Guide de Configuration – HP Procurve – Switch

Dans cet article, vous retrouverez une liste de commandes de configuration des Switchs HP Procurve.

Quelques rapides explications seront données.

 

Configuration de base

 

Entrer et sortir du mode de configuration

switch# conf t
switch(config)#

switch(config)#exit
switch#

 

Sauvegarder la configuration

switch# write memory

 

Afficher la configuration

switch# show running-config

 

Redémarrer

switch# reload <CR / after / at>

 

Hostname

switch(config)# hostname switch-HP-Procurve

 

Utilisateur et mot de passe

Le manager a tous les droits. L’opérateur à des droits limités (commandes Show, accès aux logs, droits en lecture, etc…).

switch(config)# password manager user-name admin
New password for Manager: *******
Please retype new password for Manager: ********

switch(config)# password operator user-name operator
New password for Operator: *******
Please retype new password for Operator: ********

 

SSH et Telnet

switch(config)# crypto key generate ssh
switch(config)# ip ssh 
switch(config)# ip ssh timeout 120
switch(config)# ip ssh version2

 

switch(config)# no telnet-server

 

switch# show telnet
switch# show ip ssh

 

Accès console

Le temps est indiqué en minutes. « 0 » signifie que la session n’expire pas.

switch(config)# console idle-timer 5
switch(config)# console baud-rate 9600
switch(config)# console baud-rate speed-sense (default)

 

Accès WEB

switch(config)# crypto key generate cert <key_size>
switch(config)# web-management ssl
switch(config)# no web-management plaintext

 

SFTP

switch(config)# ip ssh filetransfer

 

TFTP

switch(config)# tftp server

 

Bannière

switch(config)# banner motd # 
Enter TEXT message. End with the character'#’
#

 

switch(config)# banner exec # 
Enter TEXT message. End with the character'#’
#

 

AAA Radius

 

switch(config)# radius-server host <IP-Serveur-RADIUS> key <MDP>
switch(config)# aaa authentication console login radius local
switch(config)# aaa authentication console enable radius local
switch(config)# aaa authentication ssh login radius local
switch(config)# aaa authentication ssh enable radius local

switch(config)# aaa authentication <telnet / web> login radius local
switch(config)# aaa authentication <telnet / web> enable radius local

 

switch# show radius
switch# show authentication
switch# show radius authentication
switch# show radius host <IP>

 

AAA Tacacs+

switch(config)# tacacs-server host <IP-Serveur-Tacacs> key <MDP>
switch(config)# aaa authentication console login tacacs local
switch(config)# aaa authentication console enable tacacs local
switch(config)# aaa authentication ssh login tacacs local
switch(config)# aaa authentication ssh enable tacacs local
switch(config)# aaa authentication <telnet / web> login tacacs local
switch(config)# aaa authentication <telnet / web> enable tacacs local

 

switch#  show tacacs
switch# show authentication

 

Configuration d’un port

 

Activation / Desactivation

switch(config)# interface ethernet 1
switch(eth-1)# enable
switch(eth-1)# disable

 

Configuration d’une description

switch(eth-1)# name "TO Switch SW2"

 

Vitesse et Duplex

switch(eth-1)# speed-duplex 1000-full
switch(eth-1)# speed-duplex auto

 

Limitation de broadcast

switch(eth-1)# broadcast-limit 15

 

Sécurité de port

 

Commandes

switch(config)# port-security ethernet 1 learn-mode <continuous / limited-continuous / static / configured / port-access>
switch (config)# port-security ethernet 1 address-limit <NB Adresses MAX>
switch (config)# port-security ethernet 1 action <none / send-alarm / send-disable>
switch (config)# port-security ethernet 1 eavesdrop-prevention

switch (config)# port-security Ethernet 1 mac-address <Adresse MAC>
switch (config)# mac-age-time 120 (en minutes, 300 par défaut)

 

Explications

Le paramètre Learn-mode définit comment les adresses MAC sont apprises :

  • Continuous: C’est le mode par défaut. Le switch apprend les adresses MAC des frames qu’il reçoit. Une fois le Age-Time atteint, elles sont supprimées. Il n’est pas possible de configurer de Address-Limit.
  • Limited-continuous: Similaire au mode continuous mais permet de configurer une limite d’adresse MAC.
  • Static: Permet de spécifier à la main les adresses MAC autorisées. Si la limite n’est pas atteinte, le switch peut encore apprendre des adresses (ex : si la limite est à 5 et que 3 adresses ont été configurées, le switch peut encore apprendre 2 adresses).
  • Configured: Similaire au mode Static. Si la limite n’est pas attente, le switch ne peut pas apprendre de nouvelles adresses (ex : si la limite est à 5 et que 3 adresses ont été configurées, le switch ne peut pas apprendre plus d’adresse).
  • Port-Access: Permet de configurer de l’authentification

Le paramètre Address-Limit permet de choisir le nombre maximum d’adresse que le switch peut apprendre pour un port.

Le paramètre Action permet de définir ce que fait le switch une fois la limite atteinte :

  • None: le switch ignore les frames venant ayant une adresse source non apprise (ex : la limite est 5 est le switch a appris 5 adresse, alors une frame ayant une adresse source non connue est ignorée).
  • Send-alarm: génère une alerte
  • Send-disable: bloque le port

Le paramètre Mac-Address permet de spécifier à la main les adresses que le switch doit connaitre (utile pour les modes Static et Configured).

Le paramètre Age-Time permet de choisir le temps après lequel les adresses non-utilisées sont oubliées (par défaut : 300 minutes).

Le paramètre Eavesdrop-Prevention permet d’empêcher un ordinateur de voir du trafic Unicast qui n’est pas destiné à ce port. Quand le paramètre est activé et qu’une frame arrive sur le port, le switch compare l’adresse de destination aux adresses autorisées sur le port. Cela n’affecte pas le trafic de Multicast et de Broadcast.

 

Vérification

switch (config)# show port-security ethernet 1
 Port Security
 Port : 1
 Learn Mode [Continuous] : Limited-Continuous
 Address Limit [1] : 10
 Action [None] : None
 Eavesdrop Prevention [Enabled] : Enabled

 

Configuration des VLANs

 

Augmenter le nombre de VLAN max

switch(config)# max-vlans 100

 

Creation d’un VLAN

switch(config)# vlan 10 name servers

 

Suppression d’un VLAN

switch(config)# no vlan 10

 

Association d’un VLAN à un port

Untagged correspond au mode access chez Cisco. Les frames ne sont pas taguées quand elles sont envoyés à travers le port.

 

Le mode Tagged correspond au mode Trunk chez Cisco. Les frames sont taguées avec le numéro du VLAN quand elles sont envoyées à travers le port.

switch(config)# vlan 10
switch(vlan-10)# untagged ethernet 1-10
switch(vlan-10)# tagged ethernet 48

 

VLAN Voice

switch(config)# vlan 20
switch(vlan-2)# tagged ethernet 1-48
switch(vlan-2)# voice

 

Vérification

switch# show vlans

 

Configuration IP

 

Interface VLAN

switch(config)# vlan 10
switch(vlan-10)# ip address 10.0.10.1 255.255.255.0

 

Passerelle par défaut

switch(config)# ip default-gateway 10.0.1.254 

 

DNS

switch(config)# ip dns server-address priority 1 10.0.0.1

 

Configuration Spanning Tree

 

Activation du Spanning Tree

switch(config)# spanning-tree

 

MSTP

Paramètres de base.

switch(config)# spanning-tree config-name "STPNAME"
switch(config)# spanning-tree config-revision 1

 

Assignation des VLANs à une instance.

switch(config)# spanning-tree instance 1 vlan 10
switch(config)# spanning-tree instance 2 vlan 20

 

Forcer le switch en Root Bridge pour une instance.

switch(config)# spanning-tree instance 2 priority 0

 

RSTP

switch(config)#spanning-tree force-version rstp-operation

 

Forcer le switch en Root Bridge

La priorité du switch devient 4096.

switch(config)#spanning-tree priority 0

 

Admin-Edge-Port (Portfast)

L’Admin-Edge-Port est l’équivalent du portfast chez Cisco. C’est une configuration à appliquer sur les ports donnant vers des PC. Ici les ports 1 à 10 seront configurés en Admin-Edge-Port.

switch(config)# spanning-tree <Liste-Port> admin-edge-port

 

Coût et priorité

switch(config)# spanningtree 7 path-cost 10000
switch(config)# spanningtree 7 priority 6

 

Root Guard

Le Root Guard permet d’empêcher un switch dérière ce port de devenir Root Bridge.

switch(config)#spanning-tree 48 root-guard

 

BPDU-Protection

Avec la BPDU Protection, si un BPDU est reçu sur le port, celui-ci est désactivé. Il est possible de choisi un temps après lequel le port est réactive (Timeout).

switch(config)# spanning-tree 1-10 bpdu-protection
switch(config)# spanning-tree bpdu-protection-timeout 300

 

BPDU Filter

Le BPDU Filter empêche l’envoie et la réception de BPDU sur le port. Le port continue de faire transiter le trafic.

switch(config)#spanning-tree 1 bpdu-filter

 

Loop Protection

switch(config)# loop-protect trap loop-detected
switch(config)# loop-protect <interface> receiver-action send-disable

 

Vérification

Switch# show spanning-tree

 

Agrégation de lien

Prérequis sur les ports de l’agrégation :

  • Pas de VLAN
  • Même vitesse et mode de duplex
  • Pas de Loop Protect

 

Agrégation statique

Agrégation sans protocole de négociation (équivalent au mode ON chez Cisco).

switch(config)# trunk 1-2 trk1 trunk

 

LACP

Agrégation avec négociation LACP en mode Passive (création d’une agrégation si le port en face est en mode Active, sinon il ne se passe rien).

switch(config)# trunk 1-2 trk1 lacp

 

Agrégation avec négociation LACP en mode Active (création d’une agrégation si le port en face est en mode Passive ou Active, sinon il ne se passe rien).

switch(config)# trunk 1-2 trk1 lacp active

 

Configuration de l’agrégation agrégation

switch(config)# vlan 10
switch(vlan-10)# tagged trk1

 

Vérification

switch# show trunks
switch# show lacp

 

VRRP

 

Switch Active

switch(config)# router vrrp
switch(config)# vlan 10
switch(config)# ip address 10.0.10.1 255.255.255.0 
switch(vlan-10)# vrrp vrid 10
switch(vlan-10-vrid-10)# backup
switch(vlan-10-vrid-10)# priority 254
switch(vlan-10-vrid-10)# virtual-ip-address 10.0.1.254 255.255.255.0
switch(vlan-10-vrid-10)# enable

Il est préférable de configurer les deux switchs en mode Backup et d’assigner une priorité plus importante à l’un d’eux. Cela permet d’assigner une IP A au premier switch, une IP B au deuxième et une IP C pour l’IP virtuelle de passerelle.

En configurant un switch en Owner et un en Backup, le switch Owner doit porter l’IP virtuelle de passerelle.

 

Switch Standby

switch(config)# router vrrp
switch(config)# vlan 10
switch(config)# ip address 10.0.10.2 255.255.255.0 

switch(vlan-10)# vrrp vrid 10
switch(vlan-10-vrid-10)# backup
switch(vlan-10-vrid-10)# priority 250
switch(vlan-10-vrid-10)# virtual-ip-address 10.0.1.254 255.255.255.0
switch(vlan-10-vrid-10)# enable

 

Vérification

switch# show vrrp config
switch# show vrrp vlan 10

 

Configuration d’une ACL

 

ACL standard : 1 à 100 ou nommée.

ACL standard 100 à 199 ou nommée.

Un Deny All se trouve à la fin de toutes les ACL.

switch(config)# ip accesslist standard 1
switch(config-std-nacl)# permit <IP> <Wildcard Mask>

 

switch(config)# ip accesslist standard <Nom_ACL>
switch(config-std-nacl)# permit <IP>/<Nb_Bits_Masque>

 

Application de l’ACL sur un VLAN.

switch(config)# vlan 10
switch(config)# ip access-group <Nom_ACL> <in  / out>

 

Vérification.

switch# show access-list

 

Configuration d’une restriction d’accès

 

Seules les IP identifiées dans les commandes IP Authorised-Manager peuvent accéder aux interfaces de configuration du switch.

switch(config)# ip authorized-manager 10.0.0.0 mask 255.255.255.0 manager

 

Configuration NTP / SNTP

 

Client NTP

switch(config)# ip timep manual <IP>
switch(config)# timesync timep

 

switch# show timep

 

Client SNTP

switch(config)# timesync sntp
switch(config)# sntp server priority 1 10.0.0.1
switch(config)# sntp unicast

 

switch# show sntp

 

Configuration SNMP

 

SNMP v1 et V2

Activation / Désactivation du SNMP.

switch(config)# snmp-server enable
switch(config)# no snmp-server enable

 

Configuration de la communauté.

switch(config)# snmp-server community-public NAME

 

Renseignement des informations du switch.

switch(config)# snmp-server location "IT Room 1"
switch(config)# snmp-server contact “IT Staff”

 

Autorisation d’interroger le switch en SNMP.

switch(config)# ip authorized-managers <IP> 255.255.255.255 access operator access-method snmp

 

Configuration d’une machine à laquelle envoyer des tarps.

switch(config)# snmp-server host <IP>

 

Vérification.

switch# show snmp-server

 

SNMPv3

Activation.

switch (config)# snmpv3 enable

 

Paramétrage des accès.

switch(config)# snmpv3 user <user> auth sha <MDP> priv aes <MDP>
switch (config)# snmpv3 group <groupe> user <user> sec-model ver3

 

Renseignement des informations du switch.

switch(config)# snmp-server location "IT Room 1"
switch(config)# snmp-server contact “IT Staff”

 

Vérification.

switch # show snmpv3 enable
switch # show snmpv3 user
switch # show snmpv3 group

 

Syslog

 

switch(config)# logging facility IT-Room-1
switch(config)# logging <IP_Serveur>

 

switch# show logging ?

 

DHCP Snooping

 

Le DHCP Snooping est une fonctionnalité permettant de filtrer des messages DHCP sur un switch. Il est possible de configurer les ports en mode Trusted (un serveur DHCP peut se trouver derrière et faires des DHCP-ACK et DHCP-OFFER) ou en mode UnTrusted (un serveur DHCP ne peut pas se trouver derrière le port.

Cela évite qu’un intrus se fasse passer pour un serveur DHCP. De plus, le switch garde en mémoire les adresses IP attribuées aux différentes adresses MAC.

 

Activation global du DHCP Snooping.

switch(config)# dhcpsnooping

 

Autorisation d’un serveur DHCP.

switch(config)# dhcpsnooping authorized-server <IP_serveur_DHCP>

 

Activation du DHCP Snooping sur un VLAN.

switch(config)# dhcpsnooping vlan 10

 

Configuration d’une interface en mode Trusted (les interfaces sont untrusted par défaut).

switch(config)# dhcpsnooping trust 5 (port derrière lequel un serveur DHCP est autorisé)

 

Vérification.

switch# show dhcp-snooping
switch# show dhcp-snooping stats

 

Port Mirroring

 

Port de destination de trafic répliqué.

switch(config)# mirror 1 port <interface_dest>

 

Port sur lequel le trafic intéressant passe. Le mot clé Both signifie que le trafic entrant et sortant est répliqué.

switch(config)# interface <interface_src> monitor all both mirror 1

 

switch# show monitor 1 

 

Remote Port Mirroring

 

Switch avec trafic intéressant

switch(config)# mirror 1 remote ip  <IP_source> <port_UDP_src> <IP_dest>
switch(config)# interface <interface_src> monitor all both mirror 1

 

Switch destination

switch(config)# mirror endpoint ip <IP_src> <port_UDP_src> <IP_dest> port <interface_dest>

 

Vérification

switch# show monitor 1 

 

Configuration du routage

 

Activation du routage

switch(config)# ip routing

 

Création d’une route par défaut

switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1

 

LLDP / CDP

 

switch# show lldp info remote-device

switch# show cdp neighbors

 

Configuration SFTP

 

Cette configuration permet d’activer le protocole SFTP sur le switch (pour la copie de fichiers). Le protocole TFTP est alors automatiquement désactivé.

switch(config)# crypto key generate ssh
switch(config)# ip ssh filetransfer

 

POE

 

Le POE est activé par défaut.

switch(config)# interface 1
switch(eth-1)# no powerover-ethernet
switch(eth-1)# power-overethernet

 

switch# show power-overethernet
switch# show power-overethernet brief

 

802.1X Ethernet

 

Configuration Radius

switch(config)# radiusserver host <IP_serveur> key <MDP>
switch(config)# aaa authentication port-access eap-radius

 

Configuration des ports concernés

switch(config)# aaa portaccess authenticator 15,18-20

 

Paramétrage spécifiques (VLAN en cas de non authentification et limite de client)

switch(config)# aaa portaccess authenticator 15,18-20 unauth-vid <VLAN>
switch(config)# aaa portaccess authenticator 15 client-limit 4

 

Activation de l’authentification

switch(config)# aaa portaccess authenticator active

 

Vérification

switch # show port-access

 

DHCP Relay

 

switch(config)# vlan 5
switch(vlan-5)# ip helper-address <IP_serveur_DHCP>

 

RIP

switch(config)# router rip
switch(config)# vlan 100 ip rip

 

switch# show ip rip

 

OSPF

 

switch(config)# ip routerid 10.0.0.1
switch(config)# router ospf
switch(ospf)# area 0

switch(ospf)# vlan 10
switch(vlan-10)# ip ospf area 0

 

switch# show ip ospf interface
switch# show ip ospf neighbor
switch# show ip ospf linkstate

 

Commandes Show

 

Voici quelques commandes Show en vrac.

switch# show interfaces brief
switch# show interfaces port-utilization
switch# show interfaces ethernet 1
switch# show vlan
switch# sconfiguration

 

 

Tagués avec : , ,
Publié dans Switch Procurve
22 commentaires pour “Guide de Configuration – HP Procurve – Switch
  1. TRUONG Paul dit :

    Bonjour,
    Un grand merci
    Paul

  2. William dit :

    Bonjour,

    Merci pour cette doc très utile!
    Est il possible de planifier une sauvegarde du fichier de configuration comme le gestionnaire de tâches Kron sous Cisco?

    Merci,

    Will

  3. Zenon dit :

    Salut,

    Très pratique. N’hésite pas à continuer de l’améliorer.

    Merci

  4. Clottes dit :

    Bonjour
    Peut on créer un routage inter Vlan (scindé le réseau en 2) car les adresses IP commencent à manquer.
    Dans l’attente,
    Je vous remercie
    Cordialement,

    • Valentin Weber dit :

      Bonjour,
      Oui, c’est tout à fait possible.
      Il faut pour cela créer deux Vlans sur le switch. Si le switch fait office de routeur il convient de créer les interfaces IP sur le switch. Si c’est un routeur dédié qui fait le routage, il faut configurer un lien entre le routeur et le switch et y taguer les deux Vlans.
      Vous pouvez vous inspirer de l’article suivant pour le routage inter-vlan
      https://www.networklab.fr/routage-inter-vlan-et-switch-l3/
      L’article détaille les configuration pour du Cisco. Pour les commandes relatives à HP, vous trouverez tout sur cette page.

  5. cedric dit :

    Bonjour à tous,

    j’ai une petite question. Un stagiaire a modifier le mot de passe « manager » et « operateur »

    le hic, c’est qu’il a mit le même mot de passe sur les deux comptes.

    Du coup, impossible de se connecter aux 2 comptes.

    Y’a t’il une manip ou il faut impérativement le Reset ?

    Merci d’avance à tous

  6. sebastien dit :

    Bonjour et merci pour le guide,
    ou trouver les commandes equivalentes pour HP Procurve HPE HP3C.

    voici ma config:

    max-vlans 8
    trunk 21-24 Trk1 LACP
    trunk 1-2 Trk2 LACP
    ip routing
    vlan 1
    name « vers 1 »
    untagged 3-20,Trk2
    ip address 192.168.64.213 255.255.255.0
    no untagged Trk1
    exit
    vlan 2000
    name « Vers 2 »
    untagged Trk1
    ip address 192.168.151.246 255.255.255.0
    exit
    ip route 150.2.0.0 255.255.0.0 192.168.64.254
    ip route 172.17.0.0 255.255.0.0 192.168.64.254
    ip route 172.29.0.0 255.255.0.0 192.168.64.254
    ip route 192.168.150.0 255.255.255.0 192.168.151.245

    spanning-tree Trk1 priority 4
    spanning-tree Trk2 priority 4

    merci pour votre aide

  7. Jerome dit :

    Bonjour,

    Connaissez vous exactement en quoi consiste la configuration d’un VLAN en “management VLAN” cela correspond à l’équivalence d’une VRF ?

    Je vous poses cette question car, mon switch configuré en IP ROUTING, le VLAN pour lequel le management VLAN est en place ne prend plus en compte le routage pour ce VLAN.

    Merci par avance.

    Et merci pour votre article claire et précis.

    • Valentin Weber dit :

      Bonjour,
      Justement, j’ai eu le même problème un jour. Le principe du Vlan de management est qu’il n’est pas routé (question de sécurité). Si vous y trouvez une utilité, vous pouvez l’utiliser.
      Mais mieux vaut partir sur un Vlan classique pour le management et filtrer les connexions via des ACL (ou via la commande ip authorized-manager)

  8. Nabil dit :

    Bonjour,

    Merci beaucoup pour cette doc très utile.

    J’ai une question bête, j’ai commandé un switch Aruba 2530-24 POE+ pour l’installer dans une agence. A ce que je peux interconnecter un switch et routeur via le port SFP en mode tagged et utilisé les 24 port que pour les téléphones et les postes de travail ?

    Merci d’avance.

    Bonne journée

  9. Zpol dit :

    Bonjour
    Et merci pour ce guide. Comme tout le monde j’ai aussi une question.
    Faut il appliquer une config spécifique des port qui sont connectés aux téléphones IP?
    Mes postes téléphonique sont des AASTRA 5370ip avec 2 ports Ethernet. Les pc sont connectés au téléphone. Est ce que le poste IP est considéré comme un switch ou non?
    Merci d’avance pour les lumières.

    • Valentin Weber dit :

      Bonjour,
      Oui, sur le port il faut configurer le Vlan téléphonie en mode tagué et le Vlan pour le PC en mode non-tagué.
      Vous trouverez la configuration dans la partie « Configuration des VLANs ».

      Voici également un article qui traite de la configuration des switchs pour la téléphonie :
      https://www.networklab.fr/configuration-des-switchs-pour-la-voip/

      Pour votre deuxième question, le téléphone fait office de mini-switch (plus de détails dans l’article indiqué)

  10. Zpol dit :

    Bonjour
    Merci pour les explication. Aujourd’hui les switchs sont configurés de cette façon. Je me pose la question comment traiter l’aspect BPDU et EDGE-PORT?

  11. GILLES dit :

    Bonjour,

    Je cherche un moyen en ligne de commande telnet ou autre de pouvoir avoir le numero du port avec l’adresse mac ou l’ip du pc connecté.
    J’ai 19 switch et je voudrais pouvoir identifier le numéro du port où est conencté le pc. cela peut être un petit programme sur chaque pc ou sur le serveur.
    Merci pour votre réponse

    • Valentin Weber dit :

      Bonjour,
      Pour voir les adresses MAC associées au ports, il faudra utiliser une commande du type Show mac-address table (commande Cisco, à voir qu’elle est équivalence chez HP).
      Par contre, pour avoir la correspondance IP/MAC, il faut se placer sur l’équipement de niveau 3 qui assure le routage et consulter la table ARP (show ip ARP chez Cisco)

  12. Hessef dit :

    Bonjour,
    Très complet, merci.
    Est il possible de bannir une adresse mac (et autoriser toutes les autres) ?
    Merci

    • Valentin Weber dit :

      Bonjour,
      Je n’ai plus de switch Procurve sous la main pour tester, mais à priori il y a la commande suivante : lockout-mac

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.