Guide de Configuration – Cisco – Switch

Dans cet article, vous retrouverez une liste de commande de configuration des Switchs Cisco.

Quelques rapides explications seront données.

 

Configuration de base

 

Entrer et sortir du mode de configuration

Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# 

Switch(config)#exit
Switch# 

 

Sauvegarder la configuration

Switch#copy running-config startup-config

Ou

Switch#write memory

 

Afficher la configuration

Switch#show running-config

 

Redémarrer

Switch#reload ?
  LINE    Reason for reload
  at      Reload at a specific time/date
  cancel  Cancel pending reload
  in      Reload after a time interval
  <cr>

 

Hostname

Switch(config)#hostname <hostname>

 

Utilisateur et mot de passe

Switch(config)#username <utilisateur> privilege 15 secret <MDP>

 

SSH / Telnet

Switch(config)#ip domain-name networklab.lan

 

Switch(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024

 

Switch(config)#ip ssh version 2
Switch(config)#ip ssh authentication-retries 3
Switch(config)#ip ssh time-out 120

 

Switch(config)#line vty 0 15
Switch(config-line)#transport input none
Switch(config-line)#transport input ssh

 

L’activation du Telnet se fait comme ceci :

Switch(config-line)#transport input telnet

 

Switch#show ip ssh

 

Accès distant

Switch(config)#line vty 0 15
Switch(config-line)#login local
Switch(config-line)#password <MDP>
Switch(config-line)#login
Switch(config-line)#session-timeout 5

 

Accès console

Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#password <MDP>
Switch(config-line)#login
Switch(config-line)#session-timeout 5
Switch(config-line)#speed 9600

 

Accès WEB

Switch(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
Switch(config)#ip http secure server
Switch(config)#no ip http server
Switch(config)#ip http authentication local
Switch(config)#ip http timeout-policy idle 600
Switch#show ip http server all
Switch#show ip http client all

 

FTP

Les équipements Cisco peuvent agir en client FTP.

Switch#copy ftp:<URL source> flash:<répertoire de déstination> 
Address or name of remote host []? <IP>
Destination filename [config.txt]?

 

Bannière

Il existe deux types de bannière :

  • La banner MOTD
  • La banner Login

 

La banner MOTD est affichée à chaque connexion à l’équipement (SSH, Telnet, Console). La banner Login est affichée si un identifiant est demandé.

Switch(config)#banner motd #
***************************************************
* NL Domain *
* Unauthorized Access Prohibited! *
***************************************************
#

 

Switch(config)#banner login #
***************************************************
* NL Domain *
* Unauthorized Access Prohibited! *
***************************************************
#

 

AAA Radius

 

Activation du AAA

Switch(config)#aaa new-model

 

Configuration de l’IP du serveur Radius.

Switch(config)#radius-server host <IP_Serveur_Radius> auth-port 1812 acct-port 1813 key <MDP>

 

Création d’un mode nommé Default qui utilise d’abord le Radius et sinon l’authentification locale.

Switch(config)#aaa authentication login default group radius local

 

Activation du mode Default pour les connexions distantes.

Switch(config)#line vty 0 15
Switch(config-line)#login authentication default

 

Vérifications.

Switch#show aaa servers
Switch#show radius statistics

 

AAA TACACS+

 

Activation du AAA.

Switch(config)#aaa new-model

 

Configuration de l’IP du serveur TACACS+.

Switch(config)#tacacs-server host <IP_serveur_TACACS> key <MDP>

 

Création d’un mode nommé Default qui utilise d’abord le TACACS+  et sinon l’authentification locale.

Switch(config)#aaa authentication login default group tacacs+

 

Activation du mode Default pour les connexions distantes.

Switch(config)#line vty 0 15
Switch(config-line)#login authentication default

 

Vérifications.

Switch#show tacacs

 

Configuration d’un port

 

Activation / Désactivation

Switch(config)#interface GigabitEthernet 1/0/1
Switch(config-if)#no shutdown
Switch(config-if)#shutdown

 

Description

Switch(config)#interface GigabitEthernet 1/0/1
Switch(config-if)#description Vers Switch 2 

 

Vitesse et Duplex

Switch(config)#interface GigabitEthernet 1/0/1
Switch(config-if)#speed auto
Switch(config-if)#duplex auto

 

Storm Control

Le Storm Control est une fonctionnalité qui permet de limiter les tempêtes.

Le Storm Control peut s’appliquer au trafic de Broadcast, Multicast et Unicast.

On peut définir un seuil haut et un seuil bas qui définissent un taux maximum et minimum de paquet par seconde pour le port donné.

On peut définir deux actions : bloquer le port ou bloquer le type de trafic.

Quand le seuil Max-Packet est dépassé pour le type de trafic choisi, l’action définie est appliquée. Quand le taux de trafic repasse sous la barre du Min-Packet, l’action est annulée.

Exemple pour la configuration suivante :

  • Max-Packet : 30%
  • Min-Packet : 5%
  • Type de trafic : broadcast
  • Action : block

Si le taux de broadcast sur le port dépasse 30% de la capacité du port, le trafic de broadcast est bloqué tant que le taux ne repasse pas sous les 5%.

Switch(config-if)#storm-control broadcast level 20 15
Switch(config-if)#storm-control multicast level 20 15

 

Par défaut, quand le seuil haut est dépassé, le trafic en question est dropé jusqu’à ce que le taux de trafic repasse sous le seuil bas.

 

Sinon, il est possible de configurer le switch pour qu’il mette le port en err-disable le temps de la tempête ou qu’il envoie une trap.

Switch(config-if)#storm-control action [shutdown / trap]

 

Sécurité de port

 

Article sur la sécurité de niveau 2 :

http://www.networklab.fr/securite-de-niveau-2/

 

Activation

La sécurité de port est un mécanisme très simple, mais qui peut éviter bien des problèmes.

Elle permet de limiter le nombre d’adresse Mac derrière un port.

Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security

 

Nombre maximum d’adresse MAC

Switch(config-if)#switchport port-security maximum 10

Il est important de bien choisir le nombre maximum d’adresses Mac autorisées.

Ni trop, ni pas assez.

 

Mode de gestion des adresses

Il y a trois options de gestion des adresses MAC :

  • Dynamic
  • Static
  • Sticky

 

En mode Static, nous définissons nous même les adresses Mac autorisées. Cette solution n’est pas très évolutive, et peut être longue à configurer. L’avantage est que les adresses définies sont stockées dans la configuration. Elles sont donc conservées en permanence.

En mode Dynamic, le switch apprend automatiquement les adresses. Il se base sur les frames reçues. Les Mac autorisées seront donc les premières apprises. Par contre, les adresses Mac ne sont pas conservées dans la configuration.

C’est pour cela qu’il y a l’option Sticky. Elle permet au mode Dynamic d’enregistrer les adresses. Nous les retrouvons alors dans la configuration comme si elles avaient été configurées en Static.

 

Configuration Static.

Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC

 

Configuration Sticky.

Switch(config-if)#switchport port-security mac-address sticky

 

Action en cas de violation

Il existe trois modes de violation :

  • Shutdown: coupure du port en cas de violation, une Trap SNMP est envoyée, un log est généré et le compteur de violation augmente
  • Protect: les adresses MAC en trop sont ignorées
  • Restrict: pareil que Protect, mais en plus une Trap SNMP est envoyée, un log est généré et le compteur de violation augmente

 

La configuration se fait comme ceci :

Switch(config-if)#switchport port-security violation [shutdown / prtotect / restrict]

 

Recovery

Pour que le port remonte automatiquement après un shutdown, il faut ajouter l’option Errdisable Recovery.

Switch(config)#errdisable recovery cause security-violation
Switch(config)#errdisable recovery interval 60

 

Vieillissement des adresses MAC

Switch(config-if)#switchport port-security aging type [absolute | inactivity]
switch(config)#mac address-table aging-time 500

Il est possible de configurer le switch pour qu’il oublie les adresses MAC apprises dynamiquement au bout d’un certain temps.

En mode Absolute, le switch oublie les adresses apprise dynamiquement une fois le timer (aging-time) écoulé. Le mode Inactivity, fonctionne de la même manière, sauf qu’il oublie les adresses que si elles sont inactives.

 

Affichage des adresses MAC

Switch#show mac address-table dynamic
Switch#show mac address-table interfaces
Switch#show mac address-table static
Switch#show mac address-table

 

VLAN

 

Articles sur les VLANs :

http://www.networklab.fr/category/ccnp_switch/vlan/

 

Création d’un VLAN

Avant de configurer des Vlans sur un switch, il faut en créer.

Switch(config)#vlan 10
Switch(config-vlan)#name Finance

 

Suppression d’un VLAN

Switch(config)#no vlan 10

Pour supprimer tous les Vlans, il est possible de supprimer directement le fichier qui les contient.

Il faut ensuite redémarrer le switch pour que les Vlans soient oubliés.

Switch#delete flash:vlan.dat

 

Port Access

Le passage d’un port en mode Access se fait comme ceci.

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

Par défaut le port est dans le Vlan 1.

 

Port Trunk

En mode Trunk, il faut choisir le Vlan natif et les Vlans autorisés.

Switch(config)#interface fastEthernet 0/10
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 666
Switch(config-if)#switchport trunk allowed vlan none
Switch(config-if)#switchport trunk allowed vlan add 10
Switch(config-if)#switchport trunk allowed vlan add 20

 

Il est aussi possible de choisir le mode d’encapsulation (qui souvent est en auto par défaut).

Switch(config-if)#switchport trunk encapsulation [dot1q / isl]

 

La bonne pratique est de désactiver le DTP sur tous les ports d’un switch.

Switch(config-if)#switchport nonegotiate

 

Vous perdez alors le côté Plug And Play, mais vous gagnez en sécurité.

 

Voice VLAN

Switch(config-if)#switchport voice vlan 20

 

Vérification

Switch#show vlan ?
brief           VTP all VLAN status in brief
id              VTP VLAN status by VLAN id
name            VTP VLAN status by VLAN name
private-vlan    Private VLAN information
summary         VLAN summary information
<cr>

 

VTP – VLAN Trunking Protocol

 

Article sur VTP :

http://www.networklab.fr/vlan-trunking-protocol/

 

Le VTP est un protocole qui peut vous faciliter la vie, comme vous faire tomber un réseau d’un seul coup.

Nous ne reviderons pas sur ses avantages et inconvénients ici.

 

La configuration de base est la suivante :

Switch(config)#vtp password cisco
Switch(config)#vtp mode [server / client / transparent]
Switch(config)#vtp version 2
Switch(config)#vtp domain NetworkLab

 

Le VTP Pruning peut être bon pour économiser de la bande passante.

Switch(config)#vtp pruning

 

Configuration IP

 

Interface VLAN

Switch(config)#interface vlan 10
Switch(config-if)#ip address 10.0.0.1 255.255.255.0

 

Passerelle par défaut

Switch(config)#ip default-gateway 10.0.0.254

 

DNS

Switch(config)#ip name-server 10.0.0.254
Switch(config)#ip domain-name networklab.lan
Switch(config)#ip domain-lookup

 

Spanning Tree

 

Articles sur le Spanning Tree

http://www.networklab.fr/category/ccnp_switch/stp/

 

Activation du Spanning Tree

Sur les switchs Cisco, le Spanning Tree est activé par défaut.

 

Raid-PVST

Le Rapid-PVST est un protocole Cisco qui propose de créer plusieurs instances Spanning Tree en fonction des VLANs.

Switch(config)#spanning-tree mode rapid-pvst

Switch(config)#spanning-tree vlan 10 root primary
Switch(config)#spanning-tree vlan 20 root secondary

 

MSTP

Le MSTP se configure d’une manière un peu spéciale.

Switch(config)#spanning-tree mode mst
Switch(config)#spanning-tree mst configuration

Comme en STP, nous pouvons faire plusieurs instances.

Switch(config-mst)#instance 1 vlan 1 2 3 4 5
Switch(config-mst)#instance 2 vlan 6 7 8 9 10

 

Il est possible d’influencer l’élection du Root Bridge.

Switch(config)#spanning-tree mst 1 root primary

 

Port d’accès (Portfast)

Afin que les ports Access montent plus rapidement, il faut activer le mode Portfast.

Ceci n’est pas à faire que sur des ports faisant face à un switch.

Switch(config)#interface fastEthernet 0/3
Switch(config-if)#spanning-tree portfast

 

Coût et priorité

Switch(config)# interface GigabitEthernet 1/0/5
Switch(config-if)#spanning-tree cost <coût>
Switch(config-if)#spanning-tree vlan 10 cost <coût>
Switch(config-if)#spanning-tree vlan 10 port-priority <priorité>

 

Root-Guard

Switch(config)# interface GigabitEthernet 1/0/5
Switch(config-if)# spanning-tree guard root

 

BPDU Guard

Switch(config)# interface GigabitEthernet 1/0/5
Switch(config-if)#spanning-tree bpduguard enable

Switch(config)#errdisable recovery cause bpduguard
Switch(config)#errdisable recovery interval 400

 

BPDU Filter

Le BPDU Filter permet de désactiver l’envoie de BPDU sur ce port.

Par contre, si un BPDU est reçu sur ce même port, le port fera à nouveau partie du processus Spanning Tree (Portfast sera aussi désactivé).

Switch(config)#interface fastEthernet 0/4
Switch(config-if)#spanning-tree bpdufilter enable

 

Loop Protection

Activation par port

Switch(config)#interface fastEthernet 0/5
Switch(config-if)# spanning-tree guard loop

 

Activation globale

Switch(config)# spanning-tree loopguard default

 

Vérification

Switch#show spanning-tree ?
active                Report on active interfaces only
detail                Detailed information
inconsistentports     Show inconsistent ports
interface             Spanning Tree interface status and configuration
mst                   Multiple spanning trees
summary               Summary of port states
vlan                  VLAN Switch Spanning Trees
<cr> 

 

Agrégation de lien

 

Article sur l’Etherchannel :

http://www.networklab.fr/etherchannel/

 

L’Eterchannel ou agrégation de lien permet de combiner plusieurs liens.

Cela apporte de meilleures performances, mais aussi de la redondance.

Nous avons le choix d’utiliser PAGP, LACP, ou de se passer de la négociation.

 

En mode On

Sans négociation il s’agit du mode ON.

Switch-1(config)#interface range fastEthernet 0/1 – 2
Switch-1(config-if-range)#channel-group 1 mode on

Switch-2(config)#interface range fastEthernet 0/1 - 2
Switch-2(config-if-range)#channel-group 1 mode on

 

En LACP

Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#channel-protocol lacp
Switch-1(config-if-range)#channel-group 1 mode [active / passive]

Switch-2(config)#interface range fastEthernet 0/1 - 2
Switch-2(config-if-range)#channel-protocol lacp
Switch-2(config-if-range)#channel-group 1 mode [active / passive]

 

En PAGP

Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#channel-protocol pagp
Switch-1(config-if-range)#channel-group 1 mode [desirable / auto]

Switch-2(config)#interface range fastEthernet 0/1 - 2
Switch-2(config-if-range)#channel-protocol pagp
Switch-2(config-if-range)#channel-group 1 mode [desirable / auto]

 

Passive correspond au mode Auto de PAGP : création d’une agrégation si le port en face est en Active.

Active correspond au mode Desirable de PAGP : création d’une agrégation si le port d’en face est en Passive ou Active.

 

Etherchannel L3

Pour une agrégation de niveau 3, il faut modifier un peu la configuration précédente.

Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#no switchport

Switch-1(config)#interface port-channel 1
Switch-1(config-if)#no switchport
Switch-1(config-if)#ip address 10.0.0.1 255.255.255.0

Switch#show interfaces etherchannel 

 

Redondance de passerelle (VRRP / HSRP / GLBP)

 

Articles sur le Gateway Redundancy :

http://www.networklab.fr/category/ccnp_switch/gateway_redundancy/

 

HSRP

HSRP est propriétaire Cisco.

Le HSRP permet d’associer 2 routeurs, de manière à fournir de la redondance sur la passerelle.

Le deuxième routeur prendra le relai en cas de panne du premier.

Si l’on ajoute plus de routeurs au processus, ils seront en mode Listen.

 

La configuration se fait comme ceci.

Switch(config)#interface vlan 10
Switch(config-if)#ip address 10.0.10.2 255.255.255.0
Switch(config-if)#standby 1 ip 10.0.10.1
Switch(config-if)#standby 1 priority 150
Switch(config-if)#standby 1 preempt
Switch(config-if)#standby 1 timers msec 150 msec 600
Switch(config-if)#standby 1 authentication md5 key-string NetworkLab

Le routeur avec la priorité la plus haute gagne l’élection du routeur Active, sinon c’est la plus haute IP.

L’option Preempt permet à un routeur de reprendre son rôle quand il revient en ligne après une panne.

Il est possible de personnaliser les Timers pour plus ou moins de réactivité.

 

Il faut faire une configuration équivalente sur un autre routeur.

 

VRRP

VRRP est similaire, mais il est standard.

Il peut y avoir deux routeurs ensemble.

 

La configuration est de ce type :

Routeur(config)#interface vlan 10
Routeur(config-if)#ip address 10.0.10.2 255.255.255.0
Routeur(config-if)#vrrp 1 ip 10.0.10.1
Routeur(config-if)#vrrp 1 priority 150
Routeur(config-if)#vrrp 1 preempt
Routeur(config-if)#vrrp 1 timers advertise msec 150

 

GLBP

Le GLBP est propriétaire Cisco.

Il permet de répartir la charge.

La configuration se fait comme ceci :

Routeur(config)#interface vlan 10
Routeur(config-if)#ip address 10.0.10.2 255.255.255.0
Routeur(config-if)#glbp 1 ip 10.0.10.1
Routeur(config-if)#glbp 1 priority 150
Routeur(config-if)#glbp 1 preempt
Routeur(config-if)#glbp 1 load-balancing round-robin

 

La priorité permet d’influencer l’élection de l’AVG.

C’est le routeur chargé de répondre aux requêtes ARP.

La priorité ne rentre pas en ligne de compte pour la répartition de la charge.

 

Il suffit d’avoir une configuration de ce type (hors priorité).

La charge peut être répartie sur 4 routeurs maximum.

 

Access-List

 

ACL standard : 1-99 et 1300-1999

ACL étendue : 100 – 199 et 2000-2699

Les ACL peuvent aussi être nommées.

Switch(config)#ip access-list standard 10
Switch(config-std-nacl)#permit 10.0.0.0 0.0.0.255

 

Switch(config)#ip access-list extended 100
Switch(config-ext-nacl)#permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255

 

Switch#show ip access-lists

 

NTP

 

Client NTP

L’option priority permet de spécifier le serveur favori.

Switch(config)#ntp server 10.0.0.50 prefer 
Switch(config)#ntp server 10.0.0.60
Switch(config)#clock timezone GMT+1 1
Switch(config)#ntp update-calendar

 

Avec authentification

Switch(config)#ntp authentication-key 1 md5 NLkey
Switch(config)#ntp authenticate
Switch(config)#ntp trusted-key 1

 

Vérification

Switch#show ntp status
Switch#show ntp associations
Switch#show ntp information
Switch#show ntp packets

 

SNMP

 

SNMP V1 et V2

Paramétrage des communautés.

Switch(config)#snmp-server community public ro
Switch(config)#snmp-server community private rw

 

Paramétrage des renseignements de l’équipement.

Switch(config)#snmp-server location IT-Room
Switch(config)#snmp-server contact Admin

 

Envoie des traps vers un serveur.

Switch(config)#snmp-server host <IP_serveur_SNMP> version 2c private
Switch(config)#snmp-server enable traps
Switch(config)#snmp-server source-interface traps vlan 10

 

Vérification

Switch#show snmp

 

SNMP V3

Il existe 3 niveaux de sécurité :

  • noAuthNoPriv : l’authentification se fait simplement sur le nom d’utilisateur (pas de mot de passe, pas de chiffrement)
  • authNoPriv : l’authentification se fait sur l(utilisateur et le mot de passe (pas de chiffrement)
  • authPriv : similaire à authNoPriv mas avec chiffrement

 

noAuthNoPriv

Switch(config)#snmp-server group NLgrp v3 noauth
Switch(config)#snmp-server user NLadmin NLgrp v3

Switch(config)#snmp-server host 10.0.0.50 version 3 noauth NLadmin

 

authNoPriv

Switch(config)#snmp-server group NLgrp v3 auth
Switch(config)#snmp-server user NLadmin NLgrp v3 auth sha NLpassword

Switch(config)#snmp-server host 10.0.0.50 version 3 auth NLadmin

 

authPriv

Switch(config)#snmp-server group NLgrp v3 priv
Switch(config)#snmp-server user NLadmin NLgrp v3 auth sha NLpassword priv des56 NLpassword

Switch(config)#snmp-server host 10.0.0.50 version 3 priv NLadmin

 

Syslog

 

Switch(config)#logging 10.0.0.50
Switch(config)#service timestamps log datetime localtime
Switch(config)#logging trap 3
Switch(config)#logging on

 

Afficher les logs dans la console.

Switch(config)#logging console

 

Vérification.

Switch#show logging
Switch#show logging history

 

DHCP Snooping

 

Le DHCP Snooping est une fonctionnalité permettant de filtrer des messages DHCP sur un switch. Il est possible de configurer les ports en mode Trusted (un serveur DHCP peut se trouver derrière et faires des DHCP-ACK et DHCP-OFFER) ou en mode UnTrusted (un serveur DHCP ne peut pas se trouver derrière le port.

Cela évite qu’un intrus se fasse passer pour un serveur DHCP. De plus, le switch garde en mémoire les adresses IP attribuées aux différentes adresses MAC.

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 10

Switch(config)#interface fa 0/1
Switch(config-if)#ip dhcp snooping trust

 

Switch#show ip dhcp snooping
Switch#show ip dhcp snooping database
Switch#show ip dhcp snooping statistics
Switch#show ip dhcp snooping statistics detail

 

Port Mirroring

 

Choix du ou des ports à mirrorer. Le mot clé « both » permet de capturer le trafic dans les deux sens.

Switch(config)# monitor session 1 source interface fa 0/1 both

 

Choix du port sur lequel répliquer le traffic.

Switch(config)# monitor session 1 destination interface fastEthernet0/10 encapsulation dot1q

 

Remote Port Mirroring

 

Switch avec trafic intéressent

Switch(config)#vlan 999
Switch(config-vlan)#remote-span

Switch(config)#interface fa 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport trunk allowed vlan 999
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport nonegotiate

Switch(config)# monitor session 1 source interface fa /1
Switch(config)# monitor session 1 destination remote vlan 999

 

Switch de destination

Switch(config)#vlan 999
Switch(config-vlan)#remote-span

Switch(config)#interface f0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport trunk allowed vlan 999
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport nonegotiate

Switch(config)#monitor session 1 source remote vlan 999
Switch(config)#monitor session 1 destination interface fa 0/5 encapsulation replicate

 

Vérification

Switch#show monitor
Switch#show monitor session 1 detail

 

LLDP

 

Switch(config)#lldp run

Switch(config)#interface fa 0/1
Switch(config-if)#no lldp transmit

 

Switch#show lldp neighbors
Switch#show lldp neighbors fa 0/1

 

CDP

 

Switch(config)#cdp run

Switch(config)#interface fa 0/1
Switch(config-if)#no cdp enable

 

Switch#show cdp
Switch#show cdp neighbors
Switch#show cdp neighbors f0/3

 

POE

 

Le POE est activé par défaut.

Switch(config)#interface fa 0/1
Switch(config-if)#power inline never
Switch(config-if)#power inline auto

 

Switch#show power inline
Switch#show power inline fa 0/1

 

802.1X Ethernet

 

Le 802.1X permet de forcer les utilisateurs à s’authentifier sur le réseau (un peu comme lors de la connexion à un réseau wifi).

 

Premièrement, il faut activer le AAA.

Switch(config)#aaa new-model

 

Ensuite, il nous faut spécifier l’adresse et la clé du serveur RADIUS.

Switch(config)#radius-server host 10.0.0.50 key NetworkLab

 

Il faut ensuite dire au switch d’utiliser Radius pour l’authentification.

Switch(config)#aaa authentication dot1x default group radius

 

Il faut ensuite activer 802.1X.

Switch(config)#dot1x system-auth-control

 

A présent, nous pouvons configurer les ports.

Switch(config)#interface fastEthernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto

 

Il existe trois modes d’authentification :

  • Le mode Auto permet l’authentification.
  • Le mode Force-authorized ne demande pas d’authentification. Le port est mis à l’état autorisé. Cette configuration est utile pour les ports sur lesquels des serveurs sont connectés. C’est le mode par défaut sur les ports.
  • Le mode Force-unauthorized met automatiquement le port en mode non autorisé. Les hôtes qui s’y connectent n’auront pas accès au réseau, ou alors simplement au VLAN invité.

 

Il est possible de mettre un nombre maximum d’authentification.

Switch(config-if)#dot1x max-reauth-req 3

 

Ensuite, nous pouvons définir un Vlan Guest.

C’est dans ce Vlan que seront placées les machines qui ne sont pas compatibles 802.1X.

Switch(config-if)#dot1x guest-vlan 50

 

Enfin, il est possible de configurer un auth-fail vlan.

C’est dans ce Vlan que sont placées les machines qui ne sont pas parvenues à s’authentifier.

Switch(config-if)#dot1x auth-fail vlan 99

 

Vérification

Switch#show dot1x all summary

 

DHCP Relay

 

Switch(config)#interface vlan 10
Switch(config-if)#ip helper-address 10.0.0.50

 

Switch#show ip dhcp relay information trusted-sources

 

Private Vlan

 

Les Private Vlan permettent une segmentation au niveau 2.

Il est possible d’empêcher des machines d’un même Vlan de communiquer.

 

PVLAN se compose d’une association de VLAN :

  • Un VLAN Primary
  • Un ou plusieurs VLAN Secondary

 

Le VLAN Secondary peut être de deux types :

  • Isolated: les membres de ce VLAN ne peuvent pas communiquer entre eux
  • Community: les membres de ce VLAN peuvent communiquer entre eux

 

Enfin, le port d’un switch peut fonctionner dans l’un des deux modes suivants :

  • Host: Le port à un comportement qui découle du type de PVLAN auquel il est associé (Isolated ou Community)
  • Promiscuous: le port peut communiquer avec les ports membres du même VLAN (surtout utilisé pour le lien vers la Gateway)

 

Tout d’abord, il faut que le switch soit en mode VTP Transparent.

Switch(config)#vtp mode transparent

 

Il faut ensuite créer les Vlans.

Switch(config)#vlan 201
Switch(config-vlan)#private-vlan community

Switch(config)#vlan 202
Switch(config-vlan)#private-vlan isolated

Switch(config)#vlan 200
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association 201,202

 

Enfin, nous pouvons configurer les ports.

Switch(config)#int fa 0/1
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 200 201,202

Switch(config)#int fa0/2
Switch(config-if)#switchport mode private-vlan host
Switch(config-if#switchport private-vlan host-association 200 201

Switch(config)#int fa0/3
Switch(config-if)#switchport mode private-vlan host
Switch(config-if#switchport private-vlan host-association 200 202

 

VACL

 

Les VACL permettent de filtrer le trafic au sein d’un VLAN.

 

Voici un exemple pour bloquer l’ICMP dans un VLAN.

Premièrement, on fait une ACL qui capture le trafic voulu.

Switch(config)#ip access-list extended 100
Switch(config-ext-nacl)#permit icmp 10.0.10.0 0.0.0.255 10.0.10.0 0.0.0.255

 

Ensuite, nous créons la VACL, nous faisons référence à l’ACL, et nous choisissons l’action.

Switch(config)#vlan access-map NOICMP 10
Switch(config-access-map)#match ip address 100
Switch(config-access-map)#action drop

 

Puis nous autorisons le reste.

Switch(config)#vlan access-map NOICMP 20
Switch(config-access-map)#action forward

 

Puis nous appliquons la VACL au Vlan voulu.

Switch(config)#vlan filter NOICMP vlan-list 10

 

Routage InterVlan et Switch L3

 

Article sur le routage inter-vlan :

Routage Inter-VLAN et Switch L3

 

Router On a Stick

Pour une configuration Router On a Stick, le routeur se configure comme ceci.

Router(config)#interface fastEthernet 0/1
Router(config-if)#no shutdown

Router(config)#interface fastEthernet 0/1.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.254 255.255.255.0

Router(config)#interface fastEthernet 0/1.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.254 255.255.255.0

Router(config)#interface fastEthernet 0/0.666
Router(config-subif)#encapsulation dot1Q 666 native

 

Le switch se configure de manière classique.

 

Switch L3

Quant au switch L3, il faut commencer par créer les Vlan et les interfaces Vlan.

Switch(config)#vlan 10
Switch(config)#vlan 20

Switch(config)#interface vlan 10
Switch(config-if)#ip address 10.0.10.1 255.255.255.0

Switch(config)#interface vlan 20
Switch(config-if)#ip address 10.0.20.1 255.255.255.0

 

Bien entendu, il faut appliquer les Vlan sur des interfaces (Access ou Trunk).

 

Il faut ensuite activer le routage.

Switch(config)#ip routing

 

Il est aussi possible de configurer des interfaces de manière classique.

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 10.0.0.1 255.255.255.0

 

Enfin, il est possible d’activer un protocole de routage.

Switchconfig)#router eigrp 1
Switch(config-router)#no auto-summary
Switch(config-router)# network 10.0.0.0 0.0.255.255

 

Il est aussi possible de réaliser d’autres configurations basiques (route statique, passive interface, redistribution, etc…).

 

RIP

 

Switch(config)#router rip
Switch(config-router)#network 10.0.1.0
Switch(config-router)#version 2

 

Switch#show ip rip database
Switch#show ip route

 

OSPF

 

Pour plus d’information, consulter l’article résumé dédié au routage Cisco.

Guide de Configuration – Cisco – Routeur

 

Switch(config)#router ospf 1
Switch(config-router)#router-id 10.0.0.10
Switch(config-router)#network 10.0.1.0 0.0.0.255 area 0

 

Switch#show ip ospf
Switch#show ip ospf interface
Switch#show ip ospf neighbor

 

 

Tagués avec : , ,
Publié dans Switch
2 commentaires pour “Guide de Configuration – Cisco – Switch
  1. meklat karim dit :

    merci bcp…vraiment très utile .. ça m’a vraiment aidé.

  2. AMAR dit :

    très bien expliqué.
    simple et beau.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.