Dans cet article, vous retrouverez une liste de commande de configuration des Switchs Cisco.
Quelques rapides explications seront données.
Configuration de base
Entrer et sortir du mode de configuration
Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# Switch(config)#exit Switch#
Sauvegarder la configuration
Switch#copy running-config startup-config
Ou
Switch#write memory
Afficher la configuration
Switch#show running-config
Redémarrer
Switch#reload ? LINE Reason for reload at Reload at a specific time/date cancel Cancel pending reload in Reload after a time interval <cr>
Hostname
Switch(config)#hostname <hostname>
Utilisateur et mot de passe
Switch(config)#username <utilisateur> privilege 15 secret <MDP>
SSH / Telnet
Switch(config)#ip domain-name networklab.lan
Switch(config)#crypto key generate rsa How many bits in the modulus [512]: 1024
Switch(config)#ip ssh version 2 Switch(config)#ip ssh authentication-retries 3 Switch(config)#ip ssh time-out 120
Switch(config)#line vty 0 15 Switch(config-line)#transport input none Switch(config-line)#transport input ssh
L’activation du Telnet se fait comme ceci :
Switch(config-line)#transport input telnet
Switch#show ip ssh
Accès distant
Switch(config)#line vty 0 15 Switch(config-line)#login local Switch(config-line)#password <MDP> Switch(config-line)#login Switch(config-line)#session-timeout 5
Accès console
Switch(config)#line console 0 Switch(config-line)#login local Switch(config-line)#password <MDP> Switch(config-line)#login Switch(config-line)#session-timeout 5 Switch(config-line)#speed 9600
Accès WEB
Switch(config)#crypto key generate rsa How many bits in the modulus [512]: 1024
Switch(config)#ip http secure server Switch(config)#no ip http server Switch(config)#ip http authentication local Switch(config)#ip http timeout-policy idle 600
Switch#show ip http server all Switch#show ip http client all
FTP
Les équipements Cisco peuvent agir en client FTP.
Switch#copy ftp:<URL source> flash:<répertoire de déstination> Address or name of remote host []? <IP> Destination filename [config.txt]?
Bannière
Il existe deux types de bannière :
- La banner MOTD
- La banner Login
La banner MOTD est affichée à chaque connexion à l’équipement (SSH, Telnet, Console). La banner Login est affichée si un identifiant est demandé.
Switch(config)#banner motd # *************************************************** * NL Domain * * Unauthorized Access Prohibited! * *************************************************** #
Switch(config)#banner login # *************************************************** * NL Domain * * Unauthorized Access Prohibited! * *************************************************** #
AAA Radius
Activation du AAA
Switch(config)#aaa new-model
Configuration de l’IP du serveur Radius.
Switch(config)#radius-server host <IP_Serveur_Radius> auth-port 1812 acct-port 1813 key <MDP>
Création d’un mode nommé Default qui utilise d’abord le Radius et sinon l’authentification locale.
Switch(config)#aaa authentication login default group radius local
Activation du mode Default pour les connexions distantes.
Switch(config)#line vty 0 15 Switch(config-line)#login authentication default
Vérifications.
Switch#show aaa servers Switch#show radius statistics
AAA TACACS+
Activation du AAA.
Switch(config)#aaa new-model
Configuration de l’IP du serveur TACACS+.
Switch(config)#tacacs-server host <IP_serveur_TACACS> key <MDP>
Création d’un mode nommé Default qui utilise d’abord le TACACS+ et sinon l’authentification locale.
Switch(config)#aaa authentication login default group tacacs+
Activation du mode Default pour les connexions distantes.
Switch(config)#line vty 0 15 Switch(config-line)#login authentication default
Vérifications.
Switch#show tacacs
Configuration d’un port
Activation / Désactivation
Switch(config)#interface GigabitEthernet 1/0/1 Switch(config-if)#no shutdown Switch(config-if)#shutdown
Description
Switch(config)#interface GigabitEthernet 1/0/1 Switch(config-if)#description Vers Switch 2
Vitesse et Duplex
Switch(config)#interface GigabitEthernet 1/0/1 Switch(config-if)#speed auto Switch(config-if)#duplex auto
Storm Control
Le Storm Control est une fonctionnalité qui permet de limiter les tempêtes.
Le Storm Control peut s’appliquer au trafic de Broadcast, Multicast et Unicast.
On peut définir un seuil haut et un seuil bas qui définissent un taux maximum et minimum de paquet par seconde pour le port donné.
On peut définir deux actions : bloquer le port ou bloquer le type de trafic.
Quand le seuil Max-Packet est dépassé pour le type de trafic choisi, l’action définie est appliquée. Quand le taux de trafic repasse sous la barre du Min-Packet, l’action est annulée.
Exemple pour la configuration suivante :
- Max-Packet : 30%
- Min-Packet : 5%
- Type de trafic : broadcast
- Action : block
Si le taux de broadcast sur le port dépasse 30% de la capacité du port, le trafic de broadcast est bloqué tant que le taux ne repasse pas sous les 5%.
Switch(config-if)#storm-control broadcast level 20 15 Switch(config-if)#storm-control multicast level 20 15
Par défaut, quand le seuil haut est dépassé, le trafic en question est dropé jusqu’à ce que le taux de trafic repasse sous le seuil bas.
Sinon, il est possible de configurer le switch pour qu’il mette le port en err-disable le temps de la tempête ou qu’il envoie une trap.
Switch(config-if)#storm-control action [shutdown / trap]
Sécurité de port
Article sur la sécurité de niveau 2 :
http://www.networklab.fr/securite-de-niveau-2/
Activation
La sécurité de port est un mécanisme très simple, mais qui peut éviter bien des problèmes.
Elle permet de limiter le nombre d’adresse Mac derrière un port.
Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security
Nombre maximum d’adresse MAC
Switch(config-if)#switchport port-security maximum 10
Il est important de bien choisir le nombre maximum d’adresses Mac autorisées.
Ni trop, ni pas assez.
Mode de gestion des adresses
Il y a trois options de gestion des adresses MAC :
- Dynamic
- Static
- Sticky
En mode Static, nous définissons nous même les adresses Mac autorisées. Cette solution n’est pas très évolutive, et peut être longue à configurer. L’avantage est que les adresses définies sont stockées dans la configuration. Elles sont donc conservées en permanence.
En mode Dynamic, le switch apprend automatiquement les adresses. Il se base sur les frames reçues. Les Mac autorisées seront donc les premières apprises. Par contre, les adresses Mac ne sont pas conservées dans la configuration.
C’est pour cela qu’il y a l’option Sticky. Elle permet au mode Dynamic d’enregistrer les adresses. Nous les retrouvons alors dans la configuration comme si elles avaient été configurées en Static.
Configuration Static.
Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC
Configuration Sticky.
Switch(config-if)#switchport port-security mac-address sticky
Action en cas de violation
Il existe trois modes de violation :
- Shutdown: coupure du port en cas de violation, une Trap SNMP est envoyée, un log est généré et le compteur de violation augmente
- Protect: les adresses MAC en trop sont ignorées
- Restrict: pareil que Protect, mais en plus une Trap SNMP est envoyée, un log est généré et le compteur de violation augmente
La configuration se fait comme ceci :
Switch(config-if)#switchport port-security violation [shutdown / prtotect / restrict]
Recovery
Pour que le port remonte automatiquement après un shutdown, il faut ajouter l’option Errdisable Recovery.
Switch(config)#errdisable recovery cause security-violation Switch(config)#errdisable recovery interval 60
Vieillissement des adresses MAC
Switch(config-if)#switchport port-security aging type [absolute | inactivity] switch(config)#mac address-table aging-time 500
Il est possible de configurer le switch pour qu’il oublie les adresses MAC apprises dynamiquement au bout d’un certain temps.
En mode Absolute, le switch oublie les adresses apprise dynamiquement une fois le timer (aging-time) écoulé. Le mode Inactivity, fonctionne de la même manière, sauf qu’il oublie les adresses que si elles sont inactives.
Affichage des adresses MAC
Switch#show mac address-table dynamic Switch#show mac address-table interfaces Switch#show mac address-table static Switch#show mac address-table
VLAN
Articles sur les VLANs :
http://www.networklab.fr/category/ccnp_switch/vlan/
Création d’un VLAN
Avant de configurer des Vlans sur un switch, il faut en créer.
Switch(config)#vlan 10 Switch(config-vlan)#name Finance
Suppression d’un VLAN
Switch(config)#no vlan 10
Pour supprimer tous les Vlans, il est possible de supprimer directement le fichier qui les contient.
Il faut ensuite redémarrer le switch pour que les Vlans soient oubliés.
Switch#delete flash:vlan.dat
Port Access
Le passage d’un port en mode Access se fait comme ceci.
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10
Par défaut le port est dans le Vlan 1.
Port Trunk
En mode Trunk, il faut choisir le Vlan natif et les Vlans autorisés.
Switch(config)#interface fastEthernet 0/10 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk native vlan 666 Switch(config-if)#switchport trunk allowed vlan none Switch(config-if)#switchport trunk allowed vlan add 10 Switch(config-if)#switchport trunk allowed vlan add 20
Il est aussi possible de choisir le mode d’encapsulation (qui souvent est en auto par défaut).
Switch(config-if)#switchport trunk encapsulation [dot1q / isl]
La bonne pratique est de désactiver le DTP sur tous les ports d’un switch.
Switch(config-if)#switchport nonegotiate
Vous perdez alors le côté Plug And Play, mais vous gagnez en sécurité.
Voice VLAN
Switch(config-if)#switchport voice vlan 20
Vérification
Switch#show vlan ? brief VTP all VLAN status in brief id VTP VLAN status by VLAN id name VTP VLAN status by VLAN name private-vlan Private VLAN information summary VLAN summary information <cr>
VTP – VLAN Trunking Protocol
Article sur VTP :
http://www.networklab.fr/vlan-trunking-protocol/
Le VTP est un protocole qui peut vous faciliter la vie, comme vous faire tomber un réseau d’un seul coup.
Nous ne reviderons pas sur ses avantages et inconvénients ici.
La configuration de base est la suivante :
Switch(config)#vtp password cisco Switch(config)#vtp mode [server / client / transparent] Switch(config)#vtp version 2 Switch(config)#vtp domain NetworkLab
Le VTP Pruning peut être bon pour économiser de la bande passante.
Switch(config)#vtp pruning
Configuration IP
Interface VLAN
Switch(config)#interface vlan 10 Switch(config-if)#ip address 10.0.0.1 255.255.255.0
Passerelle par défaut
Switch(config)#ip default-gateway 10.0.0.254
DNS
Switch(config)#ip name-server 10.0.0.254 Switch(config)#ip domain-name networklab.lan Switch(config)#ip domain-lookup
Spanning Tree
Articles sur le Spanning Tree
http://www.networklab.fr/category/ccnp_switch/stp/
Activation du Spanning Tree
Sur les switchs Cisco, le Spanning Tree est activé par défaut.
Raid-PVST
Le Rapid-PVST est un protocole Cisco qui propose de créer plusieurs instances Spanning Tree en fonction des VLANs.
Switch(config)#spanning-tree mode rapid-pvst Switch(config)#spanning-tree vlan 10 root primary Switch(config)#spanning-tree vlan 20 root secondary
MSTP
Le MSTP se configure d’une manière un peu spéciale.
Switch(config)#spanning-tree mode mst Switch(config)#spanning-tree mst configuration
Comme en STP, nous pouvons faire plusieurs instances.
Switch(config-mst)#instance 1 vlan 1 2 3 4 5 Switch(config-mst)#instance 2 vlan 6 7 8 9 10
Il est possible d’influencer l’élection du Root Bridge.
Switch(config)#spanning-tree mst 1 root primary
Port d’accès (Portfast)
Afin que les ports Access montent plus rapidement, il faut activer le mode Portfast.
Ceci n’est pas à faire que sur des ports faisant face à un switch.
Switch(config)#interface fastEthernet 0/3 Switch(config-if)#spanning-tree portfast
Coût et priorité
Switch(config)# interface GigabitEthernet 1/0/5 Switch(config-if)#spanning-tree cost <coût> Switch(config-if)#spanning-tree vlan 10 cost <coût> Switch(config-if)#spanning-tree vlan 10 port-priority <priorité>
Root-Guard
Switch(config)# interface GigabitEthernet 1/0/5 Switch(config-if)# spanning-tree guard root
BPDU Guard
Switch(config)# interface GigabitEthernet 1/0/5 Switch(config-if)#spanning-tree bpduguard enable Switch(config)#errdisable recovery cause bpduguard Switch(config)#errdisable recovery interval 400
BPDU Filter
Le BPDU Filter permet de désactiver l’envoie de BPDU sur ce port.
Par contre, si un BPDU est reçu sur ce même port, le port fera à nouveau partie du processus Spanning Tree (Portfast sera aussi désactivé).
Switch(config)#interface fastEthernet 0/4 Switch(config-if)#spanning-tree bpdufilter enable
Loop Protection
Activation par port
Switch(config)#interface fastEthernet 0/5 Switch(config-if)# spanning-tree guard loop
Activation globale
Switch(config)# spanning-tree loopguard default
Vérification
Switch#show spanning-tree ? active Report on active interfaces only detail Detailed information inconsistentports Show inconsistent ports interface Spanning Tree interface status and configuration mst Multiple spanning trees summary Summary of port states vlan VLAN Switch Spanning Trees <cr>
Agrégation de lien
Article sur l’Etherchannel :
http://www.networklab.fr/etherchannel/
L’Eterchannel ou agrégation de lien permet de combiner plusieurs liens.
Cela apporte de meilleures performances, mais aussi de la redondance.
Nous avons le choix d’utiliser PAGP, LACP, ou de se passer de la négociation.
En mode On
Sans négociation il s’agit du mode ON.
Switch-1(config)#interface range fastEthernet 0/1 – 2 Switch-1(config-if-range)#channel-group 1 mode on Switch-2(config)#interface range fastEthernet 0/1 - 2 Switch-2(config-if-range)#channel-group 1 mode on
En LACP
Switch-1(config)#interface range fastEthernet 0/1 - 2 Switch-1(config-if-range)#channel-protocol lacp Switch-1(config-if-range)#channel-group 1 mode [active / passive] Switch-2(config)#interface range fastEthernet 0/1 - 2 Switch-2(config-if-range)#channel-protocol lacp Switch-2(config-if-range)#channel-group 1 mode [active / passive]
En PAGP
Switch-1(config)#interface range fastEthernet 0/1 - 2 Switch-1(config-if-range)#channel-protocol pagp Switch-1(config-if-range)#channel-group 1 mode [desirable / auto] Switch-2(config)#interface range fastEthernet 0/1 - 2 Switch-2(config-if-range)#channel-protocol pagp Switch-2(config-if-range)#channel-group 1 mode [desirable / auto]
Passive correspond au mode Auto de PAGP : création d’une agrégation si le port en face est en Active.
Active correspond au mode Desirable de PAGP : création d’une agrégation si le port d’en face est en Passive ou Active.
Etherchannel L3
Pour une agrégation de niveau 3, il faut modifier un peu la configuration précédente.
Switch-1(config)#interface range fastEthernet 0/1 - 2 Switch-1(config-if-range)#no switchport Switch-1(config)#interface port-channel 1 Switch-1(config-if)#no switchport Switch-1(config-if)#ip address 10.0.0.1 255.255.255.0 Switch#show interfaces etherchannel
Redondance de passerelle (VRRP / HSRP / GLBP)
Articles sur le Gateway Redundancy :
http://www.networklab.fr/category/ccnp_switch/gateway_redundancy/
HSRP
HSRP est propriétaire Cisco.
Le HSRP permet d’associer 2 routeurs, de manière à fournir de la redondance sur la passerelle.
Le deuxième routeur prendra le relai en cas de panne du premier.
Si l’on ajoute plus de routeurs au processus, ils seront en mode Listen.
La configuration se fait comme ceci.
Switch(config)#interface vlan 10 Switch(config-if)#ip address 10.0.10.2 255.255.255.0 Switch(config-if)#standby 1 ip 10.0.10.1 Switch(config-if)#standby 1 priority 150 Switch(config-if)#standby 1 preempt Switch(config-if)#standby 1 timers msec 150 msec 600 Switch(config-if)#standby 1 authentication md5 key-string NetworkLab
Le routeur avec la priorité la plus haute gagne l’élection du routeur Active, sinon c’est la plus haute IP.
L’option Preempt permet à un routeur de reprendre son rôle quand il revient en ligne après une panne.
Il est possible de personnaliser les Timers pour plus ou moins de réactivité.
Il faut faire une configuration équivalente sur un autre routeur.
VRRP
VRRP est similaire, mais il est standard.
Il peut y avoir deux routeurs ensemble.
La configuration est de ce type :
Routeur(config)#interface vlan 10 Routeur(config-if)#ip address 10.0.10.2 255.255.255.0 Routeur(config-if)#vrrp 1 ip 10.0.10.1 Routeur(config-if)#vrrp 1 priority 150 Routeur(config-if)#vrrp 1 preempt Routeur(config-if)#vrrp 1 timers advertise msec 150
GLBP
Le GLBP est propriétaire Cisco.
Il permet de répartir la charge.
La configuration se fait comme ceci :
Routeur(config)#interface vlan 10 Routeur(config-if)#ip address 10.0.10.2 255.255.255.0 Routeur(config-if)#glbp 1 ip 10.0.10.1 Routeur(config-if)#glbp 1 priority 150 Routeur(config-if)#glbp 1 preempt Routeur(config-if)#glbp 1 load-balancing round-robin
La priorité permet d’influencer l’élection de l’AVG.
C’est le routeur chargé de répondre aux requêtes ARP.
La priorité ne rentre pas en ligne de compte pour la répartition de la charge.
Il suffit d’avoir une configuration de ce type (hors priorité).
La charge peut être répartie sur 4 routeurs maximum.
Access-List
ACL standard : 1-99 et 1300-1999
ACL étendue : 100 – 199 et 2000-2699
Les ACL peuvent aussi être nommées.
Switch(config)#ip access-list standard 10 Switch(config-std-nacl)#permit 10.0.0.0 0.0.0.255
Switch(config)#ip access-list extended 100 Switch(config-ext-nacl)#permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255
Switch#show ip access-lists
NTP
Client NTP
L’option priority permet de spécifier le serveur favori.
Switch(config)#ntp server 10.0.0.50 prefer Switch(config)#ntp server 10.0.0.60 Switch(config)#clock timezone GMT+1 1 Switch(config)#ntp update-calendar
Avec authentification
Switch(config)#ntp authentication-key 1 md5 NLkey Switch(config)#ntp authenticate Switch(config)#ntp trusted-key 1
Vérification
Switch#show ntp status Switch#show ntp associations Switch#show ntp information Switch#show ntp packets
SNMP
SNMP V1 et V2
Paramétrage des communautés.
Switch(config)#snmp-server community public ro Switch(config)#snmp-server community private rw
Paramétrage des renseignements de l’équipement.
Switch(config)#snmp-server location IT-Room Switch(config)#snmp-server contact Admin
Envoie des traps vers un serveur.
Switch(config)#snmp-server host <IP_serveur_SNMP> version 2c private Switch(config)#snmp-server enable traps Switch(config)#snmp-server source-interface traps vlan 10
Vérification
Switch#show snmp
SNMP V3
Il existe 3 niveaux de sécurité :
- noAuthNoPriv : l’authentification se fait simplement sur le nom d’utilisateur (pas de mot de passe, pas de chiffrement)
- authNoPriv : l’authentification se fait sur l(utilisateur et le mot de passe (pas de chiffrement)
- authPriv : similaire à authNoPriv mas avec chiffrement
noAuthNoPriv
Switch(config)#snmp-server group NLgrp v3 noauth Switch(config)#snmp-server user NLadmin NLgrp v3 Switch(config)#snmp-server host 10.0.0.50 version 3 noauth NLadmin
authNoPriv
Switch(config)#snmp-server group NLgrp v3 auth Switch(config)#snmp-server user NLadmin NLgrp v3 auth sha NLpassword Switch(config)#snmp-server host 10.0.0.50 version 3 auth NLadmin
authPriv
Switch(config)#snmp-server group NLgrp v3 priv Switch(config)#snmp-server user NLadmin NLgrp v3 auth sha NLpassword priv des56 NLpassword Switch(config)#snmp-server host 10.0.0.50 version 3 priv NLadmin
Syslog
Switch(config)#logging 10.0.0.50 Switch(config)#service timestamps log datetime localtime Switch(config)#logging trap 3 Switch(config)#logging on
Afficher les logs dans la console.
Switch(config)#logging console
Vérification.
Switch#show logging Switch#show logging history
DHCP Snooping
Le DHCP Snooping est une fonctionnalité permettant de filtrer des messages DHCP sur un switch. Il est possible de configurer les ports en mode Trusted (un serveur DHCP peut se trouver derrière et faires des DHCP-ACK et DHCP-OFFER) ou en mode UnTrusted (un serveur DHCP ne peut pas se trouver derrière le port.
Cela évite qu’un intrus se fasse passer pour un serveur DHCP. De plus, le switch garde en mémoire les adresses IP attribuées aux différentes adresses MAC.
Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 10 Switch(config)#interface fa 0/1 Switch(config-if)#ip dhcp snooping trust
Switch#show ip dhcp snooping Switch#show ip dhcp snooping database Switch#show ip dhcp snooping statistics Switch#show ip dhcp snooping statistics detail
Port Mirroring
Choix du ou des ports à mirrorer. Le mot clé « both » permet de capturer le trafic dans les deux sens.
Switch(config)# monitor session 1 source interface fa 0/1 both
Choix du port sur lequel répliquer le traffic.
Switch(config)# monitor session 1 destination interface fastEthernet0/10 encapsulation dot1q
Remote Port Mirroring
Switch avec trafic intéressent
Switch(config)#vlan 999 Switch(config-vlan)#remote-span Switch(config)#interface fa 0/10 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport trunk allowed vlan 999 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport nonegotiate Switch(config)# monitor session 1 source interface fa /1 Switch(config)# monitor session 1 destination remote vlan 999
Switch de destination
Switch(config)#vlan 999 Switch(config-vlan)#remote-span Switch(config)#interface f0/10 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport trunk allowed vlan 999 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport nonegotiate Switch(config)#monitor session 1 source remote vlan 999 Switch(config)#monitor session 1 destination interface fa 0/5 encapsulation replicate
Vérification
Switch#show monitor Switch#show monitor session 1 detail
LLDP
Switch(config)#lldp run Switch(config)#interface fa 0/1 Switch(config-if)#no lldp transmit
Switch#show lldp neighbors Switch#show lldp neighbors fa 0/1
CDP
Switch(config)#cdp run Switch(config)#interface fa 0/1 Switch(config-if)#no cdp enable
Switch#show cdp Switch#show cdp neighbors Switch#show cdp neighbors f0/3
POE
Le POE est activé par défaut.
Switch(config)#interface fa 0/1 Switch(config-if)#power inline never Switch(config-if)#power inline auto
Switch#show power inline Switch#show power inline fa 0/1
802.1X Ethernet
Le 802.1X permet de forcer les utilisateurs à s’authentifier sur le réseau (un peu comme lors de la connexion à un réseau wifi).
Premièrement, il faut activer le AAA.
Switch(config)#aaa new-model
Ensuite, il nous faut spécifier l’adresse et la clé du serveur RADIUS.
Switch(config)#radius-server host 10.0.0.50 key NetworkLab
Il faut ensuite dire au switch d’utiliser Radius pour l’authentification.
Switch(config)#aaa authentication dot1x default group radius
Il faut ensuite activer 802.1X.
Switch(config)#dot1x system-auth-control
A présent, nous pouvons configurer les ports.
Switch(config)#interface fastEthernet 0/5 Switch(config-if)#switchport mode access Switch(config-if)#dot1x port-control auto
Il existe trois modes d’authentification :
- Le mode Auto permet l’authentification.
- Le mode Force-authorized ne demande pas d’authentification. Le port est mis à l’état autorisé. Cette configuration est utile pour les ports sur lesquels des serveurs sont connectés. C’est le mode par défaut sur les ports.
- Le mode Force-unauthorized met automatiquement le port en mode non autorisé. Les hôtes qui s’y connectent n’auront pas accès au réseau, ou alors simplement au VLAN invité.
Il est possible de mettre un nombre maximum d’authentification.
Switch(config-if)#dot1x max-reauth-req 3
Ensuite, nous pouvons définir un Vlan Guest.
C’est dans ce Vlan que seront placées les machines qui ne sont pas compatibles 802.1X.
Switch(config-if)#dot1x guest-vlan 50
Enfin, il est possible de configurer un auth-fail vlan.
C’est dans ce Vlan que sont placées les machines qui ne sont pas parvenues à s’authentifier.
Switch(config-if)#dot1x auth-fail vlan 99
Vérification
Switch#show dot1x all summary
DHCP Relay
Switch(config)#interface vlan 10 Switch(config-if)#ip helper-address 10.0.0.50
Switch#show ip dhcp relay information trusted-sources
Private Vlan
Les Private Vlan permettent une segmentation au niveau 2.
Il est possible d’empêcher des machines d’un même Vlan de communiquer.
PVLAN se compose d’une association de VLAN :
- Un VLAN Primary
- Un ou plusieurs VLAN Secondary
Le VLAN Secondary peut être de deux types :
- Isolated: les membres de ce VLAN ne peuvent pas communiquer entre eux
- Community: les membres de ce VLAN peuvent communiquer entre eux
Enfin, le port d’un switch peut fonctionner dans l’un des deux modes suivants :
- Host: Le port à un comportement qui découle du type de PVLAN auquel il est associé (Isolated ou Community)
- Promiscuous: le port peut communiquer avec les ports membres du même VLAN (surtout utilisé pour le lien vers la Gateway)
Tout d’abord, il faut que le switch soit en mode VTP Transparent.
Switch(config)#vtp mode transparent
Il faut ensuite créer les Vlans.
Switch(config)#vlan 201 Switch(config-vlan)#private-vlan community Switch(config)#vlan 202 Switch(config-vlan)#private-vlan isolated Switch(config)#vlan 200 Switch(config-vlan)#private-vlan primary Switch(config-vlan)#private-vlan association 201,202
Enfin, nous pouvons configurer les ports.
Switch(config)#int fa 0/1 Switch(config-if)#switchport mode private-vlan promiscuous Switch(config-if)#switchport private-vlan mapping 200 201,202 Switch(config)#int fa0/2 Switch(config-if)#switchport mode private-vlan host Switch(config-if#switchport private-vlan host-association 200 201 Switch(config)#int fa0/3 Switch(config-if)#switchport mode private-vlan host Switch(config-if#switchport private-vlan host-association 200 202
VACL
Les VACL permettent de filtrer le trafic au sein d’un VLAN.
Voici un exemple pour bloquer l’ICMP dans un VLAN.
Premièrement, on fait une ACL qui capture le trafic voulu.
Switch(config)#ip access-list extended 100 Switch(config-ext-nacl)#permit icmp 10.0.10.0 0.0.0.255 10.0.10.0 0.0.0.255
Ensuite, nous créons la VACL, nous faisons référence à l’ACL, et nous choisissons l’action.
Switch(config)#vlan access-map NOICMP 10 Switch(config-access-map)#match ip address 100 Switch(config-access-map)#action drop
Puis nous autorisons le reste.
Switch(config)#vlan access-map NOICMP 20 Switch(config-access-map)#action forward
Puis nous appliquons la VACL au Vlan voulu.
Switch(config)#vlan filter NOICMP vlan-list 10
Routage InterVlan et Switch L3
Article sur le routage inter-vlan :
Router On a Stick
Pour une configuration Router On a Stick, le routeur se configure comme ceci.
Router(config)#interface fastEthernet 0/1 Router(config-if)#no shutdown Router(config)#interface fastEthernet 0/1.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.254 255.255.255.0 Router(config)#interface fastEthernet 0/1.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.254 255.255.255.0 Router(config)#interface fastEthernet 0/0.666 Router(config-subif)#encapsulation dot1Q 666 native
Le switch se configure de manière classique.
Switch L3
Quant au switch L3, il faut commencer par créer les Vlan et les interfaces Vlan.
Switch(config)#vlan 10 Switch(config)#vlan 20 Switch(config)#interface vlan 10 Switch(config-if)#ip address 10.0.10.1 255.255.255.0 Switch(config)#interface vlan 20 Switch(config-if)#ip address 10.0.20.1 255.255.255.0
Bien entendu, il faut appliquer les Vlan sur des interfaces (Access ou Trunk).
Il faut ensuite activer le routage.
Switch(config)#ip routing
Il est aussi possible de configurer des interfaces de manière classique.
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#no switchport Switch(config-if)#ip address 10.0.0.1 255.255.255.0
Enfin, il est possible d’activer un protocole de routage.
Switchconfig)#router eigrp 1 Switch(config-router)#no auto-summary Switch(config-router)# network 10.0.0.0 0.0.255.255
Il est aussi possible de réaliser d’autres configurations basiques (route statique, passive interface, redistribution, etc…).
RIP
Switch(config)#router rip Switch(config-router)#network 10.0.1.0 Switch(config-router)#version 2
Switch#show ip rip database Switch#show ip route
OSPF
Pour plus d’information, consulter l’article résumé dédié au routage Cisco.
Switch(config)#router ospf 1 Switch(config-router)#router-id 10.0.0.10 Switch(config-router)#network 10.0.1.0 0.0.0.255 area 0
Switch#show ip ospf Switch#show ip ospf interface Switch#show ip ospf neighbor
merci bcp…vraiment très utile .. ça m’a vraiment aidé.
très bien expliqué.
simple et beau.