cisco [WIKI SIO : DEPUIS 2017]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.
====== Switch Cisco ======

===== Administrer par le port console =====
L'administration par port console utilise les paramètres suivants : 
  * Bits de données : 8 bits
  * Bit stop = 1 bit
  * Bit de parité : aucun (none)
  * Contrôle de flux de données : XON/XOFF
  * Débit : 9600 bits/s

===== Mode d'accès =====
Une fois établie la connexion avec le switch (par le réseau ou le câble console), on tombe sur le niveau **//sans privilèges//** qui permet quelques manipulations de diagnostic. 
<code cisco>switch> </code>

On passera dans le mode **//privilège//** grâce à la commande //enable// de manière à pouvoir réaliser la sauvegarde notamment.
<code cisco>enable
switch#
</code>

On pourra passer en mode **//configuration//** pour réaliser le paramétrage du switch
<code cisco>conf t
switch (config)#</code>
===== Réinitialiser le switch =====
La réinitialisation passe par un appui long sur le bouton en façade.

Si on a accès à la console, on peut aussi utiliser la syntaxe <code cisco>write erase</code>



===== Visualiser la configuration =====
On peut connaître de multiples éléments de la configuration. On utilise la commande **//show//** depuis le niveau mode //privilège//. 

==== Voir l'ensemble du paramétrage ====
<code cisco>sho run</code>

==== Voir la configuration des vlan ====
<code cisco>sho vlan</code>

==== Voir le paramétrage ip ====
<code cisco>sho ip interface</code>

===== Accès aux interfaces =====
Les interfaces sont nommées fa0/<n°_interface> (ethernet 100 Mbps) et gi0/<n°_interface> (ethernet 1 Gbps).

L'accès à une interface s'écrit <code cisco>interface fastethernet<N°_interface></code> ou <code cisco>interface gigabit <N°_interface></code> 

__Remarque__ : s'il y a plusieurs modules d'interface, //**fa0/x**// peut-être décliné en **//fa1/x//**, etc. 

L'accès à une plage d'adresse s'écrit : <code cisco> interface range fa0/<n°départ>-<n°fin> </code>

===== Créer un VLAN =====
La création de VLAN se passe en deux temps : 
  * Déclarer le vlan
  * Le paramétrer et l'activer

==== Déclarer un VLAN ====
<code lscript>vlan <n°_vlan>
</code>

==== Paramétrer le VLAN ====
<code lscript>
interface vlan <n°_vlan>
name <nom_du_vlan>
</code>
===== Mettre un port dans un VLAN =====
<code lscript>interface <numero_interface>
switchport mode access
switchport access vlan <n°_vlan>
</code>
===== Mettre un port en 802.1Q ======
<code lscript>interface <numero_interface>
switchport mode trunk
switchport trunk allowed vlan add <n°_vlan>
switchport trunk allowed vlan all
</code>

===== Définir le paramétrage adresse IP =====
<WRAP right round tip 40%>
Pour l'administrer à distance, il faudra disposer d'un port dans le VLAN ou que le VLAN passe dans un port en 802.1Q.
</WRAP>
Les switch de niveau 2 n'ont qu'une adresse IP, celle qui permet de l'administrer à distance. Il faut affecter une IP à un VLAN. 
<code lscript>interface vlan <N°_vlan>
ip address <ip> <masque>
ip default-gateway <ip_passerelle>
</code>

===== Activer l'accès distant =====
==== Accès par interface Web ====
On peut activer l'accès à l'interface Web en 3 étapes : 
  - activer le service
  - préciser le mode d'authentification
  - créer un utilisateur avec les privilèges

<code lscript>
http server
http authentication local 
ip http port <numero_port> //option possible 
username <nom_user> privilege 15 secret 0 <mot_passe>
</code>
==== Accès Telnet ====
L'accès Telnet nécessite la définition d'un mot de passe pour le passage en mode //enable// : 
<code lscript>enable password <mot_passe>
//ou avec 0 si le mot de passe est saisi en clair ou 5 si on fournit le hachage du mot de passe
enable secret {0|5} <mot_passe>

</code>

On peut ensuite accorder la connexion distante :
<code lscript>line vty 0 4  //les valeurs numériques correspondent au niveau de privilège
password <mot_passe_telnet>
login
</code>

==== Accès SSH ====
L'accès SSH nécessite la présence d'un compte local dans le matériel. <wrap em>A n'ajouter que s'il n'existe pas déjà</wrap>
<code lscript>username <nom_user> secret {0|5} <motpasse></code>

On doit ensuite configurer SSH lui-même <wrap em>en choisissant la version 2, la 1 étant obsolète</wrap> 
<code lscript>ip ssh version 2</code>

Et, enfin, ouvrir l'accès distant : 
<code lscript>line vty 0 4
 login local
 transport input ssh</code>

===== Sauvegarder la configuration =====
Un switch utilise la mémoire vive pour son paramétrage. Il est nécessaire d'inscrire les modifications dans la mémoire permanente pour les retrouver suite à une coupure électrique. Cette sauvegarde se fait depuis le **//mode privilège//** (sortir du mode config).

__Sauvegarde locale__

Pour inscrire la configuration de manière permanente dans le switch, on utilisera la commande : 
<code lscript>copy running-config startup-config</code>

__Sauvegarde distante__

On peut aussi faire une copie de la configuration sur un serveur //tftp// distant
<code lscript>copy running-config tftp://<ip_serveur>/<nom_fichier></code>

Il sera aussi possible de restaurer cette configuration sur un switch (paramétré avec une adresse IP).
<code lscript>copy tftp://<ip_serveur>/<nom_fichier> running-config</code>

===== Agrégation de liens LACP =====
L'agrégation consiste à **cumuler plusieurs ports** comme un **groupe unique**. On utilise le terme <wrap em>port-channel ou channel-group</wrap>, ceci étant réalisé par le protocole <wrap em>LACP</wrap> (Link Aggregation Control Protocol, IEEE 802.3ad).

L'agrégation assure : 
  * de la **répartition de charge** : les ports du groupe sont actifs simultanément
  * de la **tolérance de panne** : le groupe assure la communication même en cas de rupture d'un des liens

==== Affectation d'un port à un agrégat ====
<code lscript>interface <interface>
channel-group <numeroAgrégat> mode <modeagregat>
</code>
<WRAP right round tip 40%>
**__Remarque__** : une fois intégré dans un agrégat, le port n'est plus pris en compte isolément (trunk, access). La seule action qui le concerne est le shutdown ou la configuration channel-group
</WRAP>

  * le numéro est entre 1 et 6, tous les ports dans le même agrégat fonctionneront communément
  * le mode est au choix : 

  active     Enable LACP unconditionally
  auto       Enable PAgP only if a PAgP device is detected
  desirable  Enable PAgP unconditionally
  on         Enable Etherchannel only
  passive    Enable LACP only if a LACP device is detected

==== Configuration de l'agrégat ====
L'agrégat devient une interface au même titre qu'un port. On peut donc la mettre en mode trunk, en mode access, l'allumer ou l'éteindre, etc.

__**Exemple**__
<code lscript>interface port-channel 1
switchport mode trunk
</code>

==== Visualisation des configurations LACP ====
Visualiser l'état global de la configuration 
<code lscript>sho etherchannel</code>

Visualiser le détail de la configuration 
<code lscrip>show interface etherchannel</code>
{{ :wiki:ciscoetherchannel.jpg?600 |}}




===== Configurer le Spanning Tree =====
Dans la copie d'écran suivante le switch est root pour les vlans 1 à 100. Puis on affiche les données spanning-tree pour le vlan 4.
<code lscript>
spanning-tree vlan 1-100 root primary
end
show spanning-tree vlan 4

VLAN04
Spanning tree enabled protocol rstp
Root ID Priority 24726
Address 0026.525b.3500
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 24726 (priority 24576 sys-id-ext 4)
Address 0026.525b.3500
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/3 Desg FWD 19 128.3 P2p
Gi0/1 Desg FWD 19 128.9 P2p


switch#
</code>



Dans l'exemple, l'interface prioritaire sera gi0/1 pour les vlans 1 à 100. 

<code lscript>
interface gigabitEthernet 0/1
spanning-tree vlan 1-100 port-priority 64
end
</code>
==== Afficher la configuration des vlan====
Pour afficher la configuration il suffit de taper la commande suivante 
<code lscript>
show spanning-tree vlan 4
</code>

===== Configurer le SNMP =====
La configuration de SNMP consiste à définir la communauté et les droits d'accès associés.
<code lscript>snmp-server community <nom_communauté> <droits> </code>

Les droits sont : 
  * RO : Lecture seule, permet de lire les informations
  * RW : Lecture/écriture, permet d'affecter des paramétrages via SNMP

===== Mirorring de port =====
Il est possible de renvoyer le trafic de certains ports vers un port destination, pour éffectuer du monitoring (détection d'intrusion, métrologie, etc).
On définit : 
  * la source : les ports dont on veut relever le trafic
  * la destination : le port vers lequel on recopie le trafic
<code lscript>monitor session <numero_session> source interface <liste_ports>
monitor session <numero_session> destination interface <port_miroir>
</code>
    * le <numero_session> permet d'effectuer plusieurs renvois. il doit être identique entre les deux lignes
    * la <liste_ports> est une combinaison de //ports// et //range// séparés par des virgules (exemple : Gi1/0/1 - 3 , Gi1/0/5 - 22, Gi1/0/24)

===== Sources complète et détaillée =====
Pour avoir la documentation complète et détaillée aller sur ce lien : https://www.clemanet.com/spanning-tree.php#haut