'une trame de multidiffusion entrante. Si vous activez le traage MLD Snooping en plus des groupes de multidiffusion configurs manuellement, cela cre une union entre les membres de groupes et de ports multidiffusions drivs de la configuration manuelle et la dtection dynamique par traage MLD Snooping. Toutefois, seules les dfinitions statiques sont conserves si vous redmarrez le systme. Pour activer le traage MLD Snooping :
TAPE 1 Cliquez sur Multidiffusion > MLD Snooping. La rubrique MLD Snooping s'ouvre. TAPE 2 Activez ou dsactivez l'option tat MLD Snooping. L'option tat MLD Snooping
permet au priphrique qui surveille le trafic rseau de dterminer les htes qui ont demand recevoir du trafic de multidiffusion. Le commutateur excute le traage MLD Snooping si vous avez activ la fois MLD Snooping et le filtrage multidiffusion par ponts. La table de traage MLD Snooping affiche les informations MLD Snooping des VLAN du commutateur. Pour consulter une description des colonnes de cette table, reportez-vous l'TAPE 3.
TAPE 3 Slectionnez un VLAN puis cliquez sur Modifier. La rubrique Modifier MLD
Snooping s'ouvre.
TAPE 4 Saisissez les paramtres.
ID VLAN : slectionnez l'ID du VLAN. tat MLD Snooping : activez ou dsactivez le traage MLD Snooping sur ce port. Le commutateur surveille le trafic rseau pour dterminer les htes qui ont demand recevoir du trafic de multidiffusion. Vous ne pouvez activer le traage MLD Snooping que si le filtrage multidiffusion par ponts a t activ dans la rubrique Proprits. tat MLD Snooping oprationnel : affiche l'tat actuel du traage MLD Snooping pour le VLAN slectionn. Apprentissage automatique des ports MRouter : permet d'activer ou de dsactiver l'apprentissage automatique pour le routeur de multidiffusion. Robustesse des requtes : saisissez la valeur de la variable de robustesse utiliser si le commutateur ne peut pas lire cette valeur dans les messages envoys par l'metteur de requtes choisi.
171
14
Robustesse des requtes oprationnelles : affiche la variable de robustesse envoye par l'metteur de requtes choisi. Intervalle de requte : saisissez l'intervalle de requte que le commutateur doit appliquer s'il ne peut pas driver la valeur des messages envoys par l'metteur de requtes choisi. Intervalle de requte oprationnelle : intervalle en secondes qui spare deux requtes gnrales reues de l'metteur de requtes choisi. Intervalle de rponse max aux requtes : saisissez le dlai maximal de rponse aux requtes utiliser si le commutateur ne peut pas lire cette valeur dans les requtes gnrales envoyes par l'metteur de requtes choisi. Intervalle de rponse max aux requtes oprationnelles : saisissez la dure utilise pour calculer le code de rponse maximal insr dans les requtes gnrales. Nombre de requtes du dernier membre : saisissez le nombre de requtes du dernier membre utiliser si le commutateur ne peut pas driver cette valeur des messages envoys par l'metteur de requtes choisi. Nombre de requtes du dernier membre oprationnel : affiche la valeur oprationnelle du compteur de requtes du dernier membre. Intervalle de requte du dernier membre : saisissez le dlai maximal de rponse aux requtes utiliser si le commutateur ne peut pas lire cette valeur dans les requtes propres au groupe envoyes par l'metteur de requtes choisi. Intervalle de requte du dernier membre oprationnel : intervalle de requte du dernier membre, envoy par l'metteur de requtes choisi. Sortie immdiate : activez cette option pour rduire la dure ncessaire au blocage du trafic MLD inutile envoy un port du commutateur.
172
14
Adresse de groupe est gale : dfinit l'adresse MAC ou IP du groupe de multidiffusion interroger. Adresse source est gale : dfinit l'adresse d'expditeur interroger. ID VLAN est gal : dfinit l'ID de VLAN interroger.
TAPE 4 Cliquez sur OK. Les champs suivants sont affichs pour chaque groupe de
multidiffusion : VLAN : ID du VLAN. Adresse de groupe : adresse MAC ou IP du groupe de multidiffusion. Adresse source : adresse d'expditeur pour tous les ports du groupe spcifi. Ports inclus : liste des ports vers lesquels le flux de multidiffusion correspondant est transfr.
173
14
Ports exclus : liste des ports non membres du groupe. Mode de compatibilit : version d'enregistrement IGMP/MLD la plus ancienne que le commutateur reoit des htes l'adresse IP du groupe.
ID VLAN est gal : slectionnez l'ID de VLAN des ports de routeur que vous dcrivez. IPv4 ou IPv6 est gal : slectionnez la version IP prise en charge par le routeur de multidiffusion. Type d'interface est gal : choisissez d'afficher les ports ou les LAG.
TAPE 3 Cliquez sur OK. Les interfaces rpondant aux critres de requte sont affiches. TAPE 4 Slectionnez le type d'association de chaque interface. Les options disponibles
sont les suivantes : Statique : le port est configur de manire statique en tant que port de routeur de multidiffusion.
174
14
Dynamique : le port est configur de manire dynamique en tant que port de routeur de multidiffusion l'aide d'une requte MLD/IGMP. Pour activer l'apprentissage dynamique des ports de routeurs de multidiffusion, accdez la page Multidiffusion > IGMP Snooping et la page Multidiffusion > MLD Snooping Interdit : ce port ne doit pas tre configur en tant que port de routeur de multidiffusion, mme s'il reoit des requtes IGMP ou MLD. Si l'option Dtection automatique des ports MRouter est active sur ce port, la configuration choue. Aucun : le port n'est actuellement pas un port de routeur de multidiffusion.
ID VLAN est gal : ID du VLAN o les ports/LAG doivent tre affichs. Type d'interface est gal : choisissez d'afficher les ports ou les LAG.
TAPE 3 Cliquez sur OK. L'tat de tous les ports/LAG est affich.
175
14
TAPE 4 Slectionnez l'interface dfinir en mode Tout transfrer l'aide des mthodes
suivantes : Statique : le port reoit tous les flux de multidiffusion. Dynamique : (Non applicable). Interdit : Les ports ne peuvent pas recevoir de flux de multidiffusion, mme si le traage IGMP/MLD Snooping a dsign le port concern comme devant rejoindre un groupe de multidiffusion. Aucun : le port n'est actuellement pas un port Tout transfrer.
176
14
Type d'interface est gal : choisissez d'afficher tous les ports ou tous les LAG. N d'entre : numro de l'entre dans la table de multidiffusion non enregistre. Interface : affiche l'ID de l'interface. Multidiffusion non enregistre : affiche l'tat de transfert de l'interface slectionne. Les valeurs disponibles sont les suivantes : Transfert : active le transfert des trames de multidiffusion non enregistre vers l'interface slectionne. Filtrage : active le filtrage (rejet) des trames de multidiffusion non enregistre sur l'interface slectionne.
s'ouvre.
TAPE 4 Remplissez le champ Multidiffusion non enregistre.
Interface : slectionnez l'interface modifier. Multidiffusion non enregistre : dfinissez l'tat de transfert de l'interface slectionne. Les options disponibles sont les suivantes : Transfert : active le transfert des trames de multidiffusion non enregistre vers l'interface slectionne. Filtrage : active le filtrage des trames de multidiffusion non enregistre sur l'interface slectionne.
TAPE 5 Cliquez sur Appliquer. Les paramtres sont enregistrs et le commutateur est mis
jour.
177
15
Configuration des informations IP
Les adresses d'interface IP peuvent tre configures manuellement par l'utilisateur ou automatiquement via un serveur DHCP. Ce chapitre fournit des informations sur la dfinition des adresses IP du commutateur. Il contient les rubriques suivantes : Interfaces de gestion et IP Dfinition du routage statique IPv4 Activation du proxy ARP Dfinition du relais UDP Relais DHCP Configuration d'ARP DNS (Domain Name System, systme de noms de domaine)
Interfaces de gestion et IP
Le paramtre d'usine par dfaut dfini pour la configuration de l'adresse IP est DHCP. Cela signifie que le commutateur joue le rle de client DHCP et envoie une demande DHCP lors de l'amorage. Si le commutateur reoit une rponse DHCP du serveur DHCP (contenant une adresse IP), il envoie des paquets ARP (Address Resolution Protocol, protocole de rsolution d'adresse) pour vrifier que cette adresse IP est unique. Si la rponse ARP indique que l'adresse IP est dj utilise, le commutateur envoie le message DHCPDECLINE (Refus DHCP) au serveur DHCP qui lui a rpondu. Il envoie ensuite un nouveau paquet DHCPDISCOVER (Dtection DHCP) pour relancer le processus. Si le commutateur n'a reu aucune rponse DHCP au bout de 60 secondes, il continue lancer des requtes DHCPDISCOVER et utilise l'adresse IP 192.168.1.254/24 par dfaut.
178
15
Des collisions d'adresse IP se produisent lorsqu'une mme adresse IP est utilise par plusieurs priphriques sur un mme sous-rseau IP. Les collisions d'adresse ncessitent une action de la part de l'administrateur sur le serveur DHCP et/ou sur le priphrique en conflit avec le commutateur. Lorsqu'un VLAN est configur pour utiliser des adresses IP dynamiques, le commutateur envoie des demandes DHCP jusqu' ce qu'un serveur DHCP lui attribue une adresse IP. En mode Layer 2, seul le VLAN de gestion peut tre configur avec une adresse IP statique ou dynamique. En mode Layer 3, vous pouvez configurer jusqu' 32 interfaces (ports, LAG et/ou VLAN) du commutateur avec une adresse IP statique ou dynamique. Les sous-rseaux IP dont font partie ces adresses IP sont appels sous-rseaux IP connexion directe. Les rgles d'affectation d'adresse IP au commutateur sont les suivantes : En mode Layer 2, si le commutateur n'est pas configur avec une adresse IP statique, il met des requtes DHCP jusqu' ce qu'il reoive une rponse du serveur DHCP. Si l'adresse IP du commutateur change, ce dernier envoie des paquets ARP gratuits au VLAN correspondant pour rechercher les ventuelles collisions d'adresse IP. Cette rgle s'applique galement lorsque le commutateur revient l'adresse IP par dfaut. La DEL d'tat du systme s'allume en vert lorsque le serveur DHCP envoie une nouvelle adresse IP unique. Si une adresse IP statique a t dfinie, la DEL d'tat du systme s'allume galement en vert. Cette DEL clignote pendant que le commutateur acquiert son adresse IP et qu'il utilise l'adresse IP par dfaut dfinie en usine (192.168.1.254). Les mmes rgles s'appliquent lorsqu'un client doit renouveler son bail avant la date d'expiration, via un message DHCPREQUEST (Demande DHCP). Si aucune adresse IP n'est disponible (qu'elle soit dfinie de manire statique ou acquise via DHCP), le systme utilise l'adresse IP par dfaut. Lorsque d'autres adresses IP deviennent disponibles, elles sont automatiquement utilises. L'adresse IP par dfaut se trouve toujours sur le VLAN de gestion.
179
15
Gestion d'IPv6
Internet Protocol version 6 (IPv6) est un protocole de couche rseau utilis dans les communications entre rseaux commutation de paquets. IPv6 a t conu pour remplacer IPv4, le protocole Internet le plus souvent dploy. IPv6 apporte davantage de souplesse dans l'affectation des adresses IP car la taille des adresses passe de 32 128 bits. Les adresses IPv6 sont constitues de huit groupes de quatre chiffres hexadcimaux, par exemple FE80:0000:0000:0000:0000:9C00:876A:130B. La forme abrge, dans laquelle un groupe de zros peut tre ignor et remplac par :: , est galement admise. Exemple : ::-FE80::9C00:876A:130B. Les nuds IPv6 ncessitent un mcanisme de mappage intermdiaire pour communiquer avec d'autres nuds IPv6 sur un rseau uniquement IPv4. Ce mcanisme, appel tunnel, permet des htes uniquement IPv6 de contacter des services IPv4, ainsi qu' des htes et rseaux IPv6 isols de contacter un nud IPv6 sur une infrastructure IPv4. La fonction de tunnel exploite le mcanisme ISATAP. Ce protocole considre le rseau IPv4 comme une liaison locale IPv6 virtuelle, avec des mappages entre chaque adresse IPv4 et une adresse IPv6 de liaison locale. Le commutateur dtecte les trames IPv6 d'aprs le type IPv6 Ethertype.
Adressage IP
Le commutateur peut fonctionner en mode Layer 2 ou en mode Layer 3. En mode Layer 2, le commutateur fonctionne en tant que commutateur reconnaissant les VLAN Layer 2, sans aucune fonction de routage. En mode Layer 3, le commutateur possde des fonctions de routage en plus des fonctions du mode Layer 2. En mode Layer 3, le commutateur ne prend pas en charge les VLAN MAC, l'affectation dynamique de VLAN, la limite de dbit VLAN, la protection DoS de dbit SYN, ni les gestionnaires de stratgie de QoS avanc. Pour configurer le commutateur afin qu'il fonctionne dans l'un ou l'autre mode, vous utilisez l'interface de console, dcrite au chapitre Interface de la console du guide d'administration. Les sections suivantes dcrivent les diffrences qui existent entre l'adressage IP en mode Layer 2 et en mode Layer 3.
180
15
Adressage IP Layer 2
Adressage IP Layer 2 En mode Layer 2, le commutateur possde une adresse IP unique sur le VLAN de gestion. Cette adresse IP et la passerelle par dfaut peuvent tre configures l'aide d'une adresse IP statique ou via DHCP. Vous configurez l'adresse IP statique et la passerelle par dfaut pour le mode Layer 2 dans la rubrique Interface IPv4. En mode Layer 2, le commutateur utilise la passerelle par dfaut (si elle existe) pour communiquer avec les priphriques qui ne se trouvent pas sur le mme sous-rseau IP. Par dfaut, VLAN 1 est le VLAN de gestion mais vous pouvez modifier ce paramtre. Lorsqu'il fonctionne en mode Layer 2, le commutateur n'est accessible l'adresse IP configure que via son VLAN de gestion.
Adressage IP Layer 3
Adressage IP Layer 3 En mode Layer 3, le commutateur peut possder plusieurs adresses IP. Chaque adresse IP peut tre affecte aux ports, LAG ou VLAN spcifis. Vous configurez ces adresses IP dans la rubrique Interface IPv4 pour le mode Layer 3. Cela fournit davantage de souplesse rseau que le mode Layer 2, qui ne permet de configurer qu'une seule adresse IP. Lorsqu'il fonctionne en mode Layer 3, le commutateur est accessibles toutes ses adresses IP depuis les interfaces correspondantes. Aucune route prdfinie par dfaut n'est fournie en mode Layer 3. Vous devez dfinir une route par dfaut pour grer le commutateur distance. Toutes les passerelles par dfaut affectes par DHCP sont stockes en tant que routes par dfaut. De plus, vous pouvez dfinir manuellement des routes par dfaut. Vous utilisez pour ce faire la rubrique Routes statiques IP.
REMARQUE Vous ne pouvez faire passer le commutateur du mode Layer 2 au mode Layer 3 qu'
l'aide de l'interface de console. Lors de cette opration, tous les paramtres de configuration reprennent leurs valeurs par dfaut. Pour en savoir plus sur l'interface de console, reportez-vous au chapitre Interface de la console du guide d'administration. Toutes les adresses IP configures sur le commutateur ou qui lui sont affectes sont galement appeles adresses IP de gestion dans ce guide. Les sections suivantes prsentent des informations de configuration pertinentes la fois pour le mode Layer 2 et le mode Layer 3.
181
15
VLAN de gestion : slectionnez le VLAN de gestion utilis pour accder au commutateur via telnet ou l'interface Web graphique (GUI). VLAN1 est le VLAN de gestion par dfaut. Type d'adresse IP : slectionnez l'une des options suivantes : Dynamique : dtection de l'adresse IP via DHCP sur le VLAN de gestion. Statique : dfinition manuelle d'une adresse IP.
Si vous utilisez une adresse IP statique, configurez les champs suivants. Adresse IP : saisissez l'adresse IP puis remplissez l'un des champs suivants : Masque rseau : slectionnez et saisissez le masque d'adresse IP. Longueur du prfixe : slectionnez et saisissez la longueur du prfixe d'adresse IPv4. Passerelle par dfaut : slectionnez Dfini par l'utilisateur puis saisissez l'adresse IP de la passerelle par dfaut. Vous pouvez aussi slectionner Aucun pour supprimer de l'interface l'adresse IP de passerelle par dfaut slectionne. Passerelle oprationnelle par dfaut : indique l'tat de la passerelle par dfaut actuelle.
REMARQUE Si aucune passerelle par dfaut n'est configure pour le
commutateur, ce dernier ne peut pas communiquer avec les priphriques qui ne font pas partie du mme sous-rseau IP.
182
15
Si le systme rcupre une adresse IP dynamique auprs du serveur DHCP, slectionnez les champs suivants, qui sont alors activs : Renouveler l'adresse DHCP : l'adresse IP dynamique du commutateur peut tre renouvele tout moment aprs son affectation par le serveur DHCP. Selon la configuration de votre serveur DHCP, le commutateur peut recevoir une nouvelle adresse IP aprs le renouvellement, ce qui provoquera une perte de connexion de votre session sur l'interface graphique. Configuration automatique via DHCP : affiche l'tat de la fonction de configuration automatique. Vous configurez la configuration DHCP automatique l'aide de l'option Administration > Gestion de fichiers > Configuration automatique DHCP.
TAPE 3 Cliquez sur Appliquer. Les paramtres d'interface IPv4 sont dfinis et le
adresse IP configure sur un port ou un LAG. Le commutateur utilise le premier VID non encore utilis, partir de 4094. Pour configurer des adresses IPv4 :
TAPE 1 Cliquez sur Configuration IP > Interfaces de gestion et IP > Interface IPv4. La
rubrique Interface IPv4 s'ouvre. Cette page contient les champs suivants : Interface : interface pour laquelle l'adresse IP est dfinie.
183
15
Type d'adresse IP : adresse IP dfinie comme statique ou DHCP. Statique : saisie manuelle. DHCP : rception depuis le serveur DHCP.
Adresse IP : adresse IP configure pour l'interface. Masque : masque d'adresse IP configur. tat : rsultats de la vrification d'unicit de l'adresse IP. Aucune entre : adresse IP inconnue. Provisoire : aucun rsultat final pour la vrification d'unicit de l'adresse IP. Valide : contrle de collision d'adresse IP termin, aucune collision dtecte. Valide-Doublon : contrle de collision d'adresse IP termin, une adresse IP en double a t dtecte. Doublon sans validit : doublon d'adresse IP dtect pour l'adresse IP par dfaut.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une interface IPv4 s'ouvre. TAPE 3 Slectionnez l'un des champs suivants :
Interface : slectionnez Port, LAG ou VLAN comme interface associe cette configuration IP puis choisissez une valeur pour l'interface dans la liste. Type d'adresse IP : slectionnez l'une des options suivantes : Adresse IP dynamique : rception de l'adresse IP depuis un serveur DHCP. Adresse IP statique : saisissez l'adresse IP.
TAPE 4 Si vous avez choisi d'utiliser une adresse statique, saisissez l'adresse IP de
l'interface.
TAPE 5 Saisissez le masque rseau ou la longueur de prfixe correspondant cette
adresse IP. Masque rseau : masque IP pour cette adresse. Longueur du prfixe : longueur du prfixe d'adresse IPv4.
TAPE 6 Cliquez sur Appliquer. Les paramtres d'adresse IPv4 sont dfinis et le
184
15
Configuration globale IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Configuration globale IPv6. La rubrique Configuration globale IPv6 s'ouvre.
TAPE 2 Saisissez les valeurs pour les champs suivants :
Intervalle limite de dbit ICMPv6 : saisissez le dlai limite. Taille de bucket limite de dbit ICMPv6 : saisissez le nombre maximal de messages d'erreur ICMP que le commutateur peut envoyer au cours de chaque intervalle.
TAPE 3 Cliquez sur Appliquer. Les paramtres d'adresse IPv6 sont dfinis et le
IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Interfaces IPv6. La rubrique Interfaces IPv6 s'ouvre.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 185
15
l'interface sur laquelle IPv6 est activ. La rubrique Ajouter une interface IPv6 s'ouvre.
TAPE 3 Saisissez les valeurs.
Interface IPv6 : slectionnez un port, un LAG, un VLAN ou un tunnel ISATAP spcifique. Nombre de tentatives DAD : saisissez le nombre de messages de sollicitation des voisins conscutifs envoyer lors du processus DAD (Duplicate Address Detection, dtection des adresses en double) sur les adresses IPv6 Unicast de l'interface. DAD vrifie l'unicit des nouvelles adresses IPv6 Unicast avant de les attribuer. Les nouvelles adresses restent l'tat provisoire pendant la vrification DAD. Saisissez 0 dans ce champ pour dsactiver le traitement de dtection des adresses en double sur l'interface indique. Saisissez 1 dans ce champ pour indiquer une transmission unique, sans transmission de suivi. Configuration automatique des adresses IPv6 : active la configuration automatique des adresses partir du serveur DHCP. La configuration automatique des adresses est un processus avec ou sans conservation d'tat (DHCP). Si vous activez cette option, le commutateur prend en charge la configuration automatique des adresses IPv6 sans conservation d'tat pour les adresses IP locales et globales de site, partir de l'annonce de routeur IPv6 reue sur l'interface. Le commutateur ne prend pas en charge la configuration automatique des adresses avec conservation d'tat. Envoyer des messages ICMPv6 : active la gnration de messages concernant les destinations injoignables.
TAPE 4 Cliquez sur Appliquer pour activer le traitement IPv6 sur l'interface slectionne.
Pour les interfaces IPv6 standard, les adresses suivantes sont configures automatiquement : Adresse de liaison locale, l'aide de l'ID d'interface au format EUI-64, sur la base de l'adresse MAC d'un priphrique Toutes les adresses de multidiffusion de liaison locale des nuds (FF02::1) Adresse de multidiffusion de nud sollicit (au format FF02::1:FFXX:XXXX)
TAPE 5 Cliquez sur Table des adresses IPv6 pour affecter manuellement des adresses
IPv6 l'interface, si ncessaire. Cette page est dcrite la section Dfinition d'adresses IPv6 .
186
15
IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Adresses IPv6. La rubrique Adresse IPv6 s'ouvre.
TAPE 2 Slectionnez une interface puis cliquez sur OK. L'interface s'affiche dans la table
Interface IPv6 : affiche l'interface o l'adresse est automatiquement complte sur la base du filtre. Type d'adresse IPv6 : slectionnez Liaison locale ou Globale comme type d'adresse IPv6 ajouter. Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est prise en charge. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux.
Adresse IPv6 : le commutateur prend en charge une seule interface IPv6. Outre les adresses de liaison locale et de multidiffusion par dfaut, le priphrique ajoute aussi automatiquement des adresses globales l'interface sur la base des annonces de routeur qu'il reoit. Le priphrique prend en charge un maximum de 128 adresses sur l'interface. Chaque adresse doit correspondre une adresse IPv6 valide, spcifie au format hexadcimal en utilisant des valeurs de 16 bits spares par le caractre deux-points.
REMARQUE Il est impossible de configurer des adresses IPv6 directement sur une interface de tunnel ISATAP.
Longueur du prfixe : longueur du prfixe IPv6 global est une valeur dcimale de 0 128 indiquant le nombre de bits contigus les plus significatifs de l'adresse dont se compose le prfixe (la partie rseau de l'adresse).
187
15
EUI-64 : slectionnez cette option pour employer le paramtre EUI-64 afin d'identifier la portion de l'adresse IPv6 globale correspondant l'ID d'interface en utilisant le format EUI-64 sur la base de l'adresse MAC d'un priphrique.
routeurs par dfaut IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Liste des routeurs par dfaut IPv6. La rubrique Liste des routeurs par dfaut IPv6 s'ouvre. Cette page contient les champs suivants pour chaque routeur par dfaut : Adresse IPv6 du routeur par dfaut : adresse IP de liaison locale du routeur par dfaut. Interface : interface IPv6 sortante o rside le routeur par dfaut.
188
15
Type : la configuration du routeur par dfaut inclut les options suivantes : Statique : le routeur par dfaut a t ajout manuellement cette table l'aide du bouton Ajouter. Dynamique : le routeur par dfaut a t configur de manire dynamique.
tat : les options d'tat du routeur par dfaut sont les suivantes : Incomplet : rsolution d'adresse en cours. Le routeur par dfaut n'a pas encore rpondu. Accessible : une confirmation positive a t reue dans le dlai Dlai d'accessibilit. Prim : un voisin rseau prcdemment connu n'est plus accessible et aucune action ne va tre entreprise pour vrifier son accessibilit tant qu'il n'est pas ncessaire de lui envoyer du trafic. Retard : un voisin rseau prcdemment connu est inaccessible. L'appareil reste l'tat Retard pour la dure prdfinie indique par Dlai de retard. Si aucune confirmation n'est reue, l'tat passe Sonde. Sonde : le voisin rseau est inaccessible et des sondes UNS (Unicast Neighbor Solicitation, sollicitation de voisinage Unicast) sont envoyes pour vrifier son tat.
TAPE 2 Cliquez sur Ajouter pour ajouter un routeur par dfaut statique. La rubrique
Ajouter un routeur par dfaut s'ouvre. La fentre affiche l'interface de liaison locale. Il peut s'agir d'un port, d'un LAG, d'un VLAN ou d'un tunnel.
TAPE 3 Saisissez l'adresse IP du routeur par dfaut statique dans le champ Adresse IPv6
189
15
IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Tunnel IPv6. La rubrique Tunnel IPv6 s'ouvre.
TAPE 2 Saisissez les valeurs pour les champs suivants :
Numro du tunnel : affiche le numro de domaine du routeur de tunnel automatique. Type du tunnel : toujours affich en tant qu'ISATAP. Adresse IPv4 source : dsactive le tunnel ISATAP ou l'active sur une interface IPv4. L'adresse IPv4 de l'interface IPv4 slectionne sera utilise utilise pour constituer une partie de l'adresse IPv6 sur l'interface de tunnel ISATAP. L'adresse IPv6 comporte un prfixe rseau de 64 bits, constitu de fe80::, suivi de la concatnation de 0000:5EFE et de l'adresse IPv4.
190
15
Aucun : dsactive le tunnel ISATAP. Manuel : configuration manuelle d'une adresse IPv4. L'adresse IPv4
configure doit tre l'une des adresses IPv4 des interfaces IPv4 du commutateur.
Nom de domaine du routeur de tunnel : chane globale qui reprsente un nom de domaine de routeur de tunnel automatique spcifique. Il peut s'agir du nom par dfaut (ISATAP) ou d'un nom dfini par l'utilisateur. Intervalle de requte : nombre de secondes (de 10 3 600) entre deux requtes DNS pour ce tunnel (avant que l'adresse IP du routeur ISATAP soit connue). Il peut s'agir de l'intervalle par dfaut (10 secondes) ou d'une valeur d'intervalle dfinie par l'utilisateur. Intervalle de sollicitation ISATAP : nombre de secondes (de 10 3 600) entre deux messages de sollicitation de routeur ISATAP, si aucun routeur ISATAP n'est actif. Il peut s'agir de l'intervalle par dfaut (10 secondes) ou d'une valeur d'intervalle dfinie par l'utilisateur. Robustesse ISATAP : sert calculer l'intervalle des requtes DNS ou de sollicitation de routeur. Plus la valeur est leve, plus les requtes sont frquentes. La valeur par dfaut est 3. La plage se situe entre 1 et 20.
REMARQUE Le tunnel ISATAP ne sera pas oprationnel si l'interface IPv4
191
15
IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Voisins IPv6. La rubrique Voisins IPv6 s'ouvre.
TAPE 2 Slectionnez une option Effacer la table afin d'effacer certaines adresses IPv6
Les champs suivants sont affichs pour les interfaces de voisinage : Interface : type d'interface de voisinage IPv6. Adresse IPv6 : adresse IPv6 d'un voisin. Adresse MAC : adresse MAC mappe sur l'adresse IPv6 spcifie. Type : type de configuration des informations de cache de dtection du voisinage (statique ou dynamique).
192
15
tat : indique l'tat du voisin IPv6. Les valeurs disponibles sont les suivantes : -
Accessible : le voisin est reconnu comme tant accessible. Prim : un voisin prcdemment connu est inaccessible. Aucune action
n'est entreprise pour vrifier son accessibilit tant qu'il n'est pas ncessaire de lui envoyer du trafic.
Sonde : le voisin n'est plus reconnu comme inaccessible et des sondes UNS (Unicast Neighbor Solicitation, sollicitation de voisinage Unicast) sont envoyes pour vrifier son accessibilit.
La rubrique Ajouter un voisin IPv6 fournit des informations pour l'ajout d'un voisin surveiller.
TAPE 4 Saisissez les valeurs pour les champs suivants :
Interface : interface de voisinage IPv6 ajouter. Adresse IPv6 : saisissez l'adresse rseau IPv6 affecte l'interface. Cette adresse doit tre une adresse IPv6 valide. Adresse MAC : saisissez l'adresse MAC mappe sur l'adresse IPv6 spcifie.
IPv6. En mode Layer 3, cliquez sur Configuration IP > Interfaces de gestion et IP > Voisins IPv6. La rubrique Voisins IPv6 s'ouvre.
193
15
TAPE 2 Slectionnez une interface puis cliquez sur Modifier. La rubrique Modifier le
Adresse IPv6 : slectionnez une adresse IPv6 valide. Adresse MAC : slectionnez l'adresse MAC mappe sur l'adresse IPv6 spcifie. Type : slectionnez le type d'informations de cache de dtection du voisinage. -
Statique : entres de cache de dtection du voisinage statiques. Dynamique : entres de cache de dtection du voisinage dynamiques.
194
15
Saut suivant : adresse vers laquelle le paquet est transfr. En gnral, il s'agit de l'adresse d'un routeur du voisinage. Ce doit tre une adresse de liaison locale. Mesure : valeur utilise pour comparer cette route d'autres routes vers la mme destination dans la table des routeurs IPv6. Toutes les routes par dfaut ont la mme valeur. Dure de vie : laps de temps au cours duquel le paquet peut tre envoy et renvoy, avant sa suppression. Type de route : mode de rattachement de la destination et mthode utilise pour obtenir l'entre. Les valeurs sont les suivantes : -
Local : adresse IPv6 configure manuellement pour le commutateur. Dynamique : la destination est rattache l'adresse du sous-rseau IPv6
de faon indirecte. Cette entre a t obtenue de manire dynamique via le protocole ICMP.
Prfixe IP de destination : saisissez le prfixe d'adresse IP de la destination. Masque : slectionnez et saisissez des informations dans l'un des champs suivants : Masque rseau : prfixe de route IP pour l'adresse IP de destination.
195
15
Adresse IP du routeur de saut suivant : saisissez l'adresse ou l'alias IP du saut suivant sur la route.
REMARQUE Vous ne pouvez pas configurer de route statique via un sous-
rseau IP connexion directe dans lequel le commutateur obtient son adresse IP d'un serveur DHCP. Type de route : slectionnez le type de route appropri. -
Rejeter : rejette la route indique et stoppe tout routage vers le rseau de destination, sur toutes les passerelles. Cela garantit l'limination de toutes les trames qui arrivent avec l'IP de destination de cette route. Distant : indique que la route est situe sur un chemin distant.
Mesure : Saisissez la distance administrative jusqu'au saut suivant. La plage valide est 1255.
TAPE 4 Cliquez sur Appliquer. La route IP statique est ajoute et le commutateur est mis
jour.
196
15
requtes ARP concernant des nuds distants avec l'adresse MAC du commutateur.
TAPE 3 Cliquez sur Appliquer. Le proxy ARP est activ et le commutateur est mis jour.
paquets de diffusion UDP sur la base du port UDP de destination configur. L'interface choisie doit tre l'une des interfaces IPv4 configures sur le commutateur.
TAPE 4 Saisissez le numro du port UDP de destination des paquets que le commutateur
ce champ contient 0.0.0.0, les paquets UDP sont limins. Si ce champ contient 255.255.255.255, des paquets UDP sont envoys toutes les interfaces IP.
TAPE 6 Cliquez sur Appliquer. Les paramtres de relais UDP sont dfinis et le
197
15
Relais DHCP
Le commutateur peut agir en tant qu'agent de relais DHCP, qui coute les messages DHCP et les relaie entre serveurs et clients DHCP rsidant sur des sous-rseaux IP ou des VLAN distincts. Description du relais DHCP Vous devez activer le relais DHCP la fois globalement et pour chaque VLAN. En mode Layer 2, le commutateur peut relayer les messages DHCP reus d'un VLAN vers un ou plusieurs serveurs DHCP configurs. Lorsque le relais DHCP reoit un message DHCP d'une station de travail, il ajoute l'option 82 la trame pour mmoriser le VLAN et le port d'entre. Lorsqu'un serveur DHCP rpond, la fonction supprime l'option 82 de la trame et utilise cette option pour dterminer l'endroit o la station de travail est connecte. Dans ce mode, le relais DHCP limine toutes les trames DHCP reues des stations de travail contenant dj l'option 82. En mode Layer 3, le commutateur peut relayer les messages DHCP reus de ses interfaces IPv4 vers un ou plusieurs serveurs DHCP configurs. Le commutateur insre l'adresse IPv4 dans le paramtre giaddr du message avant de le relayer vers les serveurs. Il utilise l'adresse IPv4 de commutateur de l'interface qui reoit le message. Le commutateur emploie la valeur giaddr figurant dans la rponse pour dterminer comment transfrer la rponse au client DHCP. Limites du relais DHCP En mode Layer 2, le commutateur insre sa propre option 82 DHCP, ainsi que des informations sur le VLAN et le port d'entre, dans le message DHCP qu'il reoit des clients DHCP. C'est pourquoi les serveurs DHCP doivent prendre en charge l'option 82 DHCP. Le commutateur limine les messages DHCP contenant l'option 82 qu'il reoit des clients DHCP. En mode Layer 3, cette fonction ne peut tre active que sur les interfaces IPv4.
198
15
L'option 82 insre des informations supplmentaires dans les paquets envoys depuis l'hte. Le serveur DHCP transmet les informations de configuration des htes sur un rseau TCP/IP. Cela permet au serveur DHCP de limiter l'allocation d'adresses aux htes autoriss. Vous ne pouvez activer DHCP avec option 82 que si le relais DHCP est activ. Pour configurer la fonction relais DHCP :
TAPE 1 Cliquez sur Configuration IP > Relais DHCP > Proprits. La rubrique Proprits
s'ouvre.
TAPE 2 Saisissez les valeurs pour les champs suivants :
Relais DHCP : slectionnez cette option pour activer/dsactiver le relais DHCP. Option 82 : slectionnez Option 82 pour activer l'insertion de l'adresse MAC du priphrique et des paramtres d'entre dans les paquets dans le but d'identifier le priphrique. Vous ne pouvez configurer cette option qu'en mode Layer 3. Table des serveurs DHCP : affiche la liste des serveurs DHCP.
TAPE 3 Cliquez sur Ajouter pour entrer l'adresse IP du serveur DHCP. La rubrique Ajouter
Version IP : indique que seul IPv4 est pris en charge. Adresse IP du serveur DHCP : saisissez l'adresse IP du serveur DHCP.
TAPE 5 Cliquez sur Appliquer. Le serveur DHCP est dfini et le commutateur mis jour.
Utilisez la rubrique Interfaces de relais DHCP pour configurer les interfaces qui prennent le relais DHCP en charge.
199
15
rubrique Interfaces de relais DHCP s'ouvre. Cette page affiche l'interface o le relais DHCP est dfini, ainsi que l'adresse IP. En mode Layer 3, les options incluent des ports, des LAG ou des VLAN ; en mode Layer 2, seuls les VLAN sont disponibles.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une interface DHCP (Layer 2) s'ouvre. TAPE 3 Saisissez la valeur d'interface.
Si le commutateur fonctionne en mode Layer 2, slectionnez le VLAN o le relais DHCP doit tre activ. Si le commutateur fonctionne en mode Layer 3, slectionnez le type d'interface (port, VLAN ou LAG).
TAPE 4 Cliquez sur Appliquer. L'interface de relais DHCP est dfinie et le commutateur est
mis jour.
Configuration d'ARP
Le commutateur gre une table ARP (Address Resolution Protocol, protocole de rsolution d'adresse) pour tous les priphriques connus rsidant sur ses sousrseaux IP connexion directe. Un sous-rseau IP connexion directe dsigne un sous-rseau sur lequel une interface IPv4 du commutateur est connecte. Lorsque le commutateur doit envoyer/router un paquet vers un priphrique local, il effectue une recherche dans la table ARP pour obtenir l'adresse MAC du priphrique en question. La table ARP contient la fois des adresses statiques et des adresses dynamiques. Les adresses statiques sont configures manuellement et n'ont pas de limite de validit. Le commutateur cre des adresses dynamiques partir des paquets ARP qu'il reoit. Les adresses dynamiques ont une dure de vie limite, que vous configurez.
200
15
La rubrique Table ARP vous permet de consulter les entres ARP dynamiques apprises par le commutateur, de modifier la dure de vie d'une entre ARP, d'effacer des entres ARP et d'ajouter ou de supprimer des entres ARP statiques.
REMARQUE En mode Layer 2, les informations de mappage adresse IP-adresse MAC de la table
ARP servent transfrer le trafic provenant du commutateur. En mode Layer 3, les informations de mappage servent au routage Layer 3 et au transfert du trafic gnr. Pour dfinir les tables ARP :
TAPE 1 Cliquez sur Configuration IP > ARP. La rubrique Table ARP s'ouvre. TAPE 2 Saisissez les paramtres.
Dlai d'expiration des entres ARP : saisissez le nombre de secondes de conservation des adresses dynamiques dans la table ARP. Les adresses dynamiques ne sont valides dans la table que pour la dure dfinie par Dlai d'expiration des entres ARP. la fin de cette dure de vie, l'adresse dynamique concerne est supprime de la table et doit tre rapprise pour figurer nouveau dans cette table. Effacer les entres de la table ARP : slectionnez le type d'entre ARP effacer du systme. -
Tout : supprime immdiatement toutes les adresses statiques et dynamiques. Dynamique : supprime immdiatement toutes les adresses dynamiques. Statique : supprime immdiatement toutes les adresses statiques. Dlai d'expiration normal : les adresses dynamiques sont supprimes en
fonction de la dure de vie configure pour les entres ARP.
La table ARP contient les champs suivants : Interface : interface IPv4 du sous-rseau IP connexion directe o rside le priphrique IP. Adresse IP : adresse IP du priphrique IP. Adresse MAC : adresse MAC du priphrique IP. tat : indique si l'entre a t saisie manuellement ou apprise de manire dynamique.
TAPE 3 Cliquez sur Appliquer. Les paramtres ARP globaux sont modifis et le
201
15
TAPE 4 Cliquez sur Ajouter. La rubrique Ajouter entres ARP (Layer 3) s'ouvre. TAPE 5 Saisissez les paramtres.
Version IP : format d'adresse IP pris en charge par l'hte. Seul IPv4 est pris en charge. Interface : interface IPv4 du commutateur. Pour les priphriques en mode Layer 2, il existe un seul sous-rseau IP connexion directe, toujours situ sur le VLAN de gestion. Toutes les adresses statiques et dynamiques de la table ARP rsident sur le VLAN de gestion. Pour les priphriques en mode Layer 3, vous pouvez configurer une interface IPv4 sur un port, un LAG ou un VLAN. Slectionnez l'interface voulue dans la liste des interfaces IPv4 configures sur le commutateur.
Adresse IP : saisissez l'adresse IP du priphrique local. Adresse MAC : saisissez l'adresse MAC du priphrique local.
TAPE 6 Cliquez sur Appliquer. L'entre ARP est dfinie et le commutateur est mis jour.
202
15
DNS : slectionnez cette option pour activer le commutateur en tant que client DNS et lui permettre de traduire les noms DNS en adresses IP via un ou plusieurs serveurs DNS configurs. Nom de domaine par dfaut : saisissez le nom de domaine DNS par dfaut (1158 caractres). Le commutateur ajoute cette information tous les noms de domaine non entirement qualifis, les transformant ainsi en noms de domaine entirement qualifis (FQDN). Type : affiche les options de type de domaine par dfaut : -
DHCP : le nom de domaine par dfaut est attribu dynamiquement par le serveur DHCP. Statique : le nom de domaine est dfini par l'utilisateur.
S/O : aucun nom de domaine par dfaut n'est utilis.
Table des serveurs DNS : Serveur DNS : adresses IP des serveurs DNS. Vous pouvez dfinir jusqu' huit serveurs DNS. tat du serveur : indique le serveur DNS actif. Il ne peut exister qu'un seul serveur actif. Chaque serveur statique porte un ordre de priorit, la valeur la plus faible indiquant la priorit la plus leve. Lors du premier envoi de la demande, le serveur statique avec le numro de priorit le plus faible est utilis. Aprs deux tentatives, si ce serveur ne rpond pas, le systme slectionne le serveur qui vient ensuite dans l'ordre de priorit. Si aucun des serveurs statiques ne rpond, le systme slectionne le premier serveur dynamique de la table (qui est trie dans l'ordre des adresses, de la plus basse la plus leve).
TAPE 3 Cliquez sur Ajouter. La rubrique Ajouter un serveur DNS s'ouvre. TAPE 4 Saisissez les paramtres.
Version IP : slectionnez Version 6 pour IPv6 ou Version 4 pour IPv4. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et peut servir la communication que
203
15
sur le rseau local. Une seule adresse locale de liaison est prise en charge. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable partir d'autres rseaux.
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, slectionnez si la rception s'effectue via VLAN2 ou ISATAP. Adresse IP du serveur DNS : saisissez l'adresse IP du serveur DNS. tat du serveur DNS - Actif : slectionnez cette option pour activer le nouveau serveur DNS.
TAPE 5 Cliquez sur Appliquer. Le serveur DNS est ajout et le commutateur est mis jour.
d'htes. La rubrique Mappage d'htes s'ouvre. Cette page contient les champs suivants : Nom d'hte : nom de domaine dfini par l'utilisateur, maximum 158 caractres. Adresse IP : adresse IP correspondant au nom d'hte.
204
15
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un mappage d'htes s'ouvre. TAPE 3 Saisissez les paramtres.
Version IP : slectionnez Version 6 pour IPv6 ou Version 4 pour IPv4. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est prise en charge. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Globale : l'adresse IPv6 est de type IPV6 monodiffusion globale, visible et joignable depuis d'autres rseaux.
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, slectionnez si la rception s'effectue via VLAN2 ou ISATAP. Nom d'hte : saisissez un nom de domaine, maximum 158 caractres. Adresse IP : saisissez une adresse IPv4 ou jusqu' quatre adresses IPv6 pour l'hte. Les adresses 2 4 sont des adresses de secours.
TAPE 4 Cliquez sur Appliquer. L'hte DNS est ajout et le commutateur mis jour.
205
16
Configuration de la scurit
Ce chapitre dcrit diffrents aspects de la scurit et du contrle d'accs. Le systme gre diffrents types de scurit. Certaines fonctionnalits sont utilises pour plusieurs types de scurit ou de contrle et s'affichent donc plusieurs reprises dans la liste des rubriques prsente ci-dessous. Cette liste prsente les diffrents types de fonctions de scurit dcrits dans ce chapitre : L'autorisation d'administrer le commutateur est dtaille dans les sections suivantes : Dfinition d'utilisateurs Configuration de TACACS+ Configuration des paramtres RADIUS Authentification de l'accs de gestion Profils d'accs Configuration des services TCP/UDP
La protection contre les attaques diriges vers le CPU du commutateur est dtaille dans les sections suivantes : Configuration des services TCP/UDP Dfinition du contrle des temptes
Le contrle d'accs des utilisateurs finaux au rseau via le commutateur est dtaill dans les sections suivantes : Authentification de l'accs de gestion Profils d'accs Dfinition d'utilisateurs Configuration de TACACS+ Configuration des paramtres RADIUS
206
Configuration de la scurit
Dfinition d'utilisateurs
16
Configuration de la scurit des ports 802.1X
La protection contre d'autres utilisateurs du rseau est dtaille dans les sections suivantes. Il s'agit d'attaques qui transitent par le commutateur, mais qui ne sont pas diriges vers ce dernier. Prvention du dni de service Configuration des services TCP/UDP Dfinition du contrle des temptes Configuration de la scurit des ports
Dfinition d'utilisateurs
Dans ce contexte, un utilisateur est un administrateur systme ou un superutilisateur qui gre le commutateur. Le nom d'utilisateur par dfaut est cisco tandis que le mot de passe par dfaut est cisco. Lors de votre premire ouverture de session avec le nom d'utilisateur et le mot de passe par dfaut, vous tes invit entrer un nouveau mot de passe.
d'utilisateurs s'affiche. Cette page affiche les utilisateurs dfinis dans le systme.
TAPE 2 Cliquez sur Ajouter pour ajouter un nouvel utilisateur ou sur Modifier pour en
207
Configuration de la scurit
Dfinition d'utilisateurs
16
Nom d'utilisateur : saisissez un nouveau nom d'utilisateur. Mot de passe : saisissez un mot de passe. Si la robustesse et la complexit du mot de passe sont dfinies, le mot de passe doit se conformer ces directives. Cette configuration est prsente dans la section Dfinition de rgles de complexit des mots de passe. Confirmer le mot de passe : saisissez nouveau fois le mot de passe. Mesure de la robustesse du mot de passe : affiche le niveau de robustesse du mot de passe. La stratgie de robustesse et de complexit du mot de passe est configure dans la rubrique Robustesse du mot de passe.
TAPE 4 Cliquez sur Appliquer. L'utilisateur est ajout et le commutateur mis jour.
Longueur minimale du mot de passe : saisissez le nombre minimum de caractres requis pour les mots de passe. Nombre minimum de classes de caractres : saisissez le nombre minimum de classes de caractres dont doit se composer un mot de passe : caractres minuscules (1), majuscules (2), numriques (3) ou spciaux (4).
208
Configuration de la scurit
Configuration de TACACS+
16
Le nouveau mot de passe doit tre diffrent de l'actuel : si cette option est slectionne, le nouveau mot de passe ne pourra pas tre identique au mot de passe actuel. Expiration du mot de passe : si cette option est slectionne, l'utilisateur sera invit modifier le mot de passe une fois le Dlai d'expiration du mot de passe atteint. Dlai d'expiration du mot de passe : saisissez la dure (en jours) au bout de laquelle l'utilisateur devra modifier le mot de passe. La valeur par dfaut est de 180 jours.
TAPE 4 Cliquez sur Appliquer. Les paramtres du mot de passe sont dfinis et le
Configuration de TACACS+
Le commutateur est un client TACACS+ (Terminal Access Controller Access Control System) qui s'appuie sur un serveur TACACS+ afin de fournir une scurit centralise en autorisant et en authentifiant les utilisateurs qui essaient d'accder au commutateur et de l'administrer. TACACS+ fournit les services suivants : Authentification : assure l'authentification des administrateurs se connectant au commutateur en utilisant des noms d'utilisateur et des mots de passe dfinis par l'utilisateur. Autorisation : effectue au moment de la connexion. Une fois la session d'authentification termine, une session d'autorisation commence en utilisant le nom d'utilisateur authentifi. Le serveur TACACS+ vrifie ensuite les privilges de l'utilisateur.
Le protocole TACACS+ garantit l'intgrit du rseau, via des changes de protocoles crypts entre l'appareil et le serveur TACACS+. TACACS+ est uniquement pris en charge sur IPv4. Les serveurs TACACS+ ne peuvent pas tre utiliss en tant que serveurs d'authentification 802.1X pour vrifier les informations des utilisateurs rseau cherchant se connecter aux rseaux via le commutateur.
209
Configuration de la scurit
Configuration de TACACS+
16
Certains serveurs TACACS+ prennent en charge une connexion unique qui permet l'appareil de recevoir toutes les informations sur une mme connexion. Si le serveur TACACS+ ne prend pas cette fonction en charge, l'appareil rtablit les connexions multiples.
La Table des serveurs TACACS+ affiche les paramtres par dfaut et les serveurs TACACS+ prcdemment dfinis.
TAPE 2 Saisissez la Chane de cl par dfaut. Il s'agit de la cl d'authentification et de
cryptage utilise pour communiquer avec les serveurs TACACS+. Le commutateur peut tre configur de faon utiliser cette cl ou utiliser une cl pour un serveur individuel (procdure dcrite dans la section Ajout d'un serveur TACACS+). Si vous n'saisissez pas de chane de cl dans ce champ, la cl du serveur individuel devra correspondre la cl de cryptage utilise par le serveur TACACS+. Si vous saisissez une chane de cl dans ce champ ainsi qu'une chane de cl pour un serveur TACACS+ individuel, la chane de cl configure pour le serveur TACACS+ individuel sera prioritaire.
TAPE 3 Dans le champ Dlai de rponse, saisissez la dure qui s'coule avant l'expiration
de la connexion entre le commutateur et le serveur TACACS+. Si aucune valeur n'est indique dans la rubrique Ajouter un serveur TACACS+ d'un serveur spcifique, la valeur de ce champ sera utilise.
TAPE 4 Cliquez sur Appliquer. Les paramtres TACACS+ et le commutateur sont mis
jour.
210
Configuration de la scurit
Configuration de TACACS+
16
Adresse IP du serveur : saisissez l'adresse IP du serveur TACACS+. Priorit : saisissez le niveau de priorit de ce serveur, qui sera utilis pour dfinir l'ordre d'utilisation des diffrents serveurs TACACS+. Zro correspond au serveur TACACS disposant de la priorit la plus leve : il s'agit du serveur qui sera utilis en premier. Si le commutateur ne parvient pas tablir de session avec le serveur possdant la priorit la plus leve, il essaiera avec le serveur disposant du niveau de priorit suivant. Chane de cl : saisissez la cl d'authentification et de cryptage du serveur TACACS+. La cl doit correspondre la cl de cryptage configure sur le serveur TACACS+. Slectionnez Valeurs par dfaut pour utiliser la chane de cl dfinie sous les paramtres TACACS+ par dfaut. Dlai de rponse : saisissez la dure qui s'coule avant l'expiration de la connexion entre le commutateur et le serveur TACACS+. Slectionnez Valeurs par dfaut pour utiliser la valeur par dfaut affiche sur la page. Port IP d'authentification : saisissez le numro de port via lequel s'opre la session TACACS+. Le port 49 est utilis par dfaut. Connexion unique : slectionnez cette option pour activer une connexion ouverte unique entre le commutateur et le serveur TACACS+.
TAPE 4 Cliquez sur Appliquer. Le serveur TACACS+ est ajout et le commutateur est mis
jour.
211
Configuration de la scurit
Configuration des paramtres RADIUS
16
La table RADIUS affiche les paramtres spcifiques de chaque serveur RADIUS dfini.
TAPE 2 Saisissez les paramtres RADIUS par dfaut. Les valeurs entres dans les
Paramtres par dfaut s'appliquent tous les serveurs. Si aucune valeur n'est entre pour un serveur spcifique, le commutateur utilise les valeurs indiques dans ces champs. Version IP : affiche la version IP prise en charge : sous-rseau IPv6 et/ou IPv4. Tentatives : saisissez le nombre de demandes transmises qui sont envoyes au serveur RADIUS avant que le systme considre qu'une dfaillance s'est produite. Dlai de rponse : saisissez le nombre de secondes pendant lesquelles le commutateur attend une rponse du serveur RADIUS avant de relancer la demande ou de passer au serveur suivant. Dlai d'inactivit : saisissez le nombre de minutes qui s'coulent avant qu'un serveur RADIUS non ractif soit contourn pour les demandes de services. Si la valeur est gale 0, le serveur n'est pas contourn. Chane de cl : saisissez la chane de cl utilise par dfaut pour l'authentification et le cryptage des attributs RADIUS communiqus entre le commutateur et le serveur RADIUS. La cl doit correspondre celle configure sur le serveur RADIUS. Une chane de cl est utilise pour
212
Configuration de la scurit
Configuration des paramtres RADIUS
16
crypter les communications l'aide de MD5. Une cl configure pour un serveur RADIUS individuel est prioritaire par rapport la cl par dfaut (utilise si aucune cl n'a t fournie pour un serveur individuel).
TAPE 3 Cliquez sur Appliquer. Les paramtres RADIUS du commutateur sont mis jour.
Cette page comporte des champs qui doivent tre renseigns individuellement pour un serveur.
TAPE 3 Renseignez les champs correspondant chaque serveur. Pour utiliser les valeurs
par dfaut entres dans la rubrique RADIUS, slectionnez Valeurs par dfaut. Version IP : slectionnez la version IP de l'adresse IP du serveur RADIUS. Adresse IP du serveur : saisissez l'adresse du serveur RADIUS. Priorit : saisissez la priorit du serveur. La priorit dtermine l'ordre dans lequel le commutateur essaie de contacter les serveurs pour authentifier un utilisateur. Le commutateur commencera par le serveur RADIUS ayant la priorit la plus leve (priorit zro). Chane de cl : saisissez la chane de cl utilise pour l'authentification et le cryptage des attributs RADIUS communiqus entre le commutateur et le serveur RADIUS. La cl doit correspondre celle configure sur le serveur RADIUS individuel. Si ce champ n'est pas renseign, le commutateur essaie de s'authentifier sur le serveur RADIUS en utilisant la chane de cl par dfaut. Dlai de rponse : saisissez le nombre de secondes pendant lesquelles le commutateur attend une rponse du serveur RADIUS avant de relancer la demande ou de passer au serveur suivant. Si aucune valeur n'est entre dans ce champ, le commutateur utilise la valeur de dlai par dfaut. Port d'authentification : saisissez le numro de port UDP du serveur RADIUS pour les demandes d'authentification. Port de connexion : saisissez le numro de port UDP du serveur RADIUS pour les demandes de connexion.
213
Configuration de la scurit
Authentification de l'accs de gestion
16
Nombre de tentatives : saisissez le nombre de demandes qui seront envoyes au serveur RADIUS avant que le systme considre qu'une dfaillance s'est produite. Slectionnez Valeurs par dfaut pour utiliser la valeur par dfaut du nombre de tentatives. Dlai d'inactivit : saisissez le nombre de minutes qui doivent s'couler avant qu'un serveur RADIUS non ractif soit contourn pour les demandes de services. Slectionnez Valeurs par dfaut pour utiliser la valeur par dfaut du dlai d'inactivit. Si vous saisissez 0 minute, aucun dlai d'inactivit ne sera appliqu. Type d'utilisation : saisissez le type d'authentification du serveur RADIUS. Les options disponibles sont les suivantes : Connexion : le serveur RADIUS est utilis pour authentifier les utilisateurs qui souhaitent administrer le commutateur. 802.1X : le serveur RADIUS est utilis pour l'authentification dans le contrle d'accs 802.1X. Tout : le serveur RADIUS est utilis pour authentifier l'utilisateur qui souhaite administrer le commutateur et pour l'authentification dans le contrle d'accs 802.1X.
TAPE 4 Cliquez sur Appliquer. Le serveur RADIUS est ajout et le commutateur est mis
jour.
214
Configuration de la scurit
Authentification de l'accs de gestion
16
Si une mthode d'authentification choue ou si le niveau de privilge d'un utilisateur est insuffisant, ce dernier se voit refuser l'accs au commutateur. En d'autres termes, si l'authentification choue au niveau d'une mthode d'authentification, le commutateur n'essaie pas d'utiliser la mthode d'authentification suivante et s'arrte. Pour dfinir les mthodes d'authentification d'une mthode d'accs :
TAPE 1 Cliquez sur Scurit > Authentification de l'accs de gestion. La rubrique
Mthodes facultatives et Mthodes slectionnes. La premire mthode slectionne correspond celle qui sera utilise en premier. RADIUS : l'utilisateur est authentifi sur un serveur RADIUS. Vous devez avoir configur un ou plusieurs serveurs RADIUS. TACACS+ : l'utilisateur est authentifi sur le serveur TACACS+. Vous devez avoir configur un ou plusieurs serveurs TACACS+. Aucun : l'utilisateur est autoris accder au commutateur sans avoir t authentifi. Local : le nom d'utilisateur et le mot de passe sont compars aux donnes stockes sur le commutateur local. Ces paires nom d'utilisateur-mot de passe sont dfinies dans la rubrique Comptes d'utilisateurs.
REMARQUE La mthode d'authentification Local ou Aucun doit toujours
tre slectionne en dernier. Toutes les mthodes d'authentification slectionnes aprs Local ou Aucun sont ignores.
TAPE 4 Cliquez sur Appliquer. Les mthodes d'authentification slectionnes sont
215
Configuration de la scurit
Profils d'accs
16
Profils d'accs
L'authentification d'accs de gestion configure les mthodes d'authentification utiliser pour authentifier et autoriser les utilisateurs partir de diffrentes mthodes d'accs de gestion. Les profils d'accs de gestion limitent l'accs de gestion partir d'interfaces et/ou de sources spcifiques. Seuls les utilisateurs qui passent avec succs la fois le profil d'accs actif et l'authentification d'accs de gestion se voient accorder un accs de gestion au commutateur. Rgles, filtres et lments des profils d'accs Les profils d'accs se composent de rgles grant l'autorisation d'accs au commutateur. Chaque profil d'accs peut se composer d'une ou de plusieurs rgles. Les rgles sont excutes dans l'ordre c'est--dire en, en fonction de leur priorit dans le profil d'accs (de haut en bas). Les rgles sont composes de filtres qui incluent les lments suivants : Mthodes d'accs : mthodes permettant l'accs au commutateur et sa gestion : Telnet Telnet scuris (SSH) HTTP (Hypertext Transfer Protocol) HTTP scuris (HTTPS) Simple Network Management Protocol (SNMP, protocole simple de gestion de rseau) Tous les lments ci-dessus
Action : permet d'autoriser ou de refuser l'accs une interface ou une adresse source. Interface : les ports, LAG ou VLAN autoriss ou non accder l'utilitaire Web de configuration du commutateur. Adresse IP source : adresses ou sous-rseaux IP. L'accs aux mthodes de gestion peut diffrer selon les groupes d'utilisateurs. Par exemple, un groupe d'utilisateurs pourrait tre en mesure d'accder au module du commutateur uniquement via une session HTTPS tandis qu'un autre serait en mesure d'y accder en utilisant des sessions HTTPS et Telnet.
216
Configuration de la scurit
Profils d'accs
16
Profil d'accs actif La rubrique Profils d'accs affiche les profils d'accs et tous les profils d'accs crs par des utilisateurs. Un seul profil d'accs peut tre actif sur le commutateur et toute tentative d'accs ce dernier doit respecter les rgles du profil d'accs actif. La recherche dans le profil d'accs actif s'effectue en utilisant une mthode de premire correspondance. Le commutateur cherche si le profil d'accs actif autorise de faon explicite l'accs de gestion au commutateur. Si aucune correspondance n'est trouve, l'accs est refus. Lorsqu'une tentative d'accs au commutateur s'effectue en violation du profil d'accs actif, le commutateur gnre un message SYSLOG pour en avertir l'administrateur systme. Si un profil d'accs limit la console a t activ, une connexion directe de la station de gestion au port physique de la console situ sur le commutateur constitue le seul moyen de le dsactiver. Une fois qu'un profil d'accs a t dfini, des rgles supplmentaires peuvent tre ajoutes ou modifies via la rubrique Rgles de profils.
rubrique Profils d'accs s'affiche. Cette page affiche tous les profils d'accs, qu'ils soient actifs ou non.
TAPE 2 Pour modifier le profil d'accs actif, slectionnez un profil dans le menu droulant
Profil d'accs actif et cliquez sur Appliquer. Le profil choisi devient alors le profil d'accs actif. Un message d'avertissement s'affiche si vous avez slectionn Console uniquement. Si vous poursuivez, vous serez immdiatement dconnect de l'utilitaire Web de configuration du commutateur et ne pourrez plus accder au commutateur que via le port console. Si vous slectionnez un autre profil d'accs, un message s'affiche pour vous avertir que, selon le profil d'accs slectionn, vous pourriez tre dconnect de l'utilitaire Web de configuration du commutateur.
217
Configuration de la scurit
Profils d'accs
16
TAPE 3 Cliquez sur OK pour slectionner le profil d'accs actif ou sur Annuler pour
vous permet de configurer un nouveau profil ainsi qu'une rgle. Accdez la section Dfinition de rgles de profils pour obtenir des instructions sur la conception d'une rgle.
TAPE 5 Saisissez les paramtres.
Nom du profil d'accs : saisissez un nom pour votre profil d'accs. Ce nom peut comporter jusqu' 32 caractres. Priorit des rgles : saisissez la priorit des rgles. Lorsque le paquet est mis en correspondance avec une rgle, les groupes d'utilisateurs se voient accorder ou refuser l'accs au commutateur. La priorit des rgles est indispensable pour faire correspondre les paquets aux rgles, la correspondance des paquets tant tablie sur une base de premire correspondance. Le 1 correspond la priorit la plus leve. Mthode de gestion : slectionnez la mthode de gestion pour laquelle la rgle est dfinie. Les utilisateurs disposant de ce profil d'accs peuvent uniquement accder au commutateur en utilisant la mthode de gestion slectionne. Les options disponibles sont les suivantes : Tout : affecte toutes les mthodes de gestion la rgle. Telnet : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs Telnet se voient autoriser ou refuser l'accs. Secure Telnet (SSH) : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs SSH se voient autoriser ou refuser l'accs. HTTP : affecte un accs HTTP la rgle. Les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs HTTP se voient autoriser ou refuser l'accs. Secure HTTP (HTTPS) : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs HTTPS se voient autoriser ou refuser l'accs. SNMP : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs SNMP se voient autoriser ou refuser l'accs.
218
Configuration de la scurit
Profils d'accs
16
Action : slectionnez l'action rattache la rgle. Les options disponibles sont les suivantes : Autoriser : autorise l'accs au commutateur dans la mesure o l'utilisateur correspond aux paramtres du profil. Refuser : refuse l'accs au commutateur dans la mesure o l'utilisateur correspond aux paramtres du profil.
S'applique l'interface : slectionnez l'interface rattache la rgle. Les options disponibles sont les suivantes : Tout : s'applique tous les ports, VLAN et LAG. Dfini par l'utilisateur : s'applique uniquement au port, VLAN ou LAG slectionn.
S'applique l'adresse IP source : slectionnez le type d'adresse IP source auquel le profil d'accs s'applique. Le champ Adresse IP source est valide pour un sous-rseau. Slectionnez une des valeurs suivantes : Tout : s'applique tous les types d'adresses IP. Dfini par l'utilisateur : s'applique uniquement aux types d'adresses IP dfinis dans les champs.
Version IP : slectionnez la version IP prise en charge pour l'adresse source, IPv6 ou IPv4. Adresse IP : saisissez l'adresse IP source. Masque : slectionnez le format du masque de sous-rseau pour l'adresse IP source et saisissez une valeur dans l'un des champs : Masque de rseau : slectionnez le sous-rseau auquel l'adresse IP source appartient et saisissez le masque de sous-rseau en utilisant un format dcimal spar par des points. Longueur du prfixe : slectionnez la longueur du prfixe et saisissez le nombre d'octets compris dans le prfixe de ladresse IP source.
TAPE 6 Cliquez sur Appliquer. Le profil d'accs est cr et le commutateur mis jour. Vous
pouvez prsent slectionner ce profil d'accs en tant que profil d'accs actif.
219
Configuration de la scurit
Profils d'accs
16
profil s'affiche.
TAPE 4 Saisissez les paramtres.
Nom du profil d'accs : slectionnez un profil d'accs. Priorit des rgles : saisissez la priorit des rgles. Lorsque le paquet est mis en correspondance avec une rgle, les groupes d'utilisateurs se voient accorder ou refuser l'accs au commutateur. La priorit des rgles est indispensable pour faire correspondre les paquets aux rgles, la correspondance des paquets tant tablie sur une base de premire correspondance. Mthode de gestion : slectionnez la mthode de gestion pour laquelle la rgle est dfinie. Les options disponibles sont les suivantes : Tout : affecte toutes les mthodes de gestion la rgle. Telnet : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs Telnet se voient autoriser ou refuser l'accs.
220
Configuration de la scurit
Profils d'accs
16
Secure Telnet (SSH) : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs Telnet se voient autoriser ou refuser l'accs. HTTP : affecte un accs HTTP la rgle. Les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs HTTP se voient autoriser ou refuser l'accs. Secure HTTP (HTTPS) : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs HTTPS se voient autoriser ou refuser l'accs. SNMP : les utilisateurs demandant l'accs au commutateur et rpondant aux critres du profil d'accs SNMP se voient autoriser ou refuser l'accs.
Action : slectionnez Autoriser pour autoriser les utilisateurs qui essaient d'accder au commutateur en utilisant la mthode d'accs configure depuis l'interface et la source IP dfinies dans cette rgle. Ou slectionnez Refuser pour refuser l'accs. S'applique l'interface : slectionnez l'interface rattache la rgle. Les options disponibles sont les suivantes : Tout : s'applique tous les ports, VLAN et LAG. Dfini par l'utilisateur : s'applique uniquement au port, VLAN ou LAG slectionn.
S'applique l'adresse IP source : slectionnez le type d'adresse IP source auquel le profil d'accs s'applique. Le champ Adresse IP source est valide pour un sous-rseau. Slectionnez une des valeurs suivantes : Tout : s'applique tous les types d'adresses IP. Dfini par l'utilisateur : s'applique uniquement aux types d'adresses IP dfinis dans les champs.
Version IP : slectionnez la version IP prise en charge pour l'adresse source : IPv6 ou IPv4. Adresse IP : saisissez l'adresse IP source. Masque : slectionnez le format du masque de sous-rseau pour l'adresse IP source et saisissez une valeur dans l'un des champs : Masque de rseau : slectionnez le sous-rseau auquel l'adresse IP source appartient et saisissez le masque de sous-rseau en utilisant un format dcimal spar par des points.
221
Configuration de la scurit
Configuration des services TCP/UDP
16
Longueur du prfixe : slectionnez la longueur du prfixe et saisissez le nombre d'octets compris dans le prfixe de ladresse IP source.
Les connexions TCP actives s'affichent galement dans cette fentre. Pour configurer les services TCP/UDP :
TAPE 1 Cliquez sur Scurit > Services TCP/UDP. La rubrique Services TCP/UDP
s'affiche.
TAPE 2 Activez ou dsactivez les services TCP/UDP sur les services affichs.
La table des services TCP affiche les informations suivantes : Nom du service : mthode d'accs de gestion via laquelle le commutateur propose le service. Type : protocole IP utilis par le service. Adresse IP locale : adresse IP locale via laquelle le commutateur propose le service. Port local : port TCP local via lequel le commutateur propose le service. Adresse IP distante : adresse IP de l'appareil distant qui demande le service.
222
Configuration de la scurit
Dfinition du contrle des temptes
16
Port distant : port TCP de l'appareil distant qui demande le service. tat : tat du service.
La table des services UDP affiche les informations suivantes : Nom du service : mthode d'accs de gestion via laquelle le commutateur propose le service. Type : protocole IP utilis par le service. Adresse IP locale : adresse IP locale via laquelle le commutateur propose le service. Port local : port UDP local via lequel le commutateur propose le service. Instance d'application : instance de service du service UDP (par exemple, lorsque deux expditeurs envoient vers la mme destination).
TAPE 3 Cliquez sur Appliquer. Les services sont ajouts et le commutateur est mis jour.
223
Configuration de la scurit
Dfinition du contrle des temptes
16
temptes s'affiche. Cette page affiche les paramtres de contrle des temptes pour tous les ports. Tous les champs de cette page sont dcrits dans la rubrique Modifier le contrle des temptes, l'exception du Seuil de dbit de contrle des temptes (%). Il affiche le pourcentage de la bande passante totale disponible pour les paquets de monodiffusion inconnue, de multidiffusion et de diffusion avant l'application du contrle des temptes au niveau du port. La valeur par dfaut correspond 10 % du dbit maximum du port ; elle est dfinie dans la rubrique Modifier le contrle des temptes.
TAPE 2 Slectionnez un port puis cliquez sur Modifier. La rubrique Modifier le contrle
Port : slectionnez le port pour lequel activer le contrle des temptes. Contrle des temptes : slectionnez cette option pour activer le contrle des temptes. Seuil de dbit de contrle des temptes : saisissez le dbit maximum auquel les paquets inconnus peuvent tre transmis. Mode de contrle des temptes : slectionnez l'un des modes suivants : Monodiffusion inconnue, Multidiffusion et Diffusion : intgre l'ensemble du trafic de monodiffusion inconnue, de multidiffusion et de diffusion au sein du seuil de la bande passante. Multidiffusion et Diffusion : intgre le trafic de diffusion et de multidiffusion au sein du seuil de la bande passante. Diffusion uniquement : intgre uniquement le trafic de diffusion au sein du seuil de la bande passante.
TAPE 4 Cliquez sur Appliquer. Le contrle des temptes est modifi et le commutateur est
mis jour.
224
Configuration de la scurit
Configuration de la scurit des ports
16
Lorsqu'une trame d'une nouvelle adresse MAC est dtecte sur un port sur lequel elle n'est pas autorise (le port est verrouill de faon classique et une nouvelle adresse MAC est dtecte ou bien le port est verrouill de faon dynamique et le nombre maximal des adresses autorises a t dpass), il est fait appel au mcanisme de protection et l'une des actions suivantes peut s'appliquer : La trame est rejete. La trame est transmise. Le port est ferm.
Lorsque l'adresse MAC scurise est dtecte sur un autre port, la trame est transmise mais l'adresse MAC n'est pas apprise sur ce port. Outre l'une de ces actions, vous pouvez galement gnrer des messages trap ainsi qu'en limiter la frquence ou le nombre afin d'viter de surcharger les appareils.
REMARQUE Si vous souhaitez utiliser 802.1X sur un port, il doit tre en mode Htes multiples
(voir la rubrique 802.1x, Authentification htes et sessions). La rubrique Scurit des ports affiche les paramtres de scurit de tous les ports et LAG et permet de les modifier.
225
Configuration de la scurit
Configuration de la scurit des ports
16
s'affiche. Cette page affiche, en fonction du type d'interface slectionn, des informations pour l'ensemble des ports ou des LAG .
TAPE 2 Slectionnez une interface modifier et cliquez sur Modifier. La rubrique Modifier
Interface : slectionnez le nom de l'interface. tat de l'interface : slectionnez l'tat de verrouillage du port. Mode d'apprentissage : slectionnez le type de verrouillage du port. L'tat de l'interface doit tre dverrouill pour que ce champ puisse tre configur. Le champ Mode d'apprentissage n'est activ que si le champ tat de l'interface est verrouill. Pour modifier le Mode d'apprentissage, tat de l'interface doit tre dsactiv. Une fois ce mode modifi, vous pouvez rtablir le verrouillage de l'interface. Les options disponibles sont les suivantes : Verrouillage classique : verrouille immdiatement le port, quel que soit le nombre d'adresses ayant dj t apprises. Verrouillage dynamique limit : verrouille le port en supprimant les adresses MAC dynamiques actuellement associes au port. Le port apprend au maximum le nombre d'adresses autorises sur le port. Le rapprentissage et le dlai d'expiration des adresses MAC sont activs.
Nombre max. d'adresses autorises : saisissez le nombre maximum d'adresses MAC pouvant tre apprises sur le port dans la mesure o le mode d'apprentissage Verrouillage dynamique limit est slectionn. Cette plage est comprise entre 0 et 256. 0 constitue la valeur par dfaut ; elle indique que seules les adresses statiques seront actives sur l'interface. Action en cas de violation : slectionnez l'action appliquer aux paquets qui arrivent sur un port verrouill. Les options disponibles sont les suivantes : Abandonner : abandonne les paquets en provenance d'une source non apprise. Transfrer : transfre les paquets en provenance d'une source inconnue sans apprendre l'adresse MAC.
226
Configuration de la scurit
802.1X
16
Arrter : abandonne les paquetsen provenance d'une source non apprise et ferme le port. Le port reste ferm jusqu' sa ractivation ou jusqu'au redmarrage du commutateur.
Trap : slectionnez cette option pour activer les messages traps lorsqu'un paquet est reu sur un port verrouill. Ceci est appropri pour les violations de verrouillage. Pour le Verrouillage classique, ceci correspondra toute nouvelle adresse reue. Pour le Verrouillage dynamique limit, cela correspondra toute nouvelle adresse qui dpassera le nombre des adresses autorises. Frquence du/des Trap(s) : saisissez la dure minimale (en secondes) qui s'coulera entre deux traps .
TAPE 4 Cliquez sur Appliquer. La scurit des ports est modifie et le commutateur mis
jour.
802.1X
Le contrle d'accs bas sur les ports a pour effet de crer deux types d'accs sur les ports du commutateur. Un point d'accs active la communication non contrle, ceci indpendamment de l'tat d'autorisation (port non contrl). L'autre point d'accs autorise la communication entre l'hte et le commutateur. 802.1X est une norme IEEE relative au contrle d'accs rseau bas sur les ports. L'infrastructure 802.1X permet un appareil (le demandeur) de demander l'accs un port partir d'un appareil distant (l'authentificateur) auquel il est connect. Ce n'est qu'une fois que le demandeur est authentifi et autoris qu'il peut envoyer des donnes ce port. Dans le cas contraire, l'authentificateur ignore les donnes du demandeur sauf si celles-ci sont envoyes un VLAN invit et/ou des VLAN non authentifis. L'authentification du demandeur est effectue par un serveur RADIUS externe via l'authentificateur. Celui-ci contrle le rsultat de l'authentification. Dans la norme 802.1x, un appareil peut tre simultanment un demandeur et un authentificateur au niveau d'un port et ainsi demander et accorder l'accs un port. Cet appareil n'est toutefois que l'authentificateur ; il ne peut faire office de demandeur.
227
Configuration de la scurit
802.1X
16
802.1X session unique : A1 : session unique/hte unique. Dans ce mode, le commutateur, en tant qu'authentificateur, prend en charge une session 802.1X et accorde l'autorisation d'utiliser le port au demandeur autoris au niveau d'un port. Toute demande d'accs effectue par les autres appareils partir du mme port est refuse jusqu' ce que le demandeur autoris n'utilise plus le port ou si l'accs s'effectue vers le VLAN non authentifi ou le VLAN invit. Session unique / htes multiples : respecte la norme 802.1X. Dans ce mode, le commutateur, en tant qu'authentificateur, autorise tout appareil utiliser un port tant que l'autorisation a t accorde un demandeur au niveau du port.
802.1X multi-sessions : chaque appareil (demandeur) se connectant un port doit tre authentifi et autoris par le commutateur (authentificateur), sparment, dans une session 802.1x distincte. Il s'agit du seul mode qui prend en charge l'affectation dynamique de VLAN (ADV).
Affectation dynamique de VLAN (ADV) L'affectation dynamique de VLAN (ADV) est galement appele affectation de VLAN RADIUS dans ce guide. Lorsqu'un port est en mode Sessions multiples et compatible ADV, le commutateur ajoute automatiquement le port en tant que membre non marqu du VLAN affect par le serveur RADIUS lors du processus d'authentification. Le commutateur classe les paquets non marqus vers le VLAN affect si ces paquets proviennent des appareils ou ports authentifis et autoriss. Pour qu'un appareil soit authentifi et autoris sur un port compatible ADV : Le serveur RADIUS doit authentifier l'appareil et lui affecter de faon dynamique un VLAN. Le VLAN affect ne doit pas correspondre au VLAN par dfaut et doit avoir t cr au niveau du commutateur. Le commutateur ne doit pas tre configur pour utiliser la fois une ADV et un groupe VLAN bas sur MAC. Un serveur RADIUS doit prendre en charge l'ADV avec les attributs RADIUS tunnel-type (64) = VLAN (13), tunnel-media-type (65) = 802 (6) et tunnelprivate-group-id = un ID VLAN.
228
Configuration de la scurit
802.1X
16
802.1X : le commutateur prend en charge le mcanisme d'authentification tel que dcrit dans la norme pour authentifier et autoriser les demandeurs 802.1X. Bases sur MAC : le commutateur peut tre configur pour utiliser ce mode afin d'authentifier et d'autoriser les appareils qui ne prennent pas en charge la norme 802.1X. Le commutateur mule le rle du demandeur de la part des appareils non compatibles 802.1X et utilise l'adresse MAC des appareils en tant que nom d'utilisateur et mot de passe lors de la communication avec les serveurs RADIUS. Les adresses MAC du nom d'utilisateur et du mot de passe doivent tre saisies en minuscules et ne comporter aucun caractre de dlimitation (par exemple : aaccbb55ccff). Pour utiliser l'authentification base sur MAC au niveau d'un port : Un VLAN invit doit tre dfini. Le port doit tre compatible avec le VLAN invit. Les paquets du premier demandeur sur le port avant l'obtention de l'autorisation doivent tre non marqus.
Vous pouvez configurer un port pour qu'il utilise l'authentification 802.1X, base sur MAC ou 802.1X et base sur MAC. Si un port est configur pour utiliser la fois l'authentification 802.1X et l'authentification base sur MAC, le demandeur 802.1X est prioritaire par rapport aux appareils non compatibles avec la norme 802.1X. Le demandeur 802.1X devance un appareil autoris mais non compatible 802.1X sur un port configur avec une session unique. VLAN non authentifis et le VLAN invit Les VLAN non authentifis et le VLAN invit fournissent l'accs aux services qui ne ncessitent pas que les ports ou appareils d'abonnement disposent d'une authentification et d'une autorisation bases sur MAC ou 802.1X. Un VLAN non authentifi est un VLAN qui autorise l'accs via des appareils ou ports autoriss et non autoriss. Vous pouvez configurer un ou plusieurs VLAN pour qu'ils soient non authentifis en suivant les instructions prsentes dans la section Cration de VLAN du chapitre Configuration de la scurit. Un VLAN non authentifi est dot des caractristiques suivantes : Il doit s'agir d'un VLAN statique ; il ne peut correspondre au VLAN invit ni au VLAN par dfaut. Les ports membres doivent tre configurs manuellement en tant que membres marqus.
229
Configuration de la scurit
802.1X
16
Les ports membres doivent tre des ports rseau et/ou gnraux. Un port d'accs ne peut pas tre membre d'un VLAN non authentifi.
Le VLAN invit, s'il est configur, est un VLAN statique dot des caractristiques suivantes : Il doit tre dfini manuellement partir d'un VLAN statique existant. Il est automatiquement disponible, mais uniquement pour les ports d'appareils ou appareils non autoriss qui sont connects et sur lesquels le VLAN invit est activ. Si le VLAN invit est activ sur un port, le commutateur ajoute automatiquement ce dernier en tant que membre non marqu du VLAN invit lorsque le port n'est pas autoris et supprime le port du VLAN invit lorsque le premier demandeur du port est autoris. Le VLAN invit ne peut tre utilis en tant que VLAN voix ni en tant que VLAN non authentifi.
Le commutateur utilise galement le VLAN invit pour le processus d'authentification sur les ports configurs avec le mode Sessions multiples et l'authentification base sur MAC. Vous devez donc configurer un VLAN invit avant de pouvoir utiliser le mode d'authentification MAC.
Configuration de la scurit
802.1X
16
4. Dfinissez les paramtres d'authentification des htes pour chaque port depuis la rubrique Port d'authentification. 5. Affichez l'historique d'authentification 802.1X partir de la rubrique Htes authentifis.
s'affiche.
TAPE 2 Saisissez les paramtres.
Authentification base sur les ports : permet d'activer ou de dsactiver l'authentification 802.1X base sur les ports. Mthode d'authentification : slectionnez les mthodes d'authentification des utilisateurs. Les options disponibles sont les suivantes : RADIUS, aucune : effectue tout d'abord l'authentification des ports en utilisant le serveur RADIUS. Si aucune rponse n'est reue de ce serveur (par exemple s'il n'est pas actif), aucune authentification n'est ralise et la session est autorise. RADIUS : authentifie l'utilisateur sur le serveur RADIUS. Si aucune authentification n'est ralise, la session n'est pas autorise. Aucune : n'authentifie pas l'utilisateur. Autorise la session.
VLAN invit : slectionnez cette option pour permettre l'utilisation d'un VLAN invit pour les ports non autoriss. Si un VLAN invit est activ, tous les ports non autoriss se connectent automatiquement au VLAN slectionn dans le champ ID du VLAN invit. Si un port est par la suite autoris, il est supprim du VLAN invit. ID du VLAN invit : slectionnez le VLAN invit dans la liste des VLAN.
231
Configuration de la scurit
802.1X
16
Dlai d'expiration VLAN invit : dfinissez une priode : Une fois la connexion tablie, si le logiciel ne dtecte pas le demandeur 802.1X ou si l'authentification a chou, le port est ajout au VLAN invit, uniquement une fois le Dlai d'expiration VLAN invit atteint. Si l'tat du port passe d'Autoris Non autoris, le port est ajout au VLAN invit, uniquement une fois le dlai d'expiration du VLAN invit atteint.
La Table d'authentification des VLAN affiche tous les VLAN et indique si l'authentification a t active sur chacun d'eux.
TAPE 3 Cliquez sur Appliquer. Les proprits 802.1X sont modifies et le commutateur
s'affiche.
TAPE 2 Slectionnez un VLAN et cliquez sur Modifier. La rubrique Modifier
non authentifi.
TAPE 5 Cliquez sur Appliquer. Le commutateur est mis jour.
232
Configuration de la scurit
802.1X
16
d'authentification s'affiche. Cette page affiche les paramtres d'authentification de tous les ports.
d'authentification s'affiche.
TAPE 2 Slectionnez un port puis cliquez sur Modifier. La rubrique Modifier
Port : slectionnez un port. Nom d'utilisateur : affiche le nom d'utilisateur du port. Contrle de port actuel : affiche l'tat actuel de l'autorisation du port. Si l'tat est Autoris, le port est authentifi ou le Contrle de port administratif est en Autorisation force. l'inverse, si l'tat est Non autoris, le port est non authentifi ou le Contrle de port administratif est en Non-autorisation force.
233
Configuration de la scurit
802.1X
16
Contrle de port administratif : affiche l'tat d'autorisation du port administratif. Les options disponibles sont les suivantes : Non-autorisation force : refuse l'accs l'interface en passant cette dernire en mode non autoris. Le commutateur ne fournit pas de services d'authentification au client via l'interface. Automatique : active l'authentification et l'autorisation bases sur les ports sur le commutateur. L'interface bascule entre un tat autoris ou non autoris en fonction de l'change d'authentification entre le commutateur et le client. Autorisation force : autorise l'interface sans authentification.
Affectation VLAN RADIUS : slectionnez cette option pour activer l'affectation dynamique de VLAN sur le port slectionn. L'affectation dynamique de VLAN n'est possible que si le mode 802.1X est dfini sur Sessions multiples. (Une fois l'authentification ralise, le port se connecte au VLAN demandeur en tant que port non marqu dans ce VLAN.)
ASTUCE Pour que la fonctionnalit d'affectation dynamique de VLAN fonctionne, le commutateur a besoin que le serveur RADIUS envoie les attributs suivants (tel que dfini dans la RFC 3580) : [64] Tunnel-Type = VLAN (type 13) [65] Tunnel-Medium-Type = 802 (type 6) [81] Tunnel-Private-Group-Id = ID VLAN VLAN invit : slectionnez cette option pour indiquer que l'utilisation d'un VLAN invit prcdemment dfini est active pour le commutateur. Les options disponibles sont les suivantes : Slectionn : permet d'utiliser un VLAN invit pour les ports non autoriss. Si un VLAN invit est activ, le port non autoris se connecte automatiquement au VLAN slectionn dans le champ ID du VLAN invit de la rubrique Authentification des ports 802.1X. Aprs un chec d'authentification et si le VLAN invit est activ au niveau global sur le port indiqu, le VLAN invit est automatiquement affect aux ports non autoriss en tant que VLAN non marqu. Supprim : dsactive le VLAN invit sur le port.
234
Configuration de la scurit
802.1X
16
Mthode d'authentification : slectionnez la mthode d'authentification pour le port. Les options disponibles sont les suivantes : 802.1X uniquement : l'authentification 802.1X est la seule mthode d'authentification applique sur le port. MAC uniquement : le port est authentifi en fonction de l'adresse MAC du demandeur. Seules huit authentifications bases sur MAC peuvent tre utilises sur le port. 802.1X et MAC : l'authentification 802.1X et l'authentification base sur MAC sont appliques sur le commutateur. L'authentification 802.1X est prioritaire.
le mot de passe du demandeur du serveur RADIUS doivent correspondre l'adresse MAC du demandeur. L'adresse MAC doit tre en minuscules et saisie sans les sparateurs : ou - , par exemple : 0020aa00bbcc. Rauthentification priodique : slectionnez cette option pour autoriser les tentatives de rauthentification du port une fois la Priode de rauthentification spcifie expire. Priode de rauthentification : saisissez le dlai (en secondes) au bout duquel le port slectionn est rauthentifi. Rauthentifier maintenant : slectionnez cette option pour permettre la rauthentification immdiate du port. tat de l'authentificateur : affiche l'tat dfini de l'autorisation du port. Les options disponibles sont les suivantes : Autorisation force : l'tat du port contrl est dfini sur Autorisation force (le trafic est transfr). Non-autorisation force : l'tat du port contrl est dfini sur Nonautorisation force (le trafic est abandonn).
REMARQUE Si l'tat est du port n'est pas Autorisation force ou Nonautorisation force, il est en Mode automatique et l'authentificateur affiche l'tat de l'authentification en cours. Une fois le port authentifi, l'tat indique Authentifi.
Priode : affecte une limite au temps d'autorisation d'utilisation du port spcifique si 802.1X a t activ (Authentification base sur les ports est coch). Nom de priode : slectionnez le profil qui spcifie la priode.
235
Configuration de la scurit
802.1X
16
Priode silencieuse : saisissez le dlai (en secondes) pendant lequel le commutateur reste en tat silencieux aprs l'chec d'un change d'authentification. Renvoi d'EAP : saisissez le nombre de secondes pendant lesquelles le commutateur attend une rponse une demande/trame d'identit EAP (Extensible Authentication Protocol) du demandeur (client) avant de renvoyer la demande. Demandes EAP max. : saisissez le nombre maximum de demandes EAP pouvant tre envoyes. Si aucune rponse n'est reue aprs la priode dfinie (dlai pour demandeur), le processus d'authentification est relanc. Dlai pour demandeur : saisissez le nombre de secondes qui s'coulent avant que les demandes EAP soient renvoyes au demandeur. Dlai pour serveur : saisissez le nombre de secondes qui s'coulent avant que le commutateur renvoie une demande au serveur d'authentification. Cause d'arrt : affiche la raison pour laquelle l'authentification du port a t arrte, si applicable.
TAPE 4 Cliquez sur Appliquer. Les paramtres du port sont dfinis et le commutateur est
mis jour.
236
Configuration de la scurit
802.1X
16
Sessions multiples : permet un certain nombre d'htes spcifiques autoriss d'accder au port. Chaque hte est considr comme s'il tait le premier et seul utilisateur et doit tre authentifi. Le filtrage se fonde sur l'adresse MAC source.
Authentification htes et sessions s'affiche. Les paramtres d'authentification 802.1X sont dfinis pour tous les ports. Tous les champs, l'exception de ceux qui suivent, sont dcrits dans la rubrique Modifier l'authentification hte et session. tat : affiche l'tat de l'hte. Un astrisque indique que le port n'est pas reli ou est inactif. Les options disponibles sont les suivantes : Non autoris : soit le contrle du port est en Non-autorisation force et la liaison du port est inactive soit le contrle du port est en Automatique mais un client n'a pas t authentifi via le port. Autorisation force : les clients disposent d'un accs total au port. Hte unique verrouill : le contrle du port est en Automatique et un seul client a t authentifi via le port. Hte multiple (802.1X) : le contrle du port est en Automatique et le mode Htes multiples est activ. Au moins un client a t authentifi. Sessions multiples : le contrle du port est en Automatique et le mode Sessions multiples est activ. Au moins une session a t authentifie. Pas en mode automatique : le contrle automatique du port n'est pas activ.
Nombre de violations : affiche le nombre de paquets qui arrivent sur l'interface en mode hte unique, provenant d'un hte dont l'adresse MAC ne correspond pas celle du demandeur.
Port : saisissez un numro de port pour lequel l'authentification des htes est active.
237
Configuration de la scurit
802.1X
16
Authentification des htes : slectionnez un des modes dcrits ci-dessus, dans Dfinition de l'authentification des htes et sessions. Action en cas de violation : slectionnez l'action appliquer aux paquets arrivant en mode session unique/hte unique en provenance d'un hte dont l'adresse MAC ne correspond pas celle du demandeur. Les options disponibles sont les suivantes : Abandonner : abandonne les paquets. Transfrer : transfre les paquets. Arrter : abandonne les paquets et ferme le port. Le port reste ferm jusqu' sa ractivation ou jusqu'au redmarrage du commutateur.
Messages traps : slectionnez cette option pour activer les traps . Frquence des traps : dfinit la frquence d'envoi des interruptions l'hte. Ce champ ne peut tre dfini que si plusieurs htes sont dsactivs.
TAPE 4 Cliquez sur Appliquer. Les paramtres sont dfinis et le commutateur est mis
jour.
authentifis s'affiche. Cette page contient les champs suivants : Nom d'utilisateur : nom des demandeurs authentifis sur chaque port. Port : numro du port. Dure de session (JJ:HH:MM:SS) : dure pendant laquelle le demandeur tait connect au port.
238
Configuration de la scurit
802.1X
16
Mthode d'authentification : mthode utilise pour l'authentification de la dernire session. Les options disponibles sont les suivantes : Aucun : aucune authentification n'est applique ; l'autorisation est automatiquement accorde. RADIUS : le demandeur a t authentifi par un serveur RADIUS.
Dfinition de priodes
La rubrique Priode permet de dfinir la priode pendant laquelle 802.1X est actif sur les ports compatibles 802.1X. Une priode doit tre configure l'aide d'heures absolues de dbut et de fin. Si une priode se compose d'une priode absolue mais d'aucune plage rcurrente et qu'elle est configure sur un port compatible 802.1X, 802.1X est actif sur le port de l'heure absolue de dbut jusqu' l'heure absolue de fin. Si une priode comprend la fois des priodes absolues et des plages rcurrentes, le port n'est activ que si l'heure de dbut absolue et la priode rcurrente ont t atteintes. Le port est dsactiv une fois l'une des priodes atteintes. La priode rcurrente est ajoute la priode absolue depuis la rubrique Plage rcurrente. Si une priode comprend une ou plusieurs priodes rcurrentes et qu'elle est configure sur un port compatible 802.1X, 802.1X est actif sur le port au cours de la ou des priodes dfinies dans la ou les plages rcurrentes qui se situent galement entre l'heure de dbut et de fin absolue de la priode. Lorsqu'un port compatible 802.1X est en dehors de sa priode affecte et/ou de sa priode rcurrente, 802.1X est dsactiv et son tat quivaut Nonautorisation force. Le commutateur prend au maximum 20 priodes absolues en charge. Toutes les spcifications horaires sont interprtes comme tant en heure locale (l'heure d't n'a aucune incidence). Pour garantir que les entres de priodes prendront effet aux heures souhaites, l'horloge logicielle doit tre dfinie par l'utilisateur ou par le protocole SNTP. Dans le cas contraire, la priode ne sera pas applique. 20 plages au total peuvent tre dfinies.
239
Configuration de la scurit
802.1X
16
Vous pouvez par exemple utiliser cette fonctionnalit si vous souhaitez limiter aux heures ouvrables l'accs des ordinateurs au rseau. En dehors de cette priode, ils seront verrouills et l'accs au reste du rseau sera bloqu. Pour ajouter une priode absolue :
TAPE 1 Cliquez sur Scurit > 802.1X > Priode. La rubrique Priode s'affiche. TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une priode absolue s'affiche. TAPE 3 Saisissez les paramtres.
Nom de priode : saisissez un nom pour la priode. Heure de dbut absolue : dfinissez l'heure de dbut absolue : Immdiat : cliquez pour indiquer que la priode commence une fois qu'elle a t cre. Date et Heure : slectionnez la date et l'heure de dbut absolues. Heure de fin absolue : dfinissez l'heure de fin absolue : Infini : cliquez pour indiquer que la priode ne se termine jamais. Date et Heure : slectionnez la date et l'heure de fin absolues.
240
Configuration de la scurit
Prvention du dni de service
16
Nom de priode : slectionnez la priode laquelle la plage rcurrente sera ajoute. Heure de dbut rcurrente : saisissez le jour de la semaine et l'heure auxquels la plage rcurrente commence. Heure de fin rcurrente : saisissez le jour de la semaine et l'heure auxquels la plage rcurrente se termine.
241
Configuration de la scurit
Prvention du dni de service
16
de toutes les listes de contrle d'accs (ACL, Access Control Lists) et stratgies de QoS avances qui sont lies un port. Les ACL et les stratgies de QoS avances ne sont pas actives lorsque la Protection contre le dni de service est active sur un port. Pour accder aux paramtres globaux de prvention du dni de service :
TAPE 1 Cliquez sur Scurit > Prvention du dni de service > Paramtres de suite de
du dni de service. Dsactiver : dsactive la fonctionnalit. Protection de niveau systme : interdit les attaques de Distribution Stacheldraht, du cheval de Troie Invasor et du cheval de Troie Back Orifice. Protection de niveau systme et de niveau interface : interdit les attaques de type Adresse martienne, SYN, ICMP et Fragments IP.
systme et de niveau interface, activez une ou plusieurs des options de Protection contre les DoS suivantes : Distribution Stacheldraht : abandonne les paquets TCP dont le port TCP source est 16660. Cheval de Troie Invasor : abandonne les paquets TCP dont le port TCP de destination est 2140 et le port TCP source 1024. Cheval de Troie Back Orifice : abandonne les paquets UDP dont le port UDP de destination est 31337 et le port UDP source 1024.
Configuration de la scurit
Prvention du dni de service
16
Vous pouvez galement ajouter de nouvelles adresses martiennes pour la protection contre les DoS. Les paquets prsentant une adresse martienne sont abandonns. Pour dfinir des adresses martiennes :
TAPE 1 Cliquez sur Scurit > Prvention du dni de service > Adresses martiennes.
243
Configuration de la scurit
Prvention du dni de service
16
systme. La liste des adresses martiennes rserves s'affiche dans la Table des adresses martiennes.
TAPE 3 Pour ajouter une adresse martienne, cliquez sur Ajouter. La rubrique Ajouter des
Version IP : indique la version IP prise en charge. l'heure actuelle, la prise en charge n'est propose que pour IPv4. Adresse IP : saisissez les adresses IP martiennes pour lesquelles la Prvention du dni de service est active. Les valeurs disponibles sont les suivantes : De la liste rserve : slectionnez une adresse IP bien connue dans la liste rserve. Nouvelle adresse IP : saisissez une adresse IP.
Masque : saisissez le masque de l'adresse IP afin de dfinir la plage des adresses IP pour laquelle la Prvention du dni de service sera active. Les valeurs disponibles sont les suivantes : Masque de rseau : le masque de rseau est prsent dans un format dcimal spar par des points. Longueur du prfixe : saisissez le prfixe de l'adresse IP afin de dfinir la plage des adresses IP pour laquelle la Prvention du dni de service sera active.
TAPE 5 Cliquez sur Appliquer. Les adresses martiennes sont dfinies et le commutateur
Filtrage SYN s'affiche. Cette page affiche les filtres SYN existants.
244
Configuration de la scurit
Prvention du dni de service
16
Interface : slectionnez l'interface sur laquelle le filtre est dfini. Adresse IPv4 : saisissez l'adresse IP pour laquelle le filtre est dfini ou slectionnez Toutes les adresses. Masque de rseau : saisissez le masque de rseau pour lequel le filtre est activ au format d'adresse IP. Port TCP : slectionnez le port TCP de destination filtr : Ports connus : slectionnez un port dans la liste. Dfini par l'utilisateur : saisissez un numro de port. Tous les ports : slectionnez cette option pour indiquer que tous les ports seront filtrs.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un filtrage SYN s'affiche. TAPE 3 Saisissez les paramtres.
TAPE 4 Cliquez sur Appliquer. Le filtre SYN est dfini et le commutateur est mis jour.
La rubrique Protection du dbit SYN s'affiche. Cette page affiche la protection du dbit SYN actuellement dfinie par interface.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une protection du dbit SYN s'affiche. TAPE 3 Saisissez les paramtres.
Interface : slectionnez l'interface partir de laquelle la protection du dbit sera dfinie. Adresse IP : saisissez l'adresse IP pour laquelle la protection du dbit SYN est dfinie ou slectionnez Toutes les adresses. Si vous saisissez l'adresse IP, saisissez galement le masque ou la longueur du prfixe.
245
Configuration de la scurit
Prvention du dni de service
16
Masque de rseau : slectionnez le format du masque de sous-rseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : Masque : slectionnez le sous-rseau auquel l'adresse IP source appartient et saisissez le masque de sous-rseau dans un format dcimal spar par des points. Longueur du prfixe : slectionnez la longueur du prfixe et saisissez le nombre d'octets compris dans le prfixe de ladresse IP source.
TAPE 4 Cliquez sur Appliquer. La protection du dbit SYN est dfinie et le commutateur
rubrique Filtrage ICMP s'affiche. Cette page affiche les rgles en fonction desquelles les paquets ICMP sont bloqus sur chaque interface.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un filtrage ICMP s'affiche. TAPE 3 Saisissez les paramtres.
Interface : slectionnez l'interface sur laquelle le filtrage ICMP est dfini. Adresse IP : saisissez l'adresse IPv4 pour laquelle le filtrage des paquets ICMP est activ ou slectionnez Tout pour bloquer les paquets ICMP provenant de toutes les adresses source. Si vous saisissez l'adresse IP, saisissez galement le masque ou la longueur du prfixe. Masque de rseau : slectionnez le format du masque de sous-rseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : Masque : slectionnez le sous-rseau auquel l'adresse IP source appartient et saisissez le masque de sous-rseau dans un format dcimal spar par des points.
246
Configuration de la scurit
Prvention du dni de service
16
Longueur du prfixe : slectionnez la longueur du prfixe et saisissez le nombre d'octets compris dans le prfixe de ladresse IP source.
TAPE 4 Cliquez sur Appliquer. Le filtrage ICMP est dfini et le commutateur mis jour.
rubrique Filtrage de fragments IP s'affiche. Cette page affiche le blocage d'adresses IP fragmentes par interface.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une filtrage de fragments IP s'affiche. TAPE 3 Saisissez les paramtres.
Interface : slectionnez l'interface sur laquelle la fragmentation IP est dfinie. Adresse IP : saisissez un rseau IP partir duquel les paquets IP fragments sont filtrs ou slectionnez Tout pour bloquer les paquets IP fragments provenant de toutes les adresses. Si vous saisissez l'adresse IP, saisissez galement le masque ou la longueur du prfixe. Masque de rseau : slectionnez le format du masque de sous-rseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : Masque : slectionnez le sous-rseau auquel l'adresse IP source appartient et saisissez le masque de sous-rseau dans un format dcimal spar par des points. Longueur du prfixe : slectionnez la longueur du prfixe et saisissez le nombre d'octets compris dans le prfixe de ladresse IP source.
TAPE 4 Cliquez sur Appliquer. La fragmentation IP est dfinie et le commutateur mis jour.
247
17
Contrle d'accs
La fonction de liste de contrle d'accs (ACL, Access Control List) fait partie intgrante du mcanisme de scurit. Les dfinitions ACL sont un des mcanismes utiliss pour dfinir les flux de trafic auxquels une Qualit de service (QoS) spcifique doit tre attribue. Pour plus d'informations, consultez la section Configuration du QoS du chapitre Configuration du QoS (Qualit de service). Les ACL permettent aux gestionnaires de rseaux de dfinir des modles (filtres et actions) pour le trafic entrant. Les paquets entrant dans le commutateur au niveau d'un port ou LAG disposant d'une ACL active sont soit accepts, soit refuss. Ce chapitre contient les sections suivantes : Listes de contrle d'accs Dfinition d'ACL bases sur MAC ACL bases sur IPv4 ACL bases sur IPv6 Dfinition d'une liaison ACL
249
Contrle d'accs
Listes de contrle d'accs
17
Le commutateur prend en charge un maximum de 512 ACL et de 512 ACE. Lorsqu'un paquet correspond un filtre ACE, l'action ACE est applique et le traitement de cette ACL est arrt. Si le paquet ne correspond pas au filtre ACE, l'ACE suivant est trait. Si tous les ACE d'une ACL ont t traits sans trouver de correspondance et qu'il existe une autre ACL, celle-ci est traite de manire similaire. Si aucune correspondance n'est trouve sur l'ensemble des ACE de toutes les ACL appropries, le paquet est abandonn (action par dfaut). En raison de cette action d'abandon par dfaut, vous devez ajouter de faon explicite dans l'ACL des ACE visant autoriser l'ensemble du trafic, y compris le trafic de gestion, tel que telnet, HTTP ou SNMP, dirig vers le commutateur lui-mme. Si IGMP/MLD Snooping est activ sur un port li une ACL, ajoutez dans cette dernire des filtres ACE pour transfrer les paquets IGMP/MLD vers le commutateur. Dans le cas contraire, IGMP/MLD Snooping chouera au niveau du port. Les ACE tant appliqus selon une mthode de premire correspondance, l'ordre dans lequel ils apparaissent dans l'ACL est important. Les ACE sont traits de manire squentielle, en commenant par le premier. Les ACL peuvent tre utilises pour la scurit, par exemple en autorisant ou en refusant certains flux de trafic, ainsi que pour la classification et la hirarchisation du trafic en mode avanc de QoS.
REMARQUE Un port peut tre scuris avec des ACL ou configur avec une stratgie de QoS
avance ; il n'est toutefois pas possible d'employer ces deux mthodes. Il ne peut y avoir qu'une seul ACL par port, une exception prs : il est possible d'associer la fois une ACL base sur IP et une ACL base sur IPv6 un port unique. Pour associer plusieurs ACL un port, vous devez utiliser une stratgie comportant un ou plusieurs mappages de classe (class-map) (voir Configuration d'une table de stratgies en mode avanc de QoS). Les types suivants d'ACL peuvent tre dfinis (selon la partie de l'en-tte de la trame qui est examine) : ACL MAC : examine les champs de niveau 2 uniquement, comme dcrit dans la section Dfinition d'ACL bases sur MAC ACL IP : examine le niveau 3 de trames IP, comme dcrit dans la section ACL bases sur IPv4 ACL IPv6 : examine le niveau 3 de trames IPv4, comme dcrit dans la section Dfinition d'ACL bases sur IPv6
Si une trame correspond au filtre d'une ACL, elle est dfinie en tant que flux portant le nom de cette ACL. En mode avanc de QoS, il est possible de faire rfrence ces trames en utilisant ce nom de flux et la QoS peut tre applique ces dernires (voir Mode de QoS avanc).
Guide d'administration du commutateur administrable Cisco Small Business srie 300 250
Contrle d'accs
Listes de contrle d'accs
17
Cration d'un flux de travail d'ACL Pour crer des ACL et les associer une interface, procdez comme suit : 1. Crez un ou plusieurs des types d'ACL suivants : a. ACL base sur MAC en utilisant la rubrique ACL base sur MAC et la rubrique ACE bas sur MAC b. ACL base sur IP en utilisant la rubrique ACL base sur IPv4 et la rubrique ACE bas sur IPv4 c. ACL base sur IPv6 en utilisant la rubrique ACL base sur IPv6 et la rubrique ACE bas sur IPv6 2. Associez l'ACL avec les interfaces en utilisant la rubrique Liaison ACL. Modification d'un flux de travail d'ACL Vous ne pouvez modifier une ACL que si elle n'est pas en cours d'utilisation. La procdure suivante dcrit la suppression de la liaison d'une ACL, pralable ncessaire sa modification : Si l'ACL n'appartient pas une class-map Mode avanc de QoS, mais qu'elle a t associe une interface, supprimez sa liaison avec l'interface en utilisant la rubrique Liaison ACL. Si l'ACL fait partie de la class-map et qu'elle n'est pas lie une interface, vous pouvez la modifier. Si l'ACL fait partie d'une class-map contenue dans une stratgie lie une interface, vous devez supprimer la liaison comme suit : Supprimez la liaison entre la stratgie contenant la class-map et l'interface en utilisant Liaison de stratgies. Supprimez de la stratgie la class-map contenant l'ACL en utilisant la Configuration d'une stratgie (mode dition). Supprimez la class-map contenant l'ACL, en utilisant Dfinition d'un mappage de classe.
Une fois ces tapes menes bien, vous pouvez modifier l'ACL, en suivant la procdure dcrite dans les sections de ce chapitre.
251
Contrle d'accs
Dfinition d'ACL bases sur MAC
17
sur MAC s'ouvre. Cette page affiche une liste de toutes les ACL bases sur MAC actuellement dfinies.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une ACL base sur MAC s'ouvre. TAPE 3 Saisissez le nom de la nouvelle ACL dans le champ Nom de l'ACL. Les noms d'ACL
jour.
Nom de l'ACL : affiche le nom de l'ACL laquelle un ACE est ajout. Priorit : permet d'entrer la priorit de l'ACE. Les ACE disposant d'une priorit plus leve sont traits en premier. Le 1 correspond la priorit la plus leve.
252
Contrle d'accs
Dfinition d'ACL bases sur MAC
17
Action : slectionnez l'action appliquer en cas de correspondance. Les options disponibles sont les suivantes : Autoriser : transfre les paquets qui rpondent aux critres de l'ACE. Refuser : abandonne les paquets qui rpondent aux critres de l'ACE. Arrter : abandonne les paquets qui rpondent aux critres de l'ACE et dsactive le port partir duquel les paquets ont t reus. Vous pouvez ractiver ces ports via la rubrique Paramtres des ports.
Adresse MAC de destination : slectionnez Indiffr. si toutes les adresses de destination sont possibles ou Dfini par l'utilisateur pour entrer une adresse de destination ou une plage d'adresses de destination. Valeur de l'adresse MAC de destination : saisissez l'adresse MAC avec laquelle l'adresse MAC de destination sera mise en correspondance et saisissez galement, le cas chant, son masque. Masque gnrique MAC de destination : saisissez le masque pour dfinir une plage d'adresses MAC. Veuillez noter que ce masque est diffrent de ceux employs d'autres fins comme un masque de sous-rseau. Ici, dfinir un octet avec 1 signifie sans importance et 0 implique masquer cette valeur. Par exemple, la valeur FFFFFF000000 indique que seuls les trois premiers octets de l'adresse MAC de destination seront utiliss. Adresse MAC source : slectionnez Indiffr. si toutes les adresses source sont possibles ou Dfini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source. Valeur de l'adresse MAC source : saisissez l'adresse MAC avec laquelle l'adresse MAC source sera mise en correspondance et saisissez galement, le cas chant, son masque. Masque gnrique MAC source : saisissez le masque afin de dfinir une plage d'adresses MAC. ID VLAN : saisissez la partie ID VLAN de la balise VLAN mettre en correspondance. 802.1p : slectionnez Inclure pour utiliser 802.1p. Valeur 802.1p : saisissez la valeur 802.1p ajouter la balise VPT. Masque 802.1p : saisissez le masque gnrique appliquer la balise VPT. Ethertype : saisissez l'Ethertype de trame mettre en correspondance.
253
Contrle d'accs
ACL bases sur IPv4
17
TAPE 5 Cliquez sur Appliquer. L'ACE bas sur MAC est dfini et le commutateur mis jour.
REMARQUE Les ACL sont galement utilises en tant qu'lments de base pour les dfinitions
de flux relatifs la gestion de la QoS par flux (voir Mode de QoS avanc). La rubrique ACL base sur IPv4 permet d'ajouter des ACL au systme. Leurs rgles sont dfinies dans la rubrique ACE bas sur IPv4. Les ACL IPv6 sont dfinies dans la rubrique ACL base sur IPv6.
sur IPv4 s'ouvre. Cette page affiche toutes les ACL bases sur IPv4 actuellement dfinies.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une ACL base sur IPv4 s'ouvre. TAPE 3 Saisissez le nom de la nouvelle ACL dans le champ Nom de l'ACL. Les noms font
254
Contrle d'accs
ACL bases sur IPv4
17
jour.
TAPE 4 Cliquez sur Appliquer. L'ACL base sur IPv4 est dfinie et le commutateur mis
Nom de l'ACL : affiche le nom de l'ACL. Priorit : permet d'entrer la priorit. Les ACE disposant d'une priorit plus leve seront traites en priorit. Action : slectionnez l'action affecte au paquet correspondant l'ACE. Les options disponibles sont les suivantes : Autoriser : transfre les paquets qui rpondent aux critres de l'ACE. Refuser : abandonne les paquets qui rpondent aux critres de l'ACE. Arrter : abandonne le paquet qui rpond aux critres de l'ACE et dsactive le port auquel le paquet tait adress. Les ports sont ractivs partir de la rubrique Gestion des ports.
Protocole : choisissez de crer une ACE en fonction d'un protocole ou d'un ID de protocole spcifique. Slectionnez Tout (IP) pour accepter tous les protocoles IP. Sinon, slectionnez un des protocoles suivants dans la liste droulante : ICMP : Internet Control Message Protocol IGMP : Internet Group Management Protocol IP in IP : encapsulation IP in IP TCP : Transmission Control Protocol
255
Contrle d'accs
ACL bases sur IPv4
17
EGP : Exterior Gateway Protocol IGP : Interior Gateway Protocol UDP : User Datagram Protocol HMP : Host Mapping Protocol RDP : Reliable Datagram Protocol IDPR : Inter-Domain Policy Routing Protocol IPV6 : tunnellisation IPv6 sur IPv4 IPV6:ROUT : fait correspondre les paquets appartenant la route IPv6 sur IPv4 via une passerelle IPV6:FRAG : fait correspondre les paquets appartenant l'en-tte de fragment IPv6 sur IPv4 IDRP : Inter-Domain Routing Protocol RSVP : ReSerVation Protocol AH : Authentication Header (En-tte d'authentification) IPV6:ICMP : Internet Control Message Protocol EIGRP : Enhanced Interior Gateway Routing Protocol OSPF : Open Shortest Path First IPIP : IP in IP PIM : Protocol Independent Multicast L2TP : Layer 2 Tunneling Protocol ISIS : protocole spcifique IGP
ID protocole de mise en correspondance : au lieu de slectionner le nom, saisissez l'ID du protocole. Adresse IP source : slectionnez Indiffr. si toutes les adresses source sont acceptables ou Dfini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source. Valeur de l'adresse IP source : saisissez l'adresse IP avec laquelle l'adresse IP source sera mise en correspondance.
256
Contrle d'accs
ACL bases sur IPv4
17
Masque gnrique IP source : saisissez le masque pour dfinir une plage d'adresses IP. Adresse IP de destination : slectionnez Indiffr. si toutes les adresses de destination sont acceptables ou Dfini par l'utilisateur pour entrer une adresse de destination ou une plage d'adresses de destination. Valeur de l'adresse IP de destination : saisissez l'adresse IP avec laquelle l'adresse IP de destination sera mise en correspondance. Masque gnrique IP de destination : saisissez le masque pour dfinir une plage d'adresses IP. Port source : slectionnez une des options suivantes : Indiffr. : correspond tous les ports source. Unique : saisissez un seul port TCP/UDP source avec lequel les paquets sont mis en correspondance. Ce champ n'est actif que si TCP ou UDP est slectionn dans le menu droulant Slectionner dans la liste. Plage : slectionnez une plage de ports source TCP/UDP avec lesquels le paquet est mis en correspondance. Huit plages de ports diffrentes peuvent tre configures (partages entre les ports source et de destination). Les protocoles TCP et UDP disposent chacun de huit plages de ports.
Port de destination : slectionnez l'une des valeurs disponibles (identiques celles du champ Port source dcrit ci-dessus).
REMARQUE Vous devez spcifier le protocole IP de l'ACE avant de pouvoir
entrer le port source et/ou de destination. Indicateurs TCP : slectionnez un ou plusieurs indicateurs TCP avec lesquels filtrer les paquets. Les paquets filtrs sont transmis ou abandonns. Le filtrage de paquets par des indicateurs TCP amliore le contrle des paquets et ainsi la scurit du rseau. Type de service : type de service du paquet IP. Indiffr. : tout type de service DSCP en correspondance : DSCP (Differentiated Serves Code Point) mettre en correspondance IP Precedence en correspondance
257
Contrle d'accs
ACL bases sur IPv6
17
ICMP : si le protocole IP de l'ACL est ICMP, slectionnez le type de message ICMP utilis afin de filtrer. Slectionnez le type de message en fonction de son nom ou saisissez le numro du type de message : Indiffr. : tous les types de message sont accepts. Slectionner dans la liste : permet de slectionner le type de message en fonction de son nom. Type ICMP de mise en correspondance : numro du type de message utiliser afin de filtrer.
Code ICMP : les messages ICMP peuvent disposer d'un champ de code indiquant comment grer le message. Slectionnez l'une des options suivantes pour indiquer si le filtrage s'effectuera en fonction de ce code : Indiffr. : tous les codes sont accepts. Dfini par l'utilisateur : saisissez un code ICMP afin de filtrer.
IGMP : si l'ACL est base sur IGMP, slectionnez le type de message IGMP utiliser afin de filtrer. Slectionnez le type de message en fonction de son nom ou saisissez le numro du type de message : Indiffr. : tous les types de message sont accepts. Slectionner dans la liste : permet de slectionner le type de message en fonction de son nom. Type IGMP de mise en correspondance : numro du type de message qui sera utilis afin de filtrer.
TAPE 5 Cliquez sur Appliquer. L'ACE bas sur IPv4 est dfini et le commutateur mis jour.
de flux relatifs la gestion de la QoS par flux (voir Mode de QoS avanc).
258
Contrle d'accs
ACL bases sur IPv6
17
Dfinition d'une ACL base sur IPv6
Pour dfinir une ACL base sur IPv6 :
TAPE 1 Cliquez sur Contrle d'accs > ACL base sur IPv6. La rubrique ACL base
sur IPv6 s'ouvre. Cette fentre affiche la liste des ACL dfinies et leur contenu.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une ACL base sur IPv6 s'ouvre. TAPE 3 Saisissez le nom de la nouvelle ACL dans le champ Nom de l'ACL. Les noms font
jour.
Dfinition d'une rgle (ACE) pour une ACL base sur IPv6 :
TAPE 1 Cliquez sur Contrle d'accs > ACE bas sur IPv6. La rubrique ACE bas
sur IPv6 s'ouvre. Cette fentre affiche les ACE (rgles) d'une ACL spcifie (groupe de rgles).
TAPE 2 Slectionnez une ACL et cliquez sur OK. Tous les ACE IP actuellement dfinies
Nom de l'ACL : affiche le nom de l'ACL laquelle un ACE est ajout. Priorit : permet d'entrer la priorit. Les ACE disposant d'une priorit plus leve seront traites en priorit. Action : slectionnez l'action affecte au paquet correspondant l'ACE. Les options disponibles sont les suivantes : Autoriser : transfre les paquets qui rpondent aux critres de l'ACE. Refuser : abandonne les paquets qui rpondent aux critres de l'ACE. Arrter : abandonne les paquets qui rpondent aux critres de l'ACE et dsactive le port auquel les paquets taient adresss. Les ports sont ractivs partir de la rubrique Gestion des ports.
259
Contrle d'accs
ACL bases sur IPv6
17
Protocole : slectionnez cette option pour crer une ACE bas sur un protocole spcifique. Slectionnez Tout (IPv6) pour accepter tous les protocoles IP. Sinon, slectionnez l'un des protocoles suivants : TCP : Transmission Control Protocol. Permet deux htes de communiquer et d'changer des flux de donnes. TCP garantit la livraison des paquets et galement que les paquets seront transmis et reus dans l'ordre dans lequel ils ont t envoys. UDP : User Datagram Protocol. Transmet les paquets mais ne garantit pas leur livraison. ICMP : fait correspondre les paquets au protocole ICMP (Internet Control Message Protocol).
ID protocole de mise en correspondance : saisissez l'ID du protocole avec lequel tablir la correspondance. Adresse IP source : slectionnez Indiffr. si toutes les adresses source sont acceptables ou Dfini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source. Valeur de l'adresse IP source : saisissez l'adresse IP avec laquelle l'adresse IP source sera mise en correspondance et saisissez galement, le cas chant, son masque. Longueur du prfixe IP source : saisissez la longueur du prfixe de l'adresse IP source. Adresse IP de destination : slectionnez Indiffr. si toutes les adresses de destination sont acceptables ou Dfini par l'utilisateur pour entrer une adresse de destination ou une plage d'adresses de destination. Valeur de l'adresse IP de destination : saisissez l'adresse IP avec laquelle l'adresse IP de destination sera mise en correspondance et saisissez galement, le cas chant, son masque. Longueur du prfixe IP de destination : saisissez la longueur du prfixe de l'adresse IP. Port source : slectionnez une des options suivantes : Indiffr. : correspond tous les ports source. Unique : saisissez un seul port TCP/UDP source avec lequel les paquets sont mis en correspondance. Ce champ n'est actif que si TCP ou UDP est slectionn dans le menu droulant Slectionner dans la liste.
260
Contrle d'accs
ACL bases sur IPv6
17
Plage : slectionnez une plage de ports source TCP/UDP avec lesquels le paquet est mis en correspondance. Port de destination : slectionnez l'une des valeurs disponibles. (Elles sont identiques celles du champ Port source dcrit ci-dessus.)
REMARQUE Vous devez spcifier le protocole IPv6 de l'ACL avant de
pouvoir configurer le port source et/ou de destination. Indicateurs TCP : slectionnez un ou plusieurs indicateurs TCP avec lesquels filtrer les paquets. Les paquets filtrs sont transmis ou abandonns. Le filtrage de paquets par des indicateurs TCP amliore le contrle des paquets et ainsi la scurit du rseau. Dfini : une correspondance est tablie si l'indicateur est Dfini. Non dfini : une correspondance est tablie si l'indicateur est Non dfini. Sans importance : ignore l'indicateur TCP.
Type de service : type de service du paquet IP. ICMP : si l'ACL est base sur ICMP, slectionnez le type de message ICMP utiliser afin de filtrer. Slectionnez le type de message en fonction de son nom ou saisissez le numro du type de message. Si tous les types de message sont accepts, slectionnez Indiffr.. Indiffr. : tous les types de message sont accepts. Slectionner dans la liste : permet de slectionner le type de message en fonction de son nom dans la liste droulante. Type ICMP de mise en correspondance : numro du type de message qui sera utilis afin de filtrer.
Code ICMP : les messages ICMP peuvent disposer d'un champ de code indiquant comment grer le message. Slectionnez l'une des options suivantes pour indiquer si le filtrage s'effectuera en fonction de ce code : Indiffr. : tous les codes sont accepts. Dfini par l'utilisateur : saisissez un code ICMP afin de filtrer.
261
Contrle d'accs
Dfinition d'une liaison ACL
17
Lorsqu'une ACL est lie une interface, ses rgles ACE sont appliques aux paquets qui arrivent au niveau de cette interface. Les paquets qui ne correspondent aucune des ACE de l'ACL sont mis en correspondance avec une rgle par dfaut, dont l'action consiste abandonner les paquets sans correspondance. Bien que chaque interface ne puisse tre lie qu' une seule ACL, plusieurs interfaces peuvent tre lies la mme ACL en les regroupant dans une policymap (principes directeurs) puis en liant cette dernire l'interface. Une fois qu'une ACL est lie une interface, elle ne peut tre dite, modifie ou supprime qu'une fois enleve de tous les ports auxquels elle est lie ou sur lesquels elle est utilise. Pour lier une ACL une interface :
TAPE 1 Cliquez sur Contrle d'accs > Liaison ACL. La rubrique Liaison ACL s'ouvre. TAPE 2 Slectionnez comme type d'interface Ports/LAG (Port ou LAG). TAPE 3 Cliquez sur OK. La liste des ports/LAG s'affiche. Pour chaque type d'interface
slectionn, toutes les interfaces de ce type sont affiches avec la liste de leurs ACL actuelles : Interface : identificateur d'interface. ACL MAC : les ACL de type MAC qui sont lies l'interface (le cas chant). ACL IPv4 : les ACL de type IPv4 qui sont lies l'interface (le cas chant). ACL IPv6 : les ACL de type IPv6 qui sont lies l'interface (le cas chant).
REMARQUE Pour supprimer la liaison de toutes les ACL au niveau d'une interface, slectionnez cette dernire puis cliquez sur Supprimer. TAPE 4 Slectionnez une interface puis cliquez sur Modifier. La rubrique Modifier la
Slectionner une ACL base sur MAC : slectionnez une ACL base sur MAC lier l'interface. Slectionner une ACL base sur IPv4 : slectionnez une ACL base sur IPv4 lier l'interface.
262
Contrle d'accs
Dfinition d'une liaison ACL
17
Slectionner une ACL base sur IPv6 : slectionnez une ACL base sur IPv6 lier l'interface.
TAPE 7 Cliquez sur Appliquer. La liaison des ACL est modifie et le commutateur est mis
jour.
REMARQUE Si aucune ACL n'est slectionne, l'ACL ou des ACL prcdemment lie(s) l'interface est ou sont supprime(s).
263
18
Configuration du QoS (Qualit de service)
La fonction QoS (Quality of Service, qualit de service) est applique l'ensemble du rseau pour garantir que le trafic rseau est gr en fonction des critres fixs et que les donnes voulues reoivent un traitement prfrentiel. Ce chapitre contient les sections suivantes : Fonctions et composants QoS Configuration du QoS Mode de base de QoS Mode de QoS avanc Gestion des statistiques de QoS
264
18
La QoS inclut : Classification du trafic Permet de marquer chaque paquet entrant comme appartenant un flux de trafic spcifique, sur la base du contenu de ce paquet et/ou du port. Cette classification est ralise l'aide d'une ACL (Access Control List, liste de contrle d'accs). Seul le trafic rpondant aux critres d'ACL est soumis la classification CoS ou QoS. Affectation des files d'attente matrielles Affecte les paquets entrants des files d'attente de transfert. Les paquets sont envoys une file d'attente particulire pour gestion en tant que fonction de la classe de trafic laquelle ils appartiennent. Autre attribut de gestion de classe de trafic Applique des mcanismes QoS diverses classes, y compris la gestion de bande passante.
Modes QoS
Modes QoS Le mode QoS slectionn s'applique toutes les interfaces du systme. Mode de base CoS (Class of Service, classe de service). Tout le trafic d'une mme classe reoit un traitement identique, savoir l'action unique de QoS consistant dterminer la file d'attente de sortie sur le port de sortie, ceci sur la base de la valeur QoS indique dans la trame entrante. En mode Layer 2, il s'agit de la valeur VPT (VLAN Priority Tag, balise de priorit de VLAN) 802.1p. En mode Layer 3, le systme utilise la valeur DSCP (Differentiated Service Code Point, point de code de service diffrenci) pour IPv4 et la valeur TC (Traffic Class, classe de trafic) pour IPv6. Lorsqu'il fonctionne en mode de base, le commutateur fait confiance cette valeur de QoS affecte en externe. La valeur de QoS affecte en externe un paquet dtermine sa classe de trafic et la QoS. Le champ d'en-tte auquel faire confiance est entr dans la rubrique Paramtres globaux. Pour chaque valeur de ce champ, une file d'attente de sortie est dsigne comme destinataire de l'envoi de la trame (dans la rubrique CoS/802.1p vers file d'attente ou dans la rubrique DSCP vers file d'attente, selon que le mode de confiance choisi est CoS/802.1p ou DSCP). Mode avanc QoS (Quality of Service, qualit de service) pour chaque flux. En mode avanc, la QoS de chaque flux est constitu d'un mappage de classe et d'un gestionnaire de stratgie :
265
18
Le mappage de classe dfinit le type de trafic d'un flux et contient une ou plusieurs ACL. Les paquets correspondant ces ACL appartiennent au flux. Le gestionnaire de stratgie applique la QoS configur un flux. La configuration de QoS d'un flux peut regrouper une file d'attente de sortie, les valeurs DSCP ou CoS/802.1p et les actions appliquer au trafic hors profil (excdent).
Mode Dsactiv Dans ce mode, tout le trafic est mapp sur une seule file d'attente de type meilleur effort (best effort) et aucun type de trafic n'est prioritaire sur les autres.
Vous ne pouvez activer qu'un seul mode la fois. Lorsque le systme est configur pour fonctionner en mode de QoS avanc, les paramtres du mode de base de QoS sont inactifs et inversement. Lorsque vous changez de mode, les vnements suivants se produisent : Lorsque vous passez du mode de QoS avanc un autre mode, les dfinitions de profil de stratgie et les mappages de classe sont supprims. Les ACL directement lies aux interfaces restent lies. Lorsque vous passez du mode de base de QoS au mode avanc, la configuration du mode de confiance QoS sur le mode De base n'est pas conserve. Lorsque vous dsactivez la QoS, les paramtres de lissage (shaping) et de file d'attente (paramtre de bande passante WRR/SP) sont rinitialiss sur leurs valeurs par dfaut.
Tous les autres lments de configuration dfinis par l'utilisateur restent intacts.
18
3. Affectez une mthode de planification (Priorit stricte ou WRR) et une valeur d'allocation de bande passante WRR aux files d'attente de sortie, dans la rubrique File d'attente. 4. Dsignez une file d'attente de sortie pour chaque valeur IP DSCP/TC au sein de la rubrique DSCP vers file d'attente. Si le commutateur fonctionne en mode de confiance DSCP, les paquets entrants sont placs dans les files d'attente de sortie en fonction de leur valeur DSCP/TC. 5. Associez une file d'attente de sortie chaque priorit CoS/802.1p. Si le commutateur fonctionne en mode de confiance CoS/802.1, tous les paquets entrants sont placs dans les files d'attente de sortie prvues en fonction de la priorit CoS/802.1 des paquets. Utilisez pour cela la rubrique CoS/802.1p vers file d'attente. 6. Si ncessaire (uniquement pour le trafic Layer 3), affectez une file d'attente chaque valeur DSCP/TC dans la rubrique DSCP vers file d'attente. 7. Saisissez les limites de bande passante et de dbit dans les pages suivantes : a. Dfinissez le lissage en sortie (egress shaping) pour chaque file d'attente dans la rubrique Lissage en sortie par file d'attente. b. Dfinissez la limite de dbit d'entre et le lissage en sortie (egress shaping) pour chaque port dans la rubrique Bande passante. c. Dfinissez la limite de dbit d'entre du VLAN dans la rubrique Limite de dbit d'entre VLAN 8. Configurez le mode slectionn en ralisant l'une des oprations suivantes : a. Configurez le mode de base comme le dcrit la section Flux de travail de configuration du mode de base de QoS b. Configurez le mode avanc comme le dcrit la section Flux de travail de configuration du mode de QoS avanc
267
18
Configuration du QoS
Affichage des proprits de QoS
Affichage des proprits de QoS La rubrique Proprits de QoS contient des champs permettant de dfinir le mode de QoS du systme (De base, Avanc ou Dsactiv, comme le dcrit la section Modes QoS ). En outre, vous pouvez dfinir la priorit CoS par dfaut de chaque interface. Pour slectionner le mode de QoS :
TAPE 1 Cliquez sur Qualit de service > Gnral > Proprits de QoS. La rubrique
informations de CoS. Les champs suivants sont affichs pour tous les ports/LAG : Interface Type de l'interface. CoS par dfaut Valeur VPT par dfaut pour les paquets entrants qui n'ont pas de balise VLAN. Le CoS par dfaut est 0. La valeur par dfaut s'applique seulement aux trames non marques, uniquement lorsque le systme fonctionne en mode de base et que l'option de confiance CoS est slectionne dans la rubrique Paramtres globaux.
Slectionnez Restaurer les valeurs par dfaut pour rtablir le paramtre de CoS par dfaut dfini en usine pour cette interface.
268
18
Interface Slectionnez l'interface. CoS par dfaut Slectionnez la valeur de CoS (Class-of-Service, classe de service) affecter aux paquets entrants qui ne possdent pas de balise VLAN. La plage valide va de 0 7.
TAPE 4 Cliquez sur Appliquer. La valeur de CoS par dfaut de l'interface est dfinie et le
269
18
la bande passante (en supposant que toutes les files d'attente sont satures et qu'il y a encombrement), la file d'attente 2 en reoit 2/15, la file d'attente 3 en reoit 4/15 et la file d'attente 4 reoit 8/15 de la bande passante. Le type d'algorithme WRR utilis sur le priphrique n'est pas l'algorithme standard DWRR (Deficit WRR, WRR avec dficit) mais l'algorithme SDWRR (Shaped Deficit WRR, WRR avec dficit liss). Vous slectionnez les modes de mise en file d'attente dans la rubrique File d'attente. Lorsque la mise en file d'attente se fait par priorit stricte, l'ordre de priorit dfinit l'ordre de traitement des files d'attente, en commenant par la file d'attente 4 (celle dont la priorit est la plus leve) puis et en passant la file d'attente de niveau immdiatement infrieur la fin du traitement de chaque file. Lorsque la mise en file d'attente est de type WRR (Weighted Round Robin), chaque file d'attente est traite jusqu' ce que son quota soit atteint. Le systme passe ensuite une autre file d'attente. Il est galement possible d'affecter une WRR certaines des files d'attente de priorit plus faible tout en maintenant le traitement Priorit stricte pour des files d'attente de niveau(x) plus lev(s). Dans ce cas, le trafic des files d'attente priorit stricte est toujours envoy avant celui des files d'attente WRR. Le trafic des files d'attente WRR n'est transfr que lorsque les files d'attente priorit stricte sont vides. (La portion relative provenant de chaque file d'attente WRR dpend de sa pondration.) Pour slectionner la mthode de priorit et entrer les donnes WRR.
TAPE 1 Cliquez sur Qualit de service > Gnral > File d'attente. La rubrique File
d'attente s'ouvre.
TAPE 2 Saisissez les paramtres.
File d'attente Affiche le numro de la file d'attente. Mthode de planification : Slectionnez l'une des options suivantes : Priorit stricte La planification du trafic de la file d'attente slectionne et de toutes les files d'attentes suprieures est strictement base sur la priorit de chaque file d'attente. WRR La planification du trafic de la file d'attente slectionne se base sur une WRR. Chaque priode est divise entre les files d'attente WRR qui ne sont pas vides (celles qui ont des descripteurs de sortie). Ceci ne s'applique que lorsque les files d'attente priorit stricte sont vides. Pondration WRR Si vous choisissez WRR, saisissez la pondration WRR attribue la file d'attente.
270
18
% de bande passante WRR Affiche la quantit de bande passante affecte la file d'attente. Ces valeurs reprsentent un pourcentage de la pondration WRR.
TAPE 3 Cliquez sur Appliquer. Les files d'attente sont configures et le commutateur est
mis jour.
Remarques
l'arrire-plan Meilleur effort (Best effort) Excellent effort Application critique SIP pour tlphone LVS Vido Voix Valeur par dfaut de tlphone IP Cisco Contrle de linterfonctionnement RTP pour tlphone LVS Contrle du rseau
Eleve
Eleve
271
18
En modifiant le mappage CoS/802.1p file d'attente, la mthode de planification des files d'attente ainsi que l'allocation de la bande passante, il est possible d'obtenir la qualit de service voulue sur un rseau. Le mappage CoS/802.1p file d'attente s'applique uniquement si l'une des conditions suivantes est remplie : Le commutateur est en mode de base de QoS et en mode de confiance CoS/802.1p Le commutateur est en mode de QoS avanc et les paquets appartiennent des flux en mode de confiance CoS/802.1p
Pour mapper des valeurs de CoS sur des files d'attente de sortie :
TAPE 1 Cliquez sur Qualit de service > Gnral > CoS/802.1p vers file d'attente. La
802.1p Affiche les valeurs de marquage de priorit 802.1p affecter une file d'attente de sortie, o 0 est la priorit la plus faible et 7 la plus leve. File d'attente de sortie Slectionnez la file d'attente de sortie sur laquelle la priorit 802.1p est mappe. Le systme prend en charge quatre files d'attente de sortie, parmi lesquelles la File d'attente 4 dispose de la priorit la plus leve et la File d'attente1 de la priorit la plus faible. Restaurer les valeurs par dfaut Cliquez pour restaurer pour l'ensemble des files d'attente les valeurs par dfaut d'usine relatives au mappage CoS/ 802.1p file d'attente.
TAPE 3 Pour chaque priorit 802.1p, slectionnez la file d'attente de sortie sur laquelle elle
est mappe.
TAPE 4 Cliquez sur Appliquer. Les valeurs de priorit 801.1 sont mappes sur les files
272
18
Les paquets non IP sont toujours classifis comme appartenant la file d'attente Meilleur effort (Best effort). Pour crer des mappages DSCP file d'attente :
TAPE 1 Cliquez sur Qualit de service > Gnral > DSCP vers file d'attente. La rubrique
DSCP vers file d'attente s'ouvre. La rubrique DSCP vers file d'attente contient le champ DSCP d'entre. Il affiche la valeur DSCP du paquet entrant et la classe associe.
TAPE 2 Slectionnez la file d'attente de sortie (file d'attente de transfert du trafic) sur
273
18
passante s'ouvre. La rubrique Bande passante affiche les informations de bande passage de chaque interface. La colonne % indique la limite de dbit entrant pour le port divise par la quantit totale de bande passante du port.
TAPE 2 Slectionnez une interface puis cliquez sur Modifier. La rubrique Modifier la
Limite de dbit d'entre Slectionnez cette option pour activer la limite de dbit d'entre, que vous dfinissez ensuite dans le champ situ audessous. Limite de dbit d'entre Saisissez la quantit maximale de bande passante autorise sur l'interface.
274
18
Taux de lissage en sortie (egress shaping) Slectionnez cette option pour activer le lissage en sortie (egress shaping) sur le port. Dbit minimal garanti (CIR) Saisissez la quantit maximale de bande passante de l'interface de sortie. Taille de rafale garantie (CBS) Saisissez la taille maximale de rafale de donnes de l'interface de sortie, en octets. Cette quantit de donnes peut tre envoye mme si cela provoque un dpassement temporaire de la limite de bande passante autorise.
TAPE 5 Cliquez sur Appliquer. Les paramtres de bande passante sont modifis et le
La rubrique Lissage en sortie par file d'attente s'ouvre. La rubrique Lissage en sortie par file d'attente affiche la limite de dbit et la taille de rafale applicables chaque file d'attente.
TAPE 2 Slectionnez un type d'interface (Port ou LAG) puis cliquez sur OK. La liste des
ports/LAG s'affiche.
TAPE 3 Slectionnez un port/LAG puis cliquez sur Modifier. La rubrique Modifier le
modelage en sortie par file d'attente s'ouvre. Cette page vous permet de modeler la sortie pour un maximum de quatre files d'attente sur chaque interface.
275
18
TAPE 4 Slectionnez l'interface voulue. TAPE 5 Pour chacune des files d'attente ncessaires, remplissez les champs suivants :
Activer Slectionnez cette option pour activer le lissage en sortie (egress shaping) sur cette file d'attente. Dbit minimal garanti (CIR) Saisissez le dbit maximal (CIR) en kilobits par seconde (kbits/s). Le CIR est la quantit maximale moyenne de donnes pouvant tre envoye. Taille de rafale garantie (CBS) Saisissez la taille maximale de rafale (CBS), en octets. Le CBS indique la taille maximale de rafale de donnes dont l'envoi est autoris mme si cela dpasse le CIR.
TAPE 6 Cliquez sur Appliquer. Les paramtres de bande passante sont modifis et le
fonctionne en mode Layer 3. La limitation du dbit pour chaque VLAN, que vous ralisez dans la rubrique Limite de dbit d'entre VLAN, permet de limiter le trafic sur les VLAN. La limitation de dbit QoS (configure dans la rubrique Table des stratgies) est prioritaire par rapport la limitation du dbit VLAN. Par exemple, si un paquet est soumis la fois des limites de dbit QoS et des limites de dbit VLAN et que ces limites entrent en conflit, les limites de dbit QoS sont prioritaires. Lorsque vous configurez des limites de dbit d'entre VLAN, cela limite le trafic agrg de tous les ports du commutateur. Vous configurez les limites de dbit VLAN au niveau du priphrique et ces limites sont appliques sparment pour chaque priphrique du rseau. Si le systme inclut plusieurs priphriques (par exemple, si un rseau comprend 2 commutateurs 10/100 Cisco 24 ports participant au mme VLAN), les valeurs limites de dbit VLAN dfinies sont affectes sparment chaque priphrique. Pour dfinir la limite de dbit d'entre VLAN :
TAPE 1 Cliquez sur Qualit de service > Gnral > Limite de dbit d'entre VLAN. La
rubrique Limite de dbit d'entre VLAN s'ouvre. Cette page affiche la table des limites de dbit d'entre VLAN.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 276
18
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter une limite de dbit d'entre VLAN s'ouvre. TAPE 3 Saisissez les paramtres.
ID VLAN Slectionnez un VLAN. Dbit minimal garanti (CIR) Saisissez la quantit moyenne maximale de donnes qui peut tre accepte sur le VLAN, en kilo-octets par seconde. Taille de rafale garantie (CBS) Saisissez la taille maximale de rafale de donnes de l'interface de sortie, en octets. Cette quantit de donnes peut tre envoye mme si cela provoque un dpassement temporaire de la limite de la bande passante autorise. Cette valeur ne peut pas tre saisie pour un LAG.
TAPE 4 Cliquez sur Appliquer. La limite de dbit VLAN est ajoute et le commutateur est
mis jour.
sur Appliquer.
277
18
d'interface.
Activez ou dsactivez le mode de confiance slectionn au niveau global sur les divers ports dans la rubrique Paramtres d'interface. Si un port est dsactiv sans mode de confiance, tous ses paquets d'entre sont transfrs en mode Meilleur effort (Best effort). Il est recommand de dsactiver le mode de confiance sur les ports o les valeurs CoS/802.1p et/ou DSCP des paquets entrants ne sont pas dignes de confiance. Dans le cas contraire, cela peut avoir un impact ngatif sur les performances de votre rseau.
278
18
mode de base. Si le niveau de CoS et le marquage DSCP d'un paquet sont mapps sur des files d'attente distinctes, le mode de confiance dtermine la file d'attente laquelle ce paquet doit tre affect : CoS/802.1p Le trafic est mapp sur des files d'attente en fonction du champ VPT du balise VLAN ou en fonction de la valeur par dfaut CoS/ 802.1p dfinie pour chaque port (si le paquet entrant ne comporte aucune balise VLAN). Vous configurez le mappage VPT vers file d'attente rel dans la rubrique CoS/802.1p vers file d'attente. DSCP Tout le trafic IP est mapp sur des files d'attente en fonction du champ DSCP de l'en-tte IP. Vous pouvez configurer le mappage DSCP file d'attente rel dans la rubrique DSCP vers file d'attente. Si le trafic n'est pas de type IP, il est mapp sur la file d'attente Meilleur effort (Best effort).
TAPE 3 Slectionnez Remplacer DSCP d'entre pour remplacer les valeurs DSCP
d'origine des paquets entrants par d'autres, d'aprs la table de substitution DSCP. Lorsque la fonction Remplacer DSCP d'entre est active, le commutateur utilise les nouvelles valeurs DSCP pour la mise en file d'attente des donnes en sortie. Il remplace galement les valeurs DSCP d'origine figurant dans les paquets par les nouvelles valeurs DSCP.
REMARQUE La trame est mappe sur une file d'attente en sortie l'aide de
substitution DSCP pour reconfigurer le DSCP. La rubrique Table de substitution DSCP s'ouvre. Pour en savoir plus sur cette page, reportez-vous la rubrique Mappage DSCP hors profil, car cette page contient les mmes champs.
TAPE 5 Cliquez sur Appliquer. Le commutateur est mis jour.
279
18
La liste des ports/LAG s'affiche. tat de QoS indique si la QoS est active sur l'interface.
TAPE 3 Slectionnez une interface puis cliquez sur Modifier. La Modifier les paramtres
18
Un mappage de classe dfinit un flux associ une ou plusieurs ACL. Les paquets qui correspondent uniquement aux rgles d'ACL (ACE) d'un mappage de classe avec l'action Autoriser (transfert) sont considrs comme appartenant au mme flux et sont soumis la mme QoS. Ainsi, une stratgie contient un ou plusieurs flux, chacun avec une QoS dfinie par l'utilisateur. La QoS d'un mappage de classe (flux) est exerce par le gestionnaire de stratgie associ. Il existe deux types de gestionnaire de stratgie : le gestionnaire de stratgie individuelle et le gestionnaire de stratgie d'agrgats. Chaque gestionnaire de stratgie est configur avec une spcification de QoS. Le gestionnaire de stratgie individuelle applique la QoS un seul mappage de classe, c'est--dire un seul flux, en se fondant sur la spcification de QoS qu'il contient. Le gestionnaire de stratgie d'agrgats applique la QoS un ou plusieurs mappages de classe (flux). Un gestionnaire de stratgie d'agrgats peut prendre en charge des mappages de classe issus de plusieurs stratgies. La QoS est applique chaque flux par liaison des stratgies aux ports voulus. Vous pouvez lier une stratgie et ses mappages de classe un ou plusieurs ports mais chaque port ne peut tre li qu' une seule stratgie.
Remarques : Les gestionnaires de stratgies individuelles et d'agrgats sont disponibles lorsque le commutateur fonctionne en mode Layer 2. Une ACL peut tre configure sur un ou plusieurs mappages de classe, quelles que soient les stratgies. Un mappage de classe ne peut appartenir qu' une seule stratgie. Lorsqu'un mappage de classe utilisant un gestionnaire de stratgie individuelle est li plusieurs ports, chaque port possde sa propre instance de gestionnaire de stratgie individuelle ; chacune applique la QoS du mappage de classe (flux) sur un port, indpendamment des autres ports. Un gestionnaire de stratgie d'agrgats applique la QoS tous les flux, de faon agrge, ceci sans tenir compte ni des stratgies ni des ports.
Les paramtres de QoS avanc se composent de trois parties : Dfinition des rgles mettre en correspondance. Toutes les trames qui correspondent un groupe unique de rgles sont considres comme constituant un flux. Dfinition des actions appliquer aux trames de chaque flux qui correspondent aux rgles.
281
18
282
18
283
18
profil. La rubrique Mappage DSCP hors profil s'ouvre Le champ DSCP en entre affiche la valeur DSCP des paquets entrants qui doit tre marque nouveau l'aide d'une autre valeur.
TAPE 2 Slectionnez la valeur DSCP en sortie correspondant l'endroit sur lequel la
intermdiaire ncessaire pour que les mappages de classe puissent tre utiliss ultrieurement. Si vous avez besoin d'ensembles de rgles plus complexes, vous pouvez regrouper plusieurs mappages de classe en un grand groupe, appel stratgie (reportez-vous la section Configuration d'une stratgie). La rubrique Mappage de classe affiche la liste des mappages de classe dfinis et des ACL qui les constituent ; elle vous permet aussi d'ajouter/de supprimer des mappages de classe. Pour dfinir un mappage de classe :
TAPE 1 Cliquez sur Qualit de service > Mode de QoS avanc > Mappage de classes.
La rubrique Mappage de classe s'ouvre. Cette page affiche les mappages de classe dj dfinis.
284
18
Vous ajoutez un nouveau mappage de classe en slectionnant une ou plusieurs ACL et en attribuant un nom au mappage de classe. Si un mappage de classe inclut deux ACL, vous pouvez spcifier que les trames doivent correspondre ces deux ACL ou bien demander qu'elles correspondent au moins une des deux ACL slectionnes.
TAPE 3 Saisissez les paramtres.
Nom du mappage de classe Saisissez le nom du nouveau mappage de classe. Type d'ACL recherch Critres qu'un paquet doit satisfaire pour tre considr comme appartenant au flux dfini dans le mappage de classe. Les options disponibles sont les suivantes : IP Un paquet doit correspondre l'une des ACL IP du mappage de classe. MAC Un paquet doit correspondre l'ACL MAC du mappage de classe. IP et MAC Un paquet doit correspondre la fois l'ACL IP et l'ACL MAC du mappage de classe. IP or MAC Un paquet doit correspondre soit l'ACL IP, soit l'ACL MAC du mappage de classe.
IP Slectionnez l'ACL IPv4 ou IPv6 pour ce mappage de classe. MAC Slectionnez l'ACL MAC pour ce mappage de classe. ACL prfre Indiquez si les paquets sont d'abord compars une ACL IP ou une ACL MAC.
285
18
REMARQUE Les gestionnaires de stratgie QoS ne sont pas pris en charge lorsque le
commutateur fonctionne en mode Layer 3. Un gestionnaire de stratgie est configur avec une spcification de QoS. Il existe deux types de gestionnaire de stratgie : Gestionnaire de stratgie individuelle (standard) Le gestionnaire de stratgie individuelle applique la QoS un seul mappage de classe et un seul flux, sur la base de la spcification de QoS qu'il contient. Lorsqu'un mappage de classe utilisant un gestionnaire de stratgie individuelle est li plusieurs ports, chaque port possde sa propre instance de gestionnaire de stratgie individuelle ; chacune applique la QoS du mappage de classe (flux) des ports qui sont normalement indpendants les uns des autres. Vous crez un gestionnaire de stratgie individuelle dans la rubrique Mappages de classe de stratgies. Gestionnaire de stratgie d'agrgats Le gestionnaire de stratgie d'agrgats applique la QoS un ou plusieurs mappages de classe ainsi qu' un ou plusieurs flux. Un gestionnaire de stratgie d'agrgats peut prendre en charge des mappages de classe issus de plusieurs stratgies. Un gestionnaire de stratgie d'agrgats applique la QoS tous les flux, de faon agrge, sans tenir compte des stratgies ni des ports. Vous crez un gestionnaire de stratgie d'agrgats dans la rubrique Gestionnaire de stratgie d'agrgats. Vous crez un gestionnaire de stratgie d'agrgats si vous prvoyez de la partager entre plusieurs classes. Chaque gestionnaire de stratgie est dfini avec sa propre spcification de QoS, par combinaison des paramtres suivants : Dbit maximal autoris, appel CIR (Committed Information Rate, dbit minimal garanti), mesur en kbits/s. Quantit de trafic, mesure en octets, appele CBS (Committed Burst Size, taille de rafale garantie). Il s'agit du trafic autoris transiter sous forme de rafale temporaire, mme s'il dpasse le dbit maximal dfini. Action appliquer aux trames qui dpassent les limites (appeles trafic hors profil), savoir s'il faut transmettre ces trames telles quelles, les liminer ou les transmettre, mais en les remappant sur une valeur DSCP qui les marque comme trames de priorit faible pour tous les traitements suivants sur le priphrique.
Vous affectez un gestionnaire de stratgie un mappage de classe lorsque vous ajoutez ce mappage une stratgie. Si vous choisissez un gestionnaire de stratgie d'agrgats, vous devez le crer dans la rubrique Gestionnaire de stratgie d'agrgats.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 286
18
d'agrgat que lorsqu'il fonctionne en mode Layer 2. Pour dfinir un gestionnaire de stratgie d'agrgats :
TAPE 1 Cliquez sur Qualit de service > Mode de QoS avanc > Gestionnaire de
stratgie d'agrgats. La rubrique Gestionnaire de stratgie d'agrgats s'ouvre. Cette page affiche les gestionnaires de stratgie d'agrgats existants.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un gest. de stratgie d'agrgats s'ouvre. TAPE 3 Saisissez les paramtres.
Nom du gestionnaire de stratgie d'agrgats Saisissez le nom du gestionnaire de stratgie d'agrgats. Dbit minimal garanti en entre (CIR) Saisissez la bande passante maximale autorise, en bits par seconde. Reportez-vous la description de la rubrique Bande passante. Taille de rafale garantie en entre (CBS) Saisissez la taille maximale de rafale (mme si elle dpasse la valeur CIR), en octets. Reportez-vous la description de la rubrique Bande passante. Action si dpassement Slectionnez l'action appliquer aux paquets entrants qui dpassent le seuil CIR. Les options disponibles sont les suivantes : Transfrer Les paquets qui dpassent la limite CIR dfinie sont transfrs. liminer Les paquets qui dpassent la limite CIR dfinie sont limins. DSCP hors profil Les valeurs DSCP des paquets qui dpassent la limite CIR dfinie sont remappes sur d'autres, d'aprs la table Mappage DSCP hors profil.
287
18
Aprs avoir ajout une stratgie, vous pouvez ajouter des mappages de classe dans la rubrique Mappages de classe de stratgies. Pour ajouter une stratgie de QoS :
TAPE 1 Cliquez sur Qualit de service > Mode de QoS avanc > Table des stratgies. La
rubrique Mappages de classe de stratgies s'ouvre. Cette page affiche la liste des stratgies dfinies.
TAPE 2 Cliquez sur Table de mappages de classe de stratgie pour afficher la rubrique
Mappages de classe de stratgies. OU Cliquez sur Ajouter pour ouvrir la rubrique Ajouter une stratgie.
TAPE 3 Saisissez le nom de la nouvelle stratgie dans le champ prvu cet effet. TAPE 4 Cliquez sur Appliquer. Le profil de stratgie QoS est ajout et le commutateur est
mis jour.
classe lorsque le commutateur fonctionne en mode Layer 3. Le commutateur ne prend en charge les gestionnaires de stratgie qu'en mode Layer 2.
288
18
Nom de la stratgie Indique la stratgie laquelle vous ajoutez le mappage de classe. Nom du mappage de classe Slectionnez le mappage de classe existant associer la stratgie. Vous crez les mappages de classe dans la rubrique Mappage de classe. Type d'action Slectionnez l'action appliquer concernant la valeur CoS/ 802.1p et/ou DSCP d'entre de tous les paquets concordants. Aucun Permet d'ignorer la valeur CoS/802.1p et/ou DSCP d'entre. Les paquets concordants sont envoys en mode Meilleur effort (Best effort). Faire confiance CoS/802.1p, DSCP Si vous slectionnez cette option, le commutateur fait confiance aux valeurs CoS/802.1p et DSCP du paquet concordant. S'il s'agit d'un paquet IP, le commutateur place le paquet dans la file d'attente de sortie en fonction de la valeur DSCP dtecte et du contenu de la table DSCP vers file d'attente. Sinon, la file d'attente de sortie du paquet dpend de la valeur CoS/802.1p de ce paquet et du contenu de la table CoS/802.1p vers file d'attente. Dfinir Si vous slectionnez cette option, le systme utilise le contenu saisi dans le champ Nouvelle valeur afin de dterminer la file d'attente de sortie des paquets concordants comme suit : Si la nouvelle valeur (0..7) est une priorit CoS/802.1p, utilisez la valeur de priorit ainsi que le contenu de la table CoS/802.1p vers file d'attente afin de dterminer la file d'attente de sortie de tous les paquets concordants. Si la nouvelle valeur (0..63) est une valeur DSCP, utilisez la nouvelle valeur DSCP ainsi que le contenu de la table DSCP vers file d'attente afin de dterminer la file d'attente de sortie des paquets IP concordants.
289
18
Sinon, le systme utilise la nouvelle valeur (1..4) comme numro de file d'attente de sortie pour tous les paquets concordants. Type de gest. de stratgie Disponible uniquement en mode Layer 2. Slectionnez le type de gestionnaire de stratgie pour votre stratgie. Les options disponibles sont les suivantes : Aucun Aucune stratgie n'est utilise. Individuel La stratgie est associe un gestionnaire de stratgie individuelle.. Agrgat La stratgie est associe un gestionnaire de stratgie d'agrgats.
Gestionnaire de stratgie d'agrgats Disponible uniquement en mode Layer 2. Si Type de stratgie est configur sur Agrgat, slectionnez un gestionnaire de stratgie d'agrgats prcdemment dfini (dans la rubrique Gestionnaire de stratgie d'agrgats).
Si Type de gest. de stratgie indique Individuelle, saisissez les paramtres de QoS suivants : Dbit minimal garanti en entre (CIR) Saisissez la valeur CIR, en kilobits par seconde. Reportez-vous la description de la rubrique Bande passante. Taille de rafale garantie en entre (CBS) Saisissez la valeur CBS, en octets. Reportez-vous la description de la rubrique Bande passante. Action si dpassement Slectionnez l'action appliquer aux paquets entrants qui dpassent le seuil CIR. Les options disponibles sont les suivantes : Aucun Aucune action. liminer Les paquets qui dpassent la limite CIR dfinie sont limins. DSCP hors profil Les paquets IP qui dpassent la limite CIR dfinie sont transfrs avec une nouvelle valeur DSCP, tire de la table Mappage DSCP hors profil.
290
18
Liaison de stratgies
La rubrique Liaison de stratgies indique le profil de stratgie li chaque port. Lorsqu'un profil de stratgie est li un port spcifique, il est actif sur ce port. Vous ne pouvez configurer qu'un seul profil de stratgie sur chaque port mais il possible de lier un mme profil plusieurs ports. Lorsque vous liez une stratgie un port, ce dernier filtre et applique la QoS au trafic en entre qui correspond aux flux dfinis au sein de cette stratgie. La stratgie ne s'applique pas au trafic en sortie sur le mme port. Pour modifier une stratgie, vous devez d'abord la supprimer (annuler la liaison) de tous les ports auxquels elle est lie. Pour dfinir une liaison de stratgie :
TAPE 1 Cliquez sur Qualit de service > Mode de QoS avanc > Liaison de stratgies.
291
18
REMARQUE Cette page n'est pas disponible lorsque le commutateur fonctionne en mode
gestionnaire de stratgie individuelle. La rubrique Statistiques de gestionnaire de stratgie individuelle s'ouvre. Cette page contient les champs suivants : Interface Interface laquelle correspondent les statistiques affiches. Stratgie Stratgie laquelle correspondent les statistiques affiches. Mappage de classe Mappage de classe auquel correspondent les statistiques affiches. Octets dans le profil Nombre d'octets conformes au profil reus. Octets hors profil Nombre d'octets hors profil reus.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter des statistiques de gest. de stratgie
individuelle s'ouvre.
TAPE 3 Saisissez les paramtres.
Interface Slectionnez l'interface pour laquelle cumuler les statistiques. Nom de la stratgie Slectionnez le nom de la stratgie. Nom du mappage de classe Slectionnez le nom du mappage de classe.
TAPE 4 Cliquez sur Appliquer. Une demande de statistiques supplmentaire est cre et
292
18
gestionnaire de stratgie d'agrgats. La rubrique Statistiques de gestionnaire de stratgie d'agrgats s'ouvre. Cette page contient les champs suivants : Nom du gestionnaire de strat. d'agrgats Gestionnaire de stratgie sur lequel les statistiques sont fondes. Octets dans le profil Nombre de paquets conformes au profil reus. Octets hors profil Nombre de paquets hors profil reus.
TAPE 2 Cliquez sur Ajouter pour ouvrir la rubrique Ajouter des statistiques de gest. de
stratgie d'agrgats.
TAPE 3 Slectionnez un nom du gestionnaire de strat. d'agrgats, parmi les
en mode QoS avanc. Vous effectuez la modification sous Gnral > Proprits de QoS.
293
18
d'attente. La rubrique Statistiques de file d'attente s'ouvre. Cette page contient les champs suivants : Jeu de compteurs Les options disponibles sont les suivantes : Jeu 1 Affiche les statistiques du jeu 1, qui inclut toutes les interfaces et files d'attente avec une valeur DP (Drop Precedence, priorit d'limination) leve. Jeu 2 Affiche les statistiques du jeu 2, qui inclut toutes les interfaces et files d'attente avec une valeur DP (Drop Precedence, priorit d'limination) faible.
Interface Interface laquelle correspondent les statistiques de file d'attente affiches. File d'attente File d'attente d'o proviennent les paquets transfrs ou limins, la file tant pleine (tail drop). Priorit d'limination Les paquets portant la priorit d'limination la plus faible ont davantage de chances d'tre conservs. Nombre total de paquets Nombre de paquets transfrs ou limins, la file tant pleine (tail drop). Paquets limins Pourcentage de paquets limins, la file tant pleine (tail drop).
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter les statistiques de file d'attente s'ouvre. TAPE 3 Saisissez les paramtres.
Jeu de compteurs Slectionnez le jeu voulu : Jeu 1 Affiche les statistiques du jeu 1, qui inclut toutes les interfaces et files d'attente avec une valeur DP (Drop Precedence, priorit d'limination) leve. Jeu 2 Affiche les statistiques du jeu 2, qui inclut toutes les interfaces et files d'attente avec une valeur DP (Drop Precedence, priorit d'limination) faible.
Interface Slectionnez les ports auxquels correspondent les statistiques affiches. Les options disponibles sont les suivantes :
294
18
Port Slectionnez le port pour lequel vous voulez afficher les statistiques, pour le numro d'unit slectionn. Tous les ports L'cran affiche les statistiques pour tous les ports.
File d'attente Slectionnez la file d'attente pour lequel vous voulez afficher les statistiques. Priorit d'limination Saisissez la priorit d'limination, c'est--dire la probabilit de suppression des paquets.
TAPE 4 Cliquez sur Appliquer. Le compteur de statistiques de file d'attente est ajout et le
295
19
Configuration de SNMP
Ce chapitre dcrit la fonctionnalit SNMP (Simple Network Management Protocol), qui fournit une mthode de gestion des units de rseau. Il contient les rubriques suivantes : Versions et flux de travail SNMP ID d'objet du modle Configuration de vues SNMP Cration d'utilisateurs SNMP Cration de groupes SNMP Dfinition de communauts SNMP Destinataires de notifications Filtres de notification SNMP
SNMP v1 et v2
SNMP v1 et v2 Pour contrler l'accs au systme, une liste d'entres de communaut est dfinie. Chaque entre de communaut est constitue d'une chane de communaut et de son privilge d'accs. Seuls les messages SNMP accompagns d'une chane de communaut et d'une opration appropries reoivent une rponse du systme.
296
Configuration de SNMP
Versions et flux de travail SNMP
19
Les agents SNMP maintiennent une liste de variables utilises pour grer le commutateur. Ces variables sont dfinies dans une base d'informations de gestion (MIB, Management Information Base). La base MIB prsente les variables contrles par l'agent.
REMARQUE Le protocole SNMPv2 prsente des vulnrabilits en matire de scurit qui ont
SNMP v3
SNMP v3 En plus de la fonctionnalit fournie par SNMP v1 et v2, SNMP v3 applique un contrle d'accs et de nouveaux mcanismes de trap aux PDU SNMPv1 et SNMPv2. SNMPv3 dfinit galement un modle de scurit utilisateur (USM, User Security Model) qui inclut : Authentification : fournit une intgrit des donnes et une authentification de leur origine. Confidentialit : fournit une protection contre la divulgation du contenu des messages. Cipher Block-Chaining (CBC) est utilis pour le cryptage. Soit l'authentification seule est active sur un message SNMP, soit l'authentification et la confidentialit. Cependant, la confidentialit ne peut pas tre active sans authentification. Actualit : fournit une protection contre les retards de messages ou les attaques de lecture. L'agent SNMP compare l'horodatage du message entrant par rapport l'heure d'arrive du message. Gestion de cls : dfinit la gnration, les mises jour et l'utilisation des cls. Le commutateur prend en charge des filtres de notification SNMP bass sur des ID d'objet (OID). Les ID d'objet sont utiliss par le systme pour grer des fonctionnalits d'unit.
297
Configuration de SNMP
Versions et flux de travail SNMP
19
SNMP, vous devez l'activer l'aide de Scurit-> Services TCP/UDP. Ci-dessous figure une srie d'actions recommandes pour la configuration de SNMP : Si vous dcidez d'utiliser SNMP v1 ou v2 : Dfinissez une communaut l'aide de la rubrique Ajouter une communaut SNMP. La communaut peut tre associe des droits d'accs et un affichage en mode de base ou un groupe en mode avanc. (Pour plus d'informations sur les modes de base et avanc, consultez la rubrique Communauts). Il existe deux mthodes pour dfinir des droits d'accs une communaut : Mode de base : les droits d'accs d'une communaut peuvent tre configurs par Lecture seule, Lecture criture ou Admin SNMP. En outre, vous pouvez restreindre l'accs la communaut certains objets de la base MIB uniquement, l'aide d'une vue. Les vues sont dfinies depuis la page Vues SNMP . Mode avanc : les droits d'accs une communaut sont dfinis par un groupe. Vous pouvez configurer le groupe avec un modle de scurit spcifique. Les droits d'accs dans un groupe sont dfinis par un accs Lecture, criture et Notifier aux vues souhaites. Les groupes sont dfinis depuis la page Groupes.
Si vous dcidez d'utiliser SNMP v3 : 1. Dfinissez le moteur SNMP, une seule fois, l'aide de la rubrique ID de moteur. 2. Si vous le souhaitez, dfinissez une plusieurs vues SNMP l'aide de la rubrique
Vues SNMP.
3. Dfinissez des groupes l'aide de la rubrique Groupes. 4. Dfinissez des utilisateurs l'aide de la rubrique Utilisateurs SNMP, partir de laquelle ils peuvent tre associs un groupe. Gestion de traps et de notifications pour SNMP v1, v2 ou v3 : 1. Activez ou dsactivez des traps l'aide de la rubrique Paramtres d'interruption. 2. Vous pouvez ventuellement dfinir un ou plusieurs filtres de notification avec la rubrique Filtre de notification. 3. Dfinissez un ou plusieurs destinataires de notification avec la rubrique Destinataires de notification SNMPv1,2 et/ou la rubrique Destinataires de notification SNMPv3, respectivement.
298
Configuration de SNMP
Versions et flux de travail SNMP
19
Configuration de SNMP
Versions et flux de travail SNMP
19
rfc1757.mib rfc1850.mib rfc1907.mib rfc2011.mib rfc2012.mib rfc2013.mib rfc2096.mib rfc2233.mib rfc2571.mib rfc2572.mib rfc2573.mib rfc2574.mib rfc2575.mib rfc2576.mib rfc2613.mib rfc2618.mib rfc2620.mib rfc2665.mib rfc2668.mib rfc2674.mib rfc2737.mib rfc2851.mib rfc2925.mib rfc3621.mib rfc4668.mib rfc4670.mib rmon2.mib
300
Configuration de SNMP
ID d'objet du modle
19
SNMPv2-CONF.mib SNMPv2-SMI.mib SNMPv2-TC.mib trunk.mib udp-mib.mib
ID d'objet du modle
Ci-dessous figurent les ID d'objet (OID) du modle de commutateur : Nom du modle SG 300-10 SG 30010MP SG 300-10P SG 300-20 SG 300-28 SG 300-28P SG 300-52 SF 300-08 SF 302-08 SF 30208MP Description Commutateur gr Gigabit 10 ports Commutateur gr PoE Gigabit 10 ports Commutateur gr PoE Gigabit 10 ports Commutateur gr Gigabit 20 ports Commutateur gr Gigabit 28 ports Commutateur gr PoE Gigabit 28 ports Commutateur gr Gigabit 52 ports Commutateur gr 10/100 huit ports Commutateur gr 10/100 huit ports Commutateur gr PoE 10/ 100 huit ports Ports g1-g10 g1-g10 g1-g10 g1-g20 g1-g28 g1-g28 g1-g52 e1-e8 e1-e8, g1-g2 e1-e8, g1-g2 ID d'objet 9.6.1.83.10.1 9.6.1.83.10.3 9.6.1.83.10.2 9.6.1.83.20.1 9.6.1.83.28.1 9.6.1.83.28.2 9.6.1.83.52.1 9.6.1.82.08.4 9.6.1.82.08.1 9.6.1.82.08.3
301
Configuration de SNMP
ID de moteur SNMP
19
Nom du modle SF 302-08P SF 300-24 SF 300-24P SF 300-48 SF 300-48P Description Commutateur gr PoE 10/ 100 huit ports Commutateur gr 10/100 24 ports Commutateur gr PoE 10/ 100 24 ports Commutateur gr 10/100 48 ports Commutateur gr PoE 10/ 100 48 ports Ports e1-e8, g1-g2 e1-e24, g1-g4 e1-e24, g1-g4 e1-e48, g1-g4 e1-e48, g1-g4 ID d'objet 9.6.1.82.08.2 9.6.1.82.24.1 9.6.1.82.24.2 9.6.1.82.48.1 9.6.1.82.48.2
Les ID d'objet se trouvent dans : enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1). La racine de la MIB (base d'informations de gestion) est 1.3.6.1.4.1.9.6.1.101.
ID de moteur SNMP
L'ID de moteur est uniquement utilis par des entits SNMPv3 afin de les identifier de faon unique. Un agent SNMP est considr comme un moteur SNMP faisant autorit. Cela signifie que l'agent rpond aux messages entrants (Get, GetNext, GetBulk, Set) et qu'il envoie des messages Trap un gestionnaire. Les informations locales de l'agent sont encapsules dans des champs au sein du message. Chaque agent SNMP conserve des informations locales utilises dans des changes de messages SNMPv3 (ne s'applique pas SNMPv1 ou SNMPv2). L'ID de moteur SNMP par dfaut est constitu du numro d'entreprise et de l'adresse MAC par dfaut. L'ID de moteur SNMP doit tre unique pour le domaine d'administration afin que deux units dans un rseau ne possdent pas le mme ID de moteur. Les informations locales sont stockes dans quatre variables MIB en lecture-seule (snmpEngineId, snmpEngineBoots, snmpEngineTime et snmpEngineMaxMessageSize).
!
ATTENTION Lorsque l'ID de moteur est modifi, tous les utilisateurs et groupes configurs sont
effacs.
302
Configuration de SNMP
Configuration de vues SNMP
19
Valeurs par dfaut : slectionnez cette option pour utiliser l'ID de moteur gnr par l'unit. L'ID de moteur par dfaut se base sur l'adresse MAC du commutateur et est dfini de manire standard par : 4 premiers octets : premier bit = 1, le reste correspond au numro d'entreprise IANA. Cinquime octet : dfini l'aide de la valeur 3 pour indiquer l'adresse MAC qui suit. 6 derniers octets : adresse MAC du commutateur.
Aucun : aucun ID de moteur n'est utilis. Dfini par l'utilisateur : saisissez l'ID de moteur de l'unit locale. La valeur du champ est une chane hexadcimale (plage : 10 - 64). Chaque octet dans les chanes de caractres hexadcimales est reprsent par deux chiffres hexadcimaux. Chaque octet peut tre spar par un point ou deux points.
Configuration de SNMP
Configuration de vues SNMP
19
vue. Les vues suivantes existent par dfaut : Default : vue SNMP par dfaut pour les vues en lecture et en lecture/ criture. DefaultSuper : vue SNMP par dfaut pour les vues d'administrateur.
D'autres vues peuvent tre ajoutes. Sous-arborescence d'ID d'objet : affiche la sous-arborescence inclure ou exclure de la vue SNMP. Vue de sous-arborescence d'ID d'objet : indique si la sous-arborescence dfinie est incluse ou exclue dans la vue SNMP slectionne.
TAPE 3 Cliquez sur Ajouter pour dfinir de nouvelles vues. La rubrique Ajouter une vue
s'ouvre.
TAPE 4 Saisissez les paramtres.
Nom de la vue : saisissez un nom de vue. Sous-arborescence d'ID d'objet : slectionnez le nud dans l'arborescence de la base MIB qui est inclus ou exclu dans le filtre de notification slectionn. Les options pour slectionner l'objet se prsentent comme suit : Slectionner dans la liste : vous permet de naviguer dans l'arborescence MIB. Appuyez sur la touche Haut pour accder au niveau du pre et de la fratrie du nud slectionn ; appuyez sur la touche Bas pour descendre vers le niveau des descendants du nud slectionn. Cliquez sur des nuds dans la vue pour passer d'un nud son frre. Utilisez la barre de dfilement pour faire apparatre les fratries dans une vue. Dfini par l'utilisateur : saisissez un ID d'objet qui n'est pas propos dans l'option Slectionner dans la liste (le cas chant). Tous les descendants de ce nud sont inclus ou exclus dans le filtre.
En cas d'utilisation de Slectionner dans la liste, l'identificateur d'objet du nud slectionn est inclus dans la vue ou exclus de celle-ci, selon que l'option Inclure dans la vue est slectionne ou pas.
304
Configuration de SNMP
Cration de groupes SNMP
19
En cas d'utilisation de Dfini par l'utilisateur, l'identificateur d'objet saisi est inclus dans la vue ou exclus de celle-ci, selon que l'option Inclure dans la vue est slectionne ou pas.
l'identificateur d'objet du nud slectionn est inclus dans la vue ou exclus de celle-ci, selon que l'option Inclure dans la vue soit ou non slectionne. En cas d'utilisation d'ID d'objet, l'identificateur d'objet saisi est inclus dans la vue ou exclus de celle-ci, selon que l'option Inclure dans la vue soit ou non slectionne. Cela signifie que le nud et tous ses descendants sont inclus dans la vue ou exclus de celle-ci. Les vues SNMP sont dfinies et le commutateur est mis jour.
Ainsi, dans SNMPv3, il existe trois niveaux de scurit : Aucune scurit Authentification Authentification et confidentialit (notez que deux groupes du mme nom, l'un avec l'authentification et l'autre avec la confidentialit, doivent tre ajouts).
En outre, en associant chaque utilisateur un groupe, SNMPv3 fournit un moyen de contrler ce que les utilisateurs - mme autoriss et authentifis - peuvent afficher et effectuer. Un groupe est une tiquette pour une entit logique (combinaison d'attributs). Un groupe est oprationnel uniquement lorsqu'il est associ avec un utilisateur SNMP ou une communaut SNMP.
Guide d'administration du commutateur administrable Cisco Small Business srie 300 305
Configuration de SNMP
Cration de groupes SNMP
19
Un groupe possde galement un attribut qui indique si des membres doivent disposer d'un accs en lecture, en criture et/ou de privilges de notification pour l'affichage. Pour crer un groupe SNMP :
Nom du groupe : saisissez un nom de nouveau groupe pour lequel des privilges sont dfinis. La plage du champ peut atteindre 30 caractres ASCII. Modle de scurit : slectionnez la version SNMP jointe au groupe. Niveau de scurit : dfinissez le niveau de scurit joint au groupe. Les niveaux de scurit s'appliquent SNMPv3 uniquement. Aucune authentification : les niveaux de scurit Authentification ou Confidentialit ne sont pas affects au groupe. Authentification : authentifie les messages SNMP et s'assure que l'origine du message SNMP est authentifie. Cependant, elle ne les crypte pas, ils peuvent donc tre intercepts et lus. Confidentialit : cryptage des messages SNMP.
Vues : dfinissez des droits d'accs au groupe par groupe. Les options disponibles sont les suivantes : Lecture : l'accs la gestion est en lecture seule pour la vue slectionne. Sinon, un utilisateur ou une communaut associ ce groupe peut lire toutes les bases MIB, l'exception des MIB qui contrlent le SNMP mme. Ecriture : l'accs la gestion est en criture pour la vue slectionne. Sinon, un utilisateur ou une communaut associ(e) ce groupe peut crire sur toutes les bases MIB, l'exception des MIB qui contrlent le SNMP lui-mme. Notifier : envoie uniquement des traps avec du contenu inclus dans la vue SNMP slectionne pour une notification. Sinon, il n'existe aucune restriction sur le contenu des traps. Cette option peut tre slectionne pour SNMP v3 uniquement.
TAPE 4 Cliquez sur Appliquer. Le groupe SNMP est dfini et le commutateur est mis jour.
306
Configuration de SNMP
Cration d'utilisateurs SNMP
19
Les utilisateurs SNMP ne sont pas enregistrs dans le fichier de configuration pour des raisons de scurit. En cas d'approvisionnement d'utilisateurs SNMP et d'enregistrement de la configuration, les utilisateurs SNMP ne sont pas conservs ; vous devez les saisir nouveau manuellement. Pour afficher des utilisateurs SNMP et en dfinir de nouveaux :
TAPE 1 Cliquez sur SNMP > Utilisateurs. La rubrique Utilisateurs SNMP s'ouvre.
Cette page fournit des informations quant l'affectation de privilges de contrle d'accs SNMP des utilisateurs SNMP.
307
Configuration de SNMP
Cration d'utilisateurs SNMP
19
Nom d'utilisateur : saisissez un nom d'utilisateur. ID de moteur : slectionnez l'entit SNMP locale ou distante laquelle l'utilisateur est connect. La modification ou la suppression de l'ID de moteur SNMP local supprime la base de donnes d'utilisateurs SNMPv3. Pour recevoir des informations et des informations de demande, vous devez dfinir un utilisateur local et un utilisateur distant. Local : l'utilisateur est connect une entit SNMP locale. L'utilisateur peut demander des informations mais il ne reoit aucun message d'information. Distant : l'utilisateur est connect une entit SNMP distante. Si un ID de moteur distant est dfini, les units distantes reoivent des messages d'information, mais ne peuvent effectuer de demandes d'information. Saisissez l'ID de moteur distant. Nom du groupe : slectionnez les groupes SNMP auxquels appartient l'utilisateur SNMP. Les groupes SNMP sont dfinis depuis la rubrique Ajouter un groupe. Mthode d'authentification : slectionnez la mthode d'authentification. Les options disponibles sont les suivantes : Aucune : aucune authentification d'utilisateur n'est utilise. Mot de passe MD5 : les utilisateurs doivent saisir un mot de passe crypt, l'aide de la mthode d'authentification MD5. Mot de passe SHA : les utilisateurs doivent saisir un mot de passe crypt, l'aide de la mthode d'authentification SHA (Secure Hash Algorithm). Cl MD5 : les utilisateurs sont authentifis l'aide d'une cl MD5 valide. Cl SHA : les utilisateurs sont authentifis l'aide d'une SHA valide.
Mot de passe : si l'authentification est accomplie via un mot de passe MD5 ou SHA, saisissez le mot de passe de l'utilisateur local. Les mots de passe d'utilisateur local sont compars la base de donnes locale et peuvent contenir jusqu' 32 caractres ASCII.
308
Configuration de SNMP
Dfinition de communauts SNMP
19
Cl d'authentification : si la mthode d'authentification correspond une cl MD5 ou SHA, saisissez la cl d'authentification MD5 ou SHA. Si la cl MD5 est slectionne, 16 octets sont requis. Si la cl SHA est slectionne, 20 octets sont requis. Cl de confidentialit : si la mthode d'authentification correspond une cl MD5 ou SHA, saisissez la cl de confidentialit MD5 ou SHA. Si la cl MD5 est slectionne, 16 octets sont requis. Si la cl SHA est slectionne, 20 octets sont requis.
309
Configuration de SNMP
Dfinition de communauts SNMP
19
Cette page permet aux gestionnaires de rseaux de dfinir et de configurer de nouvelles communauts SNMP.
TAPE 3 Station de gestion SNMP : cliquez sur Dfini par l'utilisateur pour saisir l'adresse
IP de la station de gestion qui peut accder la communaut SNMP. Sinon, cliquez sur Toutes, afin d'indiquer que n'importe quelle unit IP peut accder la communaut SNMP. Version IP : slectionnez IPv4 ou IPv6. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 pris en charge, en cas d'utilisation d'IPv6). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut uniquement servir qu' la communication sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplacera l'adresse dans la configuration. Global : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux.
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, slectionnez si la rception s'effectue via VLAN2 ou ISATAP. Adresse IP : saisissez l'adresse IPv4 de la station de gestion SNMP. Chane de communaut : saisissez le nom de la communaut (mot de passe) servant authentifier la station de gestion auprs de l'unit. De base : slectionnez ce mode pour une communaut spcifique. Avec ce mode, aucune connexion n'est tablie avec quelque groupe que ce soit. Vous pouvez uniquement choisir le niveau d'accs de la communaut (lecture seule, lecture criture ou administration) et, facultativement, le faire davantage correspondre une vue. Par dfaut, cela s'applique la totalit d'une base MIB. Si cette option est slectionne, saisissez les champs suivants :
310
Configuration de SNMP
Dfinition de paramtres de messages trap
19
Mode d'accs : slectionnez les droits d'accs de la communaut. Les options disponibles sont les suivantes : Lecture seule L'accs la gestion est restreint la lecture seule. Aucune modification ne peut tre apporte la communaut. Lecture/criture L'accs la gestion est en lecture/criture. Des modifications peuvent tre apportes qu' la configuration d'unit, pas la communaut. Admin SNMP L'utilisateur dispose d'un accs toutes les options de configuration d'unit ainsi qu'aux autorisations de modification de la communaut. Admin quivaut la lecture/criture pour toutes les bases MIB, l'exception des bases MIB SNMP. Admin est requis pour l'accs aux bases MIB SNMP.
Nom de la vue : slectionnez une vue SNMP (collecte de sousarborescences de bases MIB auxquelles un accs est accord).
Avanc : slectionnez ce mode pour une communaut spcifique. Nom du groupe : slectionnez un groupe SNMP qui dtermine les droits d'accs.
TAPE 4 Cliquez sur Appliquer. La communaut SNMP est dfinie et le commutateur mis
jour.
d'interruption s'ouvre.
TAPE 2 Slectionnez Activer pour Notifications SNMP pour spcifier que le
311
Configuration de SNMP
Destinataires de notifications
19
Destinataires de notifications
Des messages trap sont gnrs pour signaler des vnements systme, tels que dfinis dans la RFC 1215. Le systme peut gnrer des messages trap dfinis dans la base MIB qu'il prend en charge. Les destinations du trap (connus sous le nom de destinataires de notification) sont des nuds rseau o des messages trap sont envoys par le commutateur. Plusieurs destinations du trap sont dfinies dans une liste en tant que cibles de messages trap . Une entre de destination du trap contient l'adresse IP du nud et les informations SNMP qui correspondent la version qui doit tre incluse dans le message du trap. Lorsqu'un vnement se prsente et ncessite l'envoi d'un message du trap, il est envoy vers chaque nud rpertori dans la liste de destinations du trap. La rubrique Destinataires de notification SNMPv1,2 et la rubrique Destinataires de notification SNMPv3 permettent la configuration de la destination d'envoi de notifications SNMP ainsi que les types des notifications SNMP qui sont envoys vers chaque destination (traps ou informations). Les messages contextuels Ajouter/Modifier permettent la configuration des attributs des notifications. Une notification SNMP est un message envoy depuis le commutateur vers la station de gestion SNMP qui indique qu'un vnement spcifique s'est produit, tel que l'activation/la dsactivation d'une liaison. Vous pouvez galement filtrer certaines notifications. Pour cela, vous pouvez crer un filtre dans la rubrique Filtre de notification et le joindre un destinataire de notification SNMP. Le filtre de notification permet le filtrage du type des notifications SNMP envoyes la station de gestion, en fonction de l'ID d'objet de la notification sur le point d'tre envoye.
312
Configuration de SNMP
Destinataires de notifications
19
s'ouvre.
TAPE 3 Saisissez les paramtres.
Version IP : slectionnez IPv4 ou IPv6. Type d'adresse IPv6 : slectionnez soit Liaison locale, soit Global. Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut uniquement servir qu' la communication sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration. Global : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux.
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, slectionnez si la rception s'effectue via VLAN2 ou ISATAP. Adresse IP du destinataire : saisissez l'adresse IP vers laquelle les traps sont envoyes. Port UDP : saisissez le port UDP utilis pour les notifications sur l'unit du destinataire. Chane de communaut : saisissez la chane de communaut du gestionnaire des traps. Type de notification : indiquez le type de donnes envoyer (Traps ou Informations). Si les deux sont ncessaires, deux destinataires doivent tre crs. Version de notification : slectionnez la version SNMP du trap. SNMPv1 ou SNMPv2 peut tre utilis en tant que version des traps une seule version ne pouvant tre active la fois.
313
Configuration de SNMP
Destinataires de notifications
19
Filtre de notification : slectionnez si activer le filtrage du type des notifications SNMP transmises la station de gestion. Les filtres sont crs partir de la rubrique Filtre de notification. Nom du filtre : slectionnez le filtre SNMP qui dfinit les informations contenues dans des traps (dfinies dans la rubrique Filtre de notification). Dlai d'expiration (informations) : saisissez le nombre de secondes d'attente de l'unit avant de renvoyer des informations. Priode : 1-300, par dfaut : 15. Tentatives d'envoi (informations) : saisissez le nombre de fois o l'unit renvoie une demande d'information. Plage de nouvelles tentatives : 1 255, par dfaut: 3
TAPE 4 Cliquez sur Appliquer. Les paramtres de destinataire de notification SNMP sont
s'ouvre.
TAPE 3 Saisissez les paramtres.
Version IP : slectionnez IPv4 ou IPv6. Type d'adresse IPv6 : slectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options disponibles sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manire unique l'hte situ sur une seule liaison rseau. Une adresse locale de liaison possde le prfixe FE80, ne peut tre route et ne peut servir la communication que sur le rseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette entre remplace l'adresse dans la configuration.
314
Configuration de SNMP
Destinataires de notifications
19
Global : l'adresse IPv6 est de type IPV6 de monodiffusion globale, visible et joignable depuis d'autres rseaux. Interface de liaison locale : slectionnez dans la liste de liaison locale (si la liaison locale du type d'adresse IPv6 est slectionne). Adresse IP du destinataire : saisissez l'adresse IP vers laquelle les traps sont envoyes. Port UDP : saisissez le port UDP utilis pour les notifications sur l'unit du destinataire. Nom d'utilisateur : saisissez l'utilisateur vers lequel sont envoyes les notifications SNMP. Niveau de scurit : slectionnez le niveau d'authentification appliqu au paquet. Les options disponibles sont les suivantes : Aucune authentification : indique que le paquet n'est jamais authentifi ni crypt. Authentification : indique que le paquet est authentifi mais pas crypt. Confidentialit : indique que le paquet est la fois authentifi et crypt.
Type de notification : indiquez le type de donnes envoyer (Traps ou Informations). Si les deux sont ncessaires, deux destinataires doivent tre crs. Filtre de notification : slectionnez si activer le filtrage du type des notifications SNMP transmises la station de gestion. Les filtres sont crs partir de la rubrique Filtre de notification. Nom du filtre : slectionnez le filtre SNMP qui dfinit les informations contenues dans des traps (dfinies dans la rubrique Filtre de notification). Dlai d'expiration (informations) : saisissez la dure (en secondes) d'attente de l'unit avant de renvoyer des informations/traps. Expiration : plage de 1 300, par dfaut : Tentatives d'envoi (informations) : saisissez le nombre de fois o l'unit renvoie une demande d'information. Tentatives : plage de 1 255, 3 par dfaut
TAPE 4 Cliquez sur Appliquer. Les paramtres de destinataire de notification SNMP sont
315
Configuration de SNMP
Filtres de notification SNMP
19
La rubrique Filtre de notification permet la configuration de filtres de notification SNMP et d'ID d'objets qui ont t vrifis. Aprs la cration d'un filtre de notification, il est possible de le joindre un destinataire de notification depuis la rubrique Destinataires de notification SNMPv1,2 et la rubrique Destinataires de notifications SNMPv3. Le filtre de notification permet le filtrage du type des notifications SNMP envoyes la station de gestion, en fonction de l'ID d'objet de la notification envoyer. Pour dfinir un filtre de notification :
TAPE 1 Cliquez sur SNMP > Filtre de notification. La rubrique Filtre de notification s'ouvre.
La rubrique Filtre de notification affiche les informations de notification pour chaque filtre. Ce tableau peut filtrer des entres de notification par nom de filtre.
TAPE 2 Cliquez sur Ajouter. La rubrique Ajouter un filtre de notification s'ouvre. TAPE 3 Saisissez les paramtres.
Nom du filtre : saisissez un nom. Sous-arborescence d'ID d'objet : slectionnez le nud dans l'arborescence de la base MIB qui est inclus ou exclus dans la vue SNMP slectionne. Les options disponibles sont les suivantes : Slectionner dans la liste : vous permet de naviguer dans l'arborescence MIB. Cliquez sur Haut pour accder au niveau du pre et de la fratrie du nud slectionn. Cliquez sur Bas pour accder au niveau des descendants du nud slectionn. Cliquez sur les nuds dans la vue pour passer d'un nud son frre. Utilisez la barre de dfilement pour faire apparatre les fratries dans une vue. ID d'objet : saisissez un ID d'objet qui n'est pas propos dans l'option Slectionner dans la liste (le cas chant). Tous les descendants de ce nud sont inclus ou exclus dans la vue. En cas d'utilisation de Slectionner dans la liste, l'identificateur d'objet du nud slectionn est inclus dans le filtre de notification ou exclu de celui-ci, selon que l'option Inclure dans le filtre est slectionne ou non. En cas d'utilisation d'ID d'objet, l'identificateur d'objet saisi est inclus dans la vue ou exclus de celle-ci, selon que l'option Inclure dans le filtre est slectionne ou non.
316
Configuration de SNMP
Filtres de notification SNMP
19
Inclure dans le filtre : en cas d'utilisation de Slectionner dans la liste, l'identificateur d'objet du nud slectionn est inclus dans le filtre de notification ou exclus de celui-ci, selon que l'option Inclure dans le filtre est slectionne ou non. En cas d'utilisation d'ID d'objet, l'identificateur d'objet saisi est inclus dans le filtre de notification ou exclus de celui-ci, selon que l'option Inclure dans le filtre est slectionne ou non. Cela signifie que le nud est tous ses descendants sont inclus dans le filtre de notification ou exclus de celui-ci.
TAPE 4 Cliquez sur Appliquer. Les filtres de notification SNMP sont dfinis et le
317
20
Interface de la console
Le commutateur fournit une interface console base sur des menus pour la configuration de base du commutateur. Cette interface console est utile pour la configuration du commutateur lorsque : le commutateur ne dispose pas d'une adresse IP dfinie, l'adresse IP est inconnue ou seule une connexion directe via un cble srie peut tre utilise pour communiquer avec le commutateur ; vous devez configurer des fonctions - comme le certificat SSL/SSH - qui ne peuvent pas tre gres via l'utilitaire Web de configuration du commutateur.
Vous pouvez tablir une connexion entre le commutateur et votre PC l'aide d'un cble srie, en tablissant une session Telnet ou en utilisant une application d'mulation de terminal. Ce chapitre englobe les rubriques suivantes : Connexion l'aide d'une application d'mulation de terminal Connexion via Telnet Navigation dans le menu de configuration de la console Menu principal de l'interface de console
318
Interface de la console
Connexion l'aide d'une application d'mulation de terminal
20
port COM qui relie votre PC au commutateur dans la liste droulante Se connecter en utilisant. Sinon, slectionnez TCP/IP.
TAPE 6 Passez la section Communication via une connexion avec cble srie ou
paramtres de connexion suivants : Bits par seconde = 115200 Bits de donnes = 8 Parit = Aucun Bits d'arrt = 1 Contrle de flux = Aucun
319
Interface de la console
Connexion l'aide d'une application d'mulation de terminal
20
TAPE 3 Dans la fentre HyperTerminal, appuyez une ou deux fois sur Entre jusqu' ce
que le menu de connexion s'affiche. Appuyez sur Ctrl-R pour actualiser l'cran CLI Login (connexion de l'interface de ligne de commande) ou accdez cet cran partir d'une autre fentre .
TAPE 4 Saisissez cisco (par dfaut) en tant que User Name (nom d'utilisateur). TAPE 5 Saisissez le mot de passe cisco (par dfaut). TAPE 6 Appuyez sur Enter (Entre). REMARQUE S'il s'agit de votre premire ouverture de session ou si les paramtres par dfaut du
commutateur ont t rinitialiss, vous tes invit(e) modifier votre mot de passe. (Consultez la section Paramtres de nom d'utilisateur et de mot de passe afin d'apprendre comment crer et enregistrer un nouveau mot de passe.)
TAPE 7 Slectionnez Execute (Excuter) ou appuyez sur Entre. L'cran Switch Main Menu
l'hte).
TAPE 2 Cliquez sur OK. L'mulation de terminal s'affiche. TAPE 3 Appuyez une ou deux fois sur Entre jusqu' ce que le menu de connexion (Login)
s'affiche. Appuyez sur Ctrl-R pour actualiser l'cran CLI Login ( connexion de l'interface de ligne de commande) ou accdez cet cran partir d'une autre fentre.
TAPE 4 Slectionnez Edit (Modifier) afin de rendre une modification des paramtres possible . TAPE 5 Saisissez cisco (par dfaut) en tant que User Name (nom d'utilisateur) . TAPE 6 Saisissez le username (mot de passe) cisco (par dfaut). TAPE 7 Appuyez sur Enter (Entre).
320
Interface de la console
Connexion via Telnet
20
commutateur ont t rinitialiss, vous tes invit(e) modifier votre mot de passe. L'cran Modification du mot de passe utilisateur s'affiche. Utilisez ces options pour crer et enregistrer un nouveau mot de passe. Consultez Modification du mot de passe utilisateur la page 321. L'cran Menu principal du commutateur s'affiche.
REMARQUE S'il s'agit de votre premire ouverture de session ou si les paramtres par dfaut du
c:\>telnet 192.168.1.114
TAPE 4 Appuyez sur Entre. L'cran Login (Connexion) s'affiche. Appuyez sur Ctrl-R pour
actualiser l'cran CLI Login (connexion de l'interface de ligne de commande) ou accdez cet cran partir d'une autre fentre .
TAPE 5 Saisissez cisco (par dfaut) en tant que User Name (nom d'utilisateur). TAPE 6 Saississez le username (mot de passe) cisco (par dfaut). TAPE 7 Appuyez sur Entre. REMARQUE S'il s'agit de votre premire ouverture de session ou si les paramtres par dfaut du
commutateur ont t rinitialiss, vous tes invit(e) modifier votre mot de passe. L'cran Change User Password (Modifier un mot de passe d'un utilisateur) s'affiche. Utilisez ces options pour crer et enregistrer un nouveau mot de passe. Sinon, l'cran Switch Main Menu (Menu principal du commutateur) s'affiche.
321
Interface de la console
Navigation dans le menu de configuration de la console
20
322
Interface de la console
Menu principal de l'interface de console
20
Si vous quittez (Quit) sans enregistrer les changements, les modifications apportes aux valeurs de paramtres au cours de cette session seront ignores.
323
Interface de la console
Menu principal de l'interface de console
20
File Management (Gestion de fichiers) Delete Startup Configuration (Supprimer la configuration de dmarrage) Reboot to Factory Defaults (Redmarrer avec les paramtres d'origine) Reboot System (Redmarrer le systme)
Informations systme
Chemin d'accs : Switch Main Menu > System Configuration Menu > System Information (Menu principal du commutateur > Menu de configuration du systme > Informations systme) Utilisez le menu System Information (Informations systme) pour afficher les versions du micrologiciel du commutateur ainsi que les informations gnrales se rapportant au systme. Vous pouvez galement modifier le nom d'hte ou la description de l'emplacement. Versions Informations systme gnrales
Versions
Chemin d'accs : Switch Main Menu > System Configuration Menu > System Information > Versions (Menu principal du commutateur > Menu de configuration du systme > Informations systme > Versions)
324
Interface de la console
Menu principal de l'interface de console
20
Paramtres de gestion
Chemin d'accs : Switch Main Menu > System Configuration Menu > Management Settings (Menu principal du commutateur > Menu de configuration du systme > Paramtres de gestion) Le menu Management Settings (Paramtres de gestion) fournit les options suivantes : Serial Port Configuration (Configuration du port srie) Telnet Configuration (Configuration Telnet) SSH Configuration (Configuration SSH) SNMP Configuration (Configuration SNMP)
325
Interface de la console
Menu principal de l'interface de console
20
Configuration Telnet
Chemin d'accs : Switch Main Menu > System Configuration Menu > Management Settings (Menu principal du commutateur > Menu de configuration du systme > Paramtres de gestion)
Configuration SSH
Chemin d'accs : Switch Main Menu > System Configuration Menu > Management Settings (Menu principal du commutateur > Menu de configuration du systme > Paramtres de gestion) Utilisez le menu SSH Configuration (Configuration SSH) pour afficher ou configurer les options suivantes : SSH Server Configuration (Configuration du serveur SSH) SSH Server Status (tat du serveur SSH) SSH Crypto Key Generation (Gnration de cl de cryptage SSH) SSH Keys Fingerprints (Empreintes de cls SSH)
326
Interface de la console
Menu principal de l'interface de console
20
SSH Keys Fingerprints (Empreintes de cls SSH) affiche les cls RSA et DSA (si ces cls ont t gnres).
Slectionnez Refresh (Actualiser) pour mettre l'cran jour.
Configuration SNMP
Chemin d'accs : Switch Main Menu > System Configuration Menu > Management Settings (Menu principal du commutateur > Menu de configuration du systme > Paramtres de gestion) Utilisez SNMP Configuration (Configuration SNMP) pour activer ou dsactiver SNMP sur le commutateur.
327
Interface de la console
Menu principal de l'interface de console
20
Paramtres de scurit
Chemin d'accs : Switch Main Menu > System Configuration Menu (Menu principal du commutateur > Menu de configuration du systme) Utilisez Security Settings (Paramtres de scurit) pour configurer la scurit sur le commutateur ainsi que pour gnrer et afficher le certificat SSL.
328
Interface de la console
Menu principal de l'interface de console
20
Country Name (Nom du pays) : indique le nom du pays. (Utilisez un code deux caractres.) Validity Term (Dure de validit) : indique le nombre de jours de validit de la certification. (Plage : 303650)
Afficher le certificat
Chemin d'accs : Switch Main Menu > System Configuration Menu > Security Settings (Menu principal du commutateur > Menu de configuration du systme > Paramtres de scurit) Utilisez Show Certificate (Afficher le certificat) pour afficher le certificat SSL interne.
329
Interface de la console
Menu principal de l'interface de console
20
Configuration IP
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration (Menu principal du commutateur > Menu de configuration du systme > Configuration IP) Utilisez le menu IP Configuration (Configuration IP) pour configurer les options suivantes : IPv4 Address Configuration (Configuration d'adresse IPv4) IPv6 Address Configuration (Configuration d'adresse IPv6) HTTP Configuration (Configuration HTTP) HTTPS Configuration (Configuration HTTPS) Network configuration (Configuration rseau) IPv4 Default Route (Layer 3 devices only) (Route par dfaut IPv4 (appareils de Niveau 3 uniquement))
330
Interface de la console
Menu principal de l'interface de console
20
Default Gateway (Passerelle par dfaut) : saisissez l'adresse de la passerelle par dfaut du commutateur (Paramtres d'adresse IPv4). Management VLAN (VLAN de gestion) : saisissez l'ID du VLAN de gestion (Paramtres d'adresse IPv4). Client DHCP (Client DHCP) : utilisez la barre d'espacement pour activer ou dsactiver le client DHCP. Interface Type (Type d'interface) : slectionnez le type d'interface : LAG, VLAN ou GE (ajout d'adresse IPv4). Interface Number (Numro d'interface) : saisissez le numro d'interface (ajout d'adresse IPv4).
La IP Address Table (Table des adresses IP) affiche les adresses IPv4 du Niveau 3.
Delete/Keep (Supprimer/Conserver) : utilisez la barre d'espacement pour basculer entre Delete (Supprimer) et Keep (Conserver). Lorsque l'action est excute, cette entre est applique en fonction de votre slection.
331
Interface de la console
Menu principal de l'interface de console
20
La IPv6 Address Table (Table des adresses IPv6) affiche les adresses IPv6 de
chaque interface.
332
Interface de la console
Menu principal de l'interface de console
20
Utilisez l'option ISATAP Tunnel (Tunnel ISATAP) pour activer et configurer les paramtres de tunnel ISATAP IPv6. Pour plus d'informations, consultez la section Dfinition d'une interface IPv6 du chapitre Configuration des informations IP.
Configuration HTTP
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > HTTP Configuration (Menu principal du commutateur > Menu de configuration du systme > Configuration IP > Configuration HTTP) Utilisez l'option HTTP Configuration (Configuration HTTP) pour activer ou dsactiver le serveur HTTP et dfinir le numro de port du serveur HTTP.
333
Interface de la console
Menu principal de l'interface de console
20
Configuration HTTPS
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > HTTPS Configuration (Menu principal du commutateur> Menu de configuration du systme > Configuration IP > Configuration HTTPS) Utilisez l'option Configuration HTTPS (HTTPS Configuration) pour activer ou dsactiver le serveur HTTPS, dfinir le numro de port du serveur HTTPS ou vrifier l'tat du certificat HTTPS.
Configuration rseau
Chemin d'accs : Switch Main Menu > System Configuration Menu > Network Configuration (Menu principal du commutateur > Menu de configuration du systme > Configuration rseau) Utilisez le menu Network Configuration (Configuration rseau) pour configurer les options suivantes : Ping <IPv4> (Ping <IPv4>) Ping <IPv6> (Ping <IPv6>) TraceRoute IPv4 (TraceRoute IPv4) TraceRoute IPv6 (TraceRoute IPv6) Telnet Session (Session Telnet)
Ping IPv4
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > Network Configuration > TraceRoute IPv4 (Menu principal du commutateur > Menu de configuration du systme > Configuration IP > Configuration rseau > Ping IPv4) Utilisez l'option Ping IPv4 (Ping IPv4) pour entrer l'adresse IPv4 que vous souhaitez tester. Slectionnez Execute (Excuter) pour lancer le test. Les rsultats de la commande ping s'affichent dans les champs Status (tat) et Statistics (Statistiques).
334
Interface de la console
Menu principal de l'interface de console
20
Ping IPv6
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > Network Configuration > Ping IPv6 (Menu principal du commutateur > Menu de configuration du systme > Configuration IP > Configuration rseau > Ping IPv6) Utilisez l'option Ping IPv6 pour entrer l'adresse IPv6, le type d'interface (VLAN, LAG, FE, GE) et l'ID d'interface que vous souhaitez tester. Slectionnez Execute (Excuter) pour lancer le test. Les rsultats de la commande ping s'affichent dans les champs Status (tat) et Statistics (Statistiques).
TraceRoute IPv4
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > Network Configuration > TraceRoute IPv4 (Menu principal du commutateur > Menu de configuration du systme > Configuration IP > Configuration rseau > TraceRoute IPv4) Utilisez l'option TraceRoute IPv4 pour entrer l'adresse IPv4 de la route rseau dont vous souhaitez suivre le cheminement. Slectionnez Execute (Excuter) pour lancer le test. Les rsultats s'affichent dans le champ Status (tat). Une fois le test traceroute termin, il affiche l'adresse IP l'tat et les statistiques du test. ,
TraceRoute IPv6
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > Network Configuration > TraceRoute IPv6 (Menu principal du commutateur > Menu de configuration du systme > Configuration IP > Configuration rseau > TraceRoute IPv6) Utilisez l'option TraceRoute IPv6 pour entrer l'adresse IPv6 de la route rseau dont vous souhaitez suivre le cheminement. Slectionnez Execute (Excuter) pour lancer le test. TraceRoute affiche l'adresse IP, l'tat et les statistiques du test traceroute dans les champs tat et Rsultats.
Session Telnet
Chemin d'accs : Switch Main Menu > System Configuration Menu > IP Configuration > Network Configuration > Telnet Session (Menu principal du commutateur > Menu de configuration du systme > Configuration IP > Configuration rseau > Session Telnet)
335
Interface de la console
Menu principal de l'interface de console
20
Utilisez Telnet Session Configuration (Configuration de la session Telnet) pour entrer l'adresse IP de l'emplacement que vous souhaitez atteindre en utilisant une connexion Telnet.
Gestion de fichiers
Chemin d'accs : Switch Main Menu > System Configuration Menu > File Management (Menu principal du commutateur > Menu de configuration du systme > Gestion de fichiers) Utilisez le menu File Management (Gestion de fichiers) pour tlcharger des fichiers ou modifier l'image active. Upgrade/Backup <IPv4> (Mettre niveau/sauvegarder <IPv4>) Upgrade/Backup <IPv6> (Mettre niveau/sauvegarder <IPv6>) Active Image (Image active)
Deux images de micrologiciel, Image1 et Image2, sont stockes sur le commutateur. Une des images est identifie en tant qu'image active et l'autre en tant qu'image inactive. Le commutateur dmarre partir de l'image que vous avez dfinie en tant qu'image active. Lors de la mise niveau du micrologiciel, la nouvelle image remplace toujours celle identifie comme tant l'image inactive. Une fois le nouveau micrologiciel tlcharg sur le commutateur, celui-ci continue de dmarrer en utilisant l'image active (l'ancienne version) jusqu' ce que vous changiez l'tat de la nouvelle image en image active. Vous pouvez changer en image active l'image identifie en tant qu'image inactive en suivant la procdure dcrite dans la section Image active.
336
Interface de la console
Menu principal de l'interface de console
20
L'APPAREIL. Dfinissez le fichier source sur TFTP et le fichier de destination sur boot (dmarrage) en utilisant la barre d'espacement pour passer d'une valeur l'autre. Nom du fichier correspond au nom du fichier de dmarrage tlcharger. Adresse IP correspond l'adresse IP du serveur TFTP.
TAPE 2 Si ncessaire, tlchargez la nouvelle image du micrologiciel. Dfinissez le fichier
source sur TFTP et le fichier de destination sur image en utilisant la barre d'espacement pour passer d'une valeur l'autre. Nom du fichier correspond au nom du fichier image tlcharger. Adresse IP correspond l'adresse IP du serveur TFTP.
TAPE 3 Changez l'image active en utilisant le menu Active Image (Image active). TAPE 4 Redmarrez le commutateur.
337
Interface de la console
Menu principal de l'interface de console
20
Image active
Chemin d'accs : Switch Main Menu > System Configuration Menu > File Management > Active Image (Menu principal du commutateur > Menu de configuration du systme > Gestion de fichiers > Image active) L'cran Active Image (Image active) affiche et indique si Image1 ou Image 2 est active, ainsi que la version de micrologiciel associe l'image.
338
Interface de la console
Menu principal de l'interface de console
20
Redmarrer le systme
Chemin d'accs : Switch Main Menu > System Configuration Menu > Reboot System (Menu principal du commutateur > Menu de configuration du systme > Redmarrer le systme) Slectionnez Reboot System (Redmarrer le systme) et appuyez sur Enter (Entre) si vous souhaitez redmarrer le commutateur. Le programme vous demande si vous souhaitez poursuivre cette opration. Saisissez O pour redmarrer le commutateur ou N pour annuler.
tat PoE
Chemin d'accs : Switch Main Menu > Port Status > PoE Status (Menu principal du commutateur > tat des ports > tat PoE)
339
Interface de la console
Menu principal de l'interface de console
20
Configuration PoE
Chemin d'accs : Switch Main Menu > Port Configuration Menu > PoE Configuration (Menu principal du commutateur > Menu de configuration des ports > Configuration PoE) Utilisez Poe Configuration (Configuration PoE) pour modifier les paramtres PoE des ports PoE. Vous pouvez dfinir la priorit des ports (faible, leve ou critique via respectivement Low, High et Critical), activer (enable) ou dsactiver (disable) PoE et dfinir l'affectation de puissance (en mW) via Power Allocation (in mW) .
Mode du systme
Chemin d'accs : Switch Main Menu > System Mode (Menu principal du commutateur > Mode du systme) Utilisez System Mode (Mode du systme) pour tablir le commutateur sur le niveau 2 ou sur le niveau 3 (respectivement Layer 2 ou Layer 3).
340
Interface de la console
Menu principal de l'interface de console
20
Aide
Chemin d'accs : Switch Main Menu > Help (Menu principal du commutateur > Aide) Slectionnez Help (Aide) pour afficher des informations se rapportant la navigation dans les options de l'interface console.
Se dconnecter
Chemin d'accs : Switch Main Menu > Logout (Menu principal du commutateur > Se dconnecter) Slectionnez Logout (Se dconnecter) pour mettre fin la session de console en cours.
341
CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco Ironport, le logo Cisco, Cisco Lumin, Cisco Nexus, Cisco Nurse Connect, Cisco Stackpower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flip Video, Flip Video (Design), Flipshare (Design), Flip Ultra et Welcome to the Human Network sont des marques commerciales ; Changing the Way We Work, Live, Play, Learn, Cisco Store et Flip Gift Card sont des marques de service ; et Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx et le WebEx sont des marques de commerce dposes de Cisco Systems, Inc. et/ou ses socits affilies aux tats-Unis et dans quelques autres pays. Toutes les autres marques commerciales mentionnes dans ce document ou sur ce site Web appartiennent leurs propritaires respectifs. Lutilisation du mot partenaire nimplique pas de relation de partenariat entre Cisco et une autre socit. (0907R)
78-19308-01