Dans cet article, vous retrouverez une liste de commandes de configuration des Switchs HP Procurve.
Quelques rapides explications seront données.
Configuration de base
Entrer et sortir du mode de configuration
switch# conf t switch(config)# switch(config)#exit switch#
Sauvegarder la configuration
switch# write memory
Afficher la configuration
switch# show running-config
Redémarrer
switch# reload <CR / after / at>
Hostname
switch(config)# hostname switch-HP-Procurve
Utilisateur et mot de passe
Le manager a tous les droits. L’opérateur à des droits limités (commandes Show, accès aux logs, droits en lecture, etc…).
switch(config)# password manager user-name admin New password for Manager: ******* Please retype new password for Manager: ******** switch(config)# password operator user-name operator New password for Operator: ******* Please retype new password for Operator: ********
SSH et Telnet
switch(config)# crypto key generate ssh switch(config)# ip ssh switch(config)# ip ssh timeout 120 switch(config)# ip ssh version2
switch(config)# no telnet-server
switch# show telnet switch# show ip ssh
Accès console
Le temps est indiqué en minutes. « 0 » signifie que la session n’expire pas.
switch(config)# console idle-timer 5 switch(config)# console baud-rate 9600 switch(config)# console baud-rate speed-sense (default)
Accès WEB
switch(config)# crypto key generate cert <key_size> switch(config)# web-management ssl switch(config)# no web-management plaintext
SFTP
switch(config)# ip ssh filetransfer
TFTP
switch(config)# tftp server
Bannière
switch(config)# banner motd # Enter TEXT message. End with the character'#’ #
switch(config)# banner exec # Enter TEXT message. End with the character'#’ #
AAA Radius
switch(config)# radius-server host <IP-Serveur-RADIUS> key <MDP> switch(config)# aaa authentication console login radius local switch(config)# aaa authentication console enable radius local switch(config)# aaa authentication ssh login radius local switch(config)# aaa authentication ssh enable radius local switch(config)# aaa authentication <telnet / web> login radius local switch(config)# aaa authentication <telnet / web> enable radius local
switch# show radius switch# show authentication switch# show radius authentication switch# show radius host <IP>
AAA Tacacs+
switch(config)# tacacs-server host <IP-Serveur-Tacacs> key <MDP> switch(config)# aaa authentication console login tacacs local switch(config)# aaa authentication console enable tacacs local switch(config)# aaa authentication ssh login tacacs local switch(config)# aaa authentication ssh enable tacacs local switch(config)# aaa authentication <telnet / web> login tacacs local switch(config)# aaa authentication <telnet / web> enable tacacs local
switch# show tacacs switch# show authentication
Configuration d’un port
Activation / Desactivation
switch(config)# interface ethernet 1 switch(eth-1)# enable switch(eth-1)# disable
Configuration d’une description
switch(eth-1)# name "TO Switch SW2"
Vitesse et Duplex
switch(eth-1)# speed-duplex 1000-full switch(eth-1)# speed-duplex auto
Limitation de broadcast
switch(eth-1)# broadcast-limit 15
Sécurité de port
Commandes
switch(config)# port-security ethernet 1 learn-mode <continuous / limited-continuous / static / configured / port-access> switch (config)# port-security ethernet 1 address-limit <NB Adresses MAX> switch (config)# port-security ethernet 1 action <none / send-alarm / send-disable> switch (config)# port-security ethernet 1 eavesdrop-prevention switch (config)# port-security Ethernet 1 mac-address <Adresse MAC> switch (config)# mac-age-time 120 (en minutes, 300 par défaut)
Explications
Le paramètre Learn-mode définit comment les adresses MAC sont apprises :
- Continuous: C’est le mode par défaut. Le switch apprend les adresses MAC des frames qu’il reçoit. Une fois le Age-Time atteint, elles sont supprimées. Il n’est pas possible de configurer de Address-Limit.
- Limited-continuous: Similaire au mode continuous mais permet de configurer une limite d’adresse MAC.
- Static: Permet de spécifier à la main les adresses MAC autorisées. Si la limite n’est pas atteinte, le switch peut encore apprendre des adresses (ex : si la limite est à 5 et que 3 adresses ont été configurées, le switch peut encore apprendre 2 adresses).
- Configured: Similaire au mode Static. Si la limite n’est pas attente, le switch ne peut pas apprendre de nouvelles adresses (ex : si la limite est à 5 et que 3 adresses ont été configurées, le switch ne peut pas apprendre plus d’adresse).
- Port-Access: Permet de configurer de l’authentification
Le paramètre Address-Limit permet de choisir le nombre maximum d’adresse que le switch peut apprendre pour un port.
Le paramètre Action permet de définir ce que fait le switch une fois la limite atteinte :
- None: le switch ignore les frames venant ayant une adresse source non apprise (ex : la limite est 5 est le switch a appris 5 adresse, alors une frame ayant une adresse source non connue est ignorée).
- Send-alarm: génère une alerte
- Send-disable: bloque le port
Le paramètre Mac-Address permet de spécifier à la main les adresses que le switch doit connaitre (utile pour les modes Static et Configured).
Le paramètre Age-Time permet de choisir le temps après lequel les adresses non-utilisées sont oubliées (par défaut : 300 minutes).
Le paramètre Eavesdrop-Prevention permet d’empêcher un ordinateur de voir du trafic Unicast qui n’est pas destiné à ce port. Quand le paramètre est activé et qu’une frame arrive sur le port, le switch compare l’adresse de destination aux adresses autorisées sur le port. Cela n’affecte pas le trafic de Multicast et de Broadcast.
Vérification
switch (config)# show port-security ethernet 1 Port Security Port : 1 Learn Mode [Continuous] : Limited-Continuous Address Limit [1] : 10 Action [None] : None Eavesdrop Prevention [Enabled] : Enabled
Configuration des VLANs
Augmenter le nombre de VLAN max
switch(config)# max-vlans 100
Creation d’un VLAN
switch(config)# vlan 10 name servers
Suppression d’un VLAN
switch(config)# no vlan 10
Association d’un VLAN à un port
Untagged correspond au mode access chez Cisco. Les frames ne sont pas taguées quand elles sont envoyés à travers le port.
Le mode Tagged correspond au mode Trunk chez Cisco. Les frames sont taguées avec le numéro du VLAN quand elles sont envoyées à travers le port.
switch(config)# vlan 10 switch(vlan-10)# untagged ethernet 1-10 switch(vlan-10)# tagged ethernet 48
VLAN Voice
switch(config)# vlan 20 switch(vlan-2)# tagged ethernet 1-48 switch(vlan-2)# voice
Vérification
switch# show vlans
Configuration IP
Interface VLAN
switch(config)# vlan 10 switch(vlan-10)# ip address 10.0.10.1 255.255.255.0
Passerelle par défaut
switch(config)# ip default-gateway 10.0.1.254
DNS
switch(config)# ip dns server-address priority 1 10.0.0.1
Configuration Spanning Tree
Activation du Spanning Tree
switch(config)# spanning-tree
MSTP
Paramètres de base.
switch(config)# spanning-tree config-name "STPNAME" switch(config)# spanning-tree config-revision 1
Assignation des VLANs à une instance.
switch(config)# spanning-tree instance 1 vlan 10 switch(config)# spanning-tree instance 2 vlan 20
Forcer le switch en Root Bridge pour une instance.
switch(config)# spanning-tree instance 2 priority 0
RSTP
switch(config)#spanning-tree force-version rstp-operation
Forcer le switch en Root Bridge
La priorité du switch devient 4096.
switch(config)#spanning-tree priority 0
Admin-Edge-Port (Portfast)
L’Admin-Edge-Port est l’équivalent du portfast chez Cisco. C’est une configuration à appliquer sur les ports donnant vers des PC. Ici les ports 1 à 10 seront configurés en Admin-Edge-Port.
switch(config)# spanning-tree <Liste-Port> admin-edge-port
Coût et priorité
switch(config)# spanningtree 7 path-cost 10000 switch(config)# spanningtree 7 priority 6
Root Guard
Le Root Guard permet d’empêcher un switch dérière ce port de devenir Root Bridge.
switch(config)#spanning-tree 48 root-guard
BPDU-Protection
Avec la BPDU Protection, si un BPDU est reçu sur le port, celui-ci est désactivé. Il est possible de choisi un temps après lequel le port est réactive (Timeout).
switch(config)# spanning-tree 1-10 bpdu-protection switch(config)# spanning-tree bpdu-protection-timeout 300
BPDU Filter
Le BPDU Filter empêche l’envoie et la réception de BPDU sur le port. Le port continue de faire transiter le trafic.
switch(config)#spanning-tree 1 bpdu-filter
Loop Protection
switch(config)# loop-protect trap loop-detected switch(config)# loop-protect <interface> receiver-action send-disable
Vérification
Switch# show spanning-tree
Agrégation de lien
Prérequis sur les ports de l’agrégation :
- Pas de VLAN
- Même vitesse et mode de duplex
- Pas de Loop Protect
Agrégation statique
Agrégation sans protocole de négociation (équivalent au mode ON chez Cisco).
switch(config)# trunk 1-2 trk1 trunk
LACP
Agrégation avec négociation LACP en mode Passive (création d’une agrégation si le port en face est en mode Active, sinon il ne se passe rien).
switch(config)# trunk 1-2 trk1 lacp
Agrégation avec négociation LACP en mode Active (création d’une agrégation si le port en face est en mode Passive ou Active, sinon il ne se passe rien).
switch(config)# trunk 1-2 trk1 lacp active
Configuration de l’agrégation agrégation
switch(config)# vlan 10 switch(vlan-10)# tagged trk1
Vérification
switch# show trunks switch# show lacp
VRRP
Switch Active
switch(config)# router vrrp switch(config)# vlan 10 switch(config)# ip address 10.0.10.1 255.255.255.0 switch(vlan-10)# vrrp vrid 10 switch(vlan-10-vrid-10)# backup switch(vlan-10-vrid-10)# priority 254 switch(vlan-10-vrid-10)# virtual-ip-address 10.0.1.254 255.255.255.0 switch(vlan-10-vrid-10)# enable
Il est préférable de configurer les deux switchs en mode Backup et d’assigner une priorité plus importante à l’un d’eux. Cela permet d’assigner une IP A au premier switch, une IP B au deuxième et une IP C pour l’IP virtuelle de passerelle.
En configurant un switch en Owner et un en Backup, le switch Owner doit porter l’IP virtuelle de passerelle.
Switch Standby
switch(config)# router vrrp switch(config)# vlan 10 switch(config)# ip address 10.0.10.2 255.255.255.0 switch(vlan-10)# vrrp vrid 10 switch(vlan-10-vrid-10)# backup switch(vlan-10-vrid-10)# priority 250 switch(vlan-10-vrid-10)# virtual-ip-address 10.0.1.254 255.255.255.0 switch(vlan-10-vrid-10)# enable
Vérification
switch# show vrrp config switch# show vrrp vlan 10
Configuration d’une ACL
ACL standard : 1 à 100 ou nommée.
ACL standard 100 à 199 ou nommée.
Un Deny All se trouve à la fin de toutes les ACL.
switch(config)# ip accesslist standard 1 switch(config-std-nacl)# permit <IP> <Wildcard Mask>
switch(config)# ip accesslist standard <Nom_ACL> switch(config-std-nacl)# permit <IP>/<Nb_Bits_Masque>
Application de l’ACL sur un VLAN.
switch(config)# vlan 10 switch(config)# ip access-group <Nom_ACL> <in / out>
Vérification.
switch# show access-list
Configuration d’une restriction d’accès
Seules les IP identifiées dans les commandes IP Authorised-Manager peuvent accéder aux interfaces de configuration du switch.
switch(config)# ip authorized-manager 10.0.0.0 mask 255.255.255.0 manager
Configuration NTP / SNTP
Client NTP
switch(config)# ip timep manual <IP> switch(config)# timesync timep
switch# show timep
Client SNTP
switch(config)# timesync sntp switch(config)# sntp server priority 1 10.0.0.1 switch(config)# sntp unicast
switch# show sntp
Configuration SNMP
SNMP v1 et V2
Activation / Désactivation du SNMP.
switch(config)# snmp-server enable switch(config)# no snmp-server enable
Configuration de la communauté.
switch(config)# snmp-server community-public NAME
Renseignement des informations du switch.
switch(config)# snmp-server location "IT Room 1" switch(config)# snmp-server contact “IT Staff”
Autorisation d’interroger le switch en SNMP.
switch(config)# ip authorized-managers <IP> 255.255.255.255 access operator access-method snmp
Configuration d’une machine à laquelle envoyer des tarps.
switch(config)# snmp-server host <IP>
Vérification.
switch# show snmp-server
SNMPv3
Activation.
switch (config)# snmpv3 enable
Paramétrage des accès.
switch(config)# snmpv3 user <user> auth sha <MDP> priv aes <MDP> switch (config)# snmpv3 group <groupe> user <user> sec-model ver3
Renseignement des informations du switch.
switch(config)# snmp-server location "IT Room 1" switch(config)# snmp-server contact “IT Staff”
Vérification.
switch # show snmpv3 enable switch # show snmpv3 user switch # show snmpv3 group
Syslog
switch(config)# logging facility IT-Room-1 switch(config)# logging <IP_Serveur>
switch# show logging ?
DHCP Snooping
Le DHCP Snooping est une fonctionnalité permettant de filtrer des messages DHCP sur un switch. Il est possible de configurer les ports en mode Trusted (un serveur DHCP peut se trouver derrière et faires des DHCP-ACK et DHCP-OFFER) ou en mode UnTrusted (un serveur DHCP ne peut pas se trouver derrière le port.
Cela évite qu’un intrus se fasse passer pour un serveur DHCP. De plus, le switch garde en mémoire les adresses IP attribuées aux différentes adresses MAC.
Activation global du DHCP Snooping.
switch(config)# dhcpsnooping
Autorisation d’un serveur DHCP.
switch(config)# dhcpsnooping authorized-server <IP_serveur_DHCP>
Activation du DHCP Snooping sur un VLAN.
switch(config)# dhcpsnooping vlan 10
Configuration d’une interface en mode Trusted (les interfaces sont untrusted par défaut).
switch(config)# dhcpsnooping trust 5 (port derrière lequel un serveur DHCP est autorisé)
Vérification.
switch# show dhcp-snooping switch# show dhcp-snooping stats
Port Mirroring
Port de destination de trafic répliqué.
switch(config)# mirror 1 port <interface_dest>
Port sur lequel le trafic intéressant passe. Le mot clé Both signifie que le trafic entrant et sortant est répliqué.
switch(config)# interface <interface_src> monitor all both mirror 1
switch# show monitor 1
Remote Port Mirroring
Switch avec trafic intéressant
switch(config)# mirror 1 remote ip <IP_source> <port_UDP_src> <IP_dest> switch(config)# interface <interface_src> monitor all both mirror 1
Switch destination
switch(config)# mirror endpoint ip <IP_src> <port_UDP_src> <IP_dest> port <interface_dest>
Vérification
switch# show monitor 1
Configuration du routage
Activation du routage
switch(config)# ip routing
Création d’une route par défaut
switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1
LLDP / CDP
switch# show lldp info remote-device switch# show cdp neighbors
Configuration SFTP
Cette configuration permet d’activer le protocole SFTP sur le switch (pour la copie de fichiers). Le protocole TFTP est alors automatiquement désactivé.
switch(config)# crypto key generate ssh switch(config)# ip ssh filetransfer
POE
Le POE est activé par défaut.
switch(config)# interface 1 switch(eth-1)# no powerover-ethernet switch(eth-1)# power-overethernet
switch# show power-overethernet switch# show power-overethernet brief
802.1X Ethernet
Configuration Radius
switch(config)# radiusserver host <IP_serveur> key <MDP> switch(config)# aaa authentication port-access eap-radius
Configuration des ports concernés
switch(config)# aaa portaccess authenticator 15,18-20
Paramétrage spécifiques (VLAN en cas de non authentification et limite de client)
switch(config)# aaa portaccess authenticator 15,18-20 unauth-vid <VLAN> switch(config)# aaa portaccess authenticator 15 client-limit 4
Activation de l’authentification
switch(config)# aaa portaccess authenticator active
Vérification
switch # show port-access
DHCP Relay
switch(config)# vlan 5 switch(vlan-5)# ip helper-address <IP_serveur_DHCP>
RIP
switch(config)# router rip switch(config)# vlan 100 ip rip
switch# show ip rip
OSPF
switch(config)# ip routerid 10.0.0.1 switch(config)# router ospf switch(ospf)# area 0 switch(ospf)# vlan 10 switch(vlan-10)# ip ospf area 0
switch# show ip ospf interface switch# show ip ospf neighbor switch# show ip ospf linkstate
Commandes Show
Voici quelques commandes Show en vrac.
switch# show interfaces brief switch# show interfaces port-utilization switch# show interfaces ethernet 1 switch# show vlan switch# sconfiguration
Bonjour,
Un grand merci
Paul
Bonjour,
Merci pour cette doc très utile!
Est il possible de planifier une sauvegarde du fichier de configuration comme le gestionnaire de tâches Kron sous Cisco?
Merci,
Will
Bonjour,
Depuis les switchs, je ne pense pas. Mais ça doit être possible à partir de l’IMC.
Salut,
Très pratique. N’hésite pas à continuer de l’améliorer.
Merci
Bonjour
Peut on créer un routage inter Vlan (scindé le réseau en 2) car les adresses IP commencent à manquer.
Dans l’attente,
Je vous remercie
Cordialement,
Bonjour,
Oui, c’est tout à fait possible.
Il faut pour cela créer deux Vlans sur le switch. Si le switch fait office de routeur il convient de créer les interfaces IP sur le switch. Si c’est un routeur dédié qui fait le routage, il faut configurer un lien entre le routeur et le switch et y taguer les deux Vlans.
Vous pouvez vous inspirer de l’article suivant pour le routage inter-vlan
https://www.networklab.fr/routage-inter-vlan-et-switch-l3/
L’article détaille les configuration pour du Cisco. Pour les commandes relatives à HP, vous trouverez tout sur cette page.
Bonjour à tous,
j’ai une petite question. Un stagiaire a modifier le mot de passe « manager » et « operateur »
le hic, c’est qu’il a mit le même mot de passe sur les deux comptes.
Du coup, impossible de se connecter aux 2 comptes.
Y’a t’il une manip ou il faut impérativement le Reset ?
Merci d’avance à tous
Bonjour,
Il se peut qu’il y ait un bouton « Clear » sur le switch. Si oui, il permet de remettre à zéro les mots de passe.
Bonjour,
Yessssssssss Merci 🙂
Bonne journée
Bonjour et merci pour le guide,
ou trouver les commandes equivalentes pour HP Procurve HPE HP3C.
voici ma config:
max-vlans 8
trunk 21-24 Trk1 LACP
trunk 1-2 Trk2 LACP
ip routing
vlan 1
name « vers 1 »
untagged 3-20,Trk2
ip address 192.168.64.213 255.255.255.0
no untagged Trk1
exit
vlan 2000
name « Vers 2 »
untagged Trk1
ip address 192.168.151.246 255.255.255.0
exit
ip route 150.2.0.0 255.255.0.0 192.168.64.254
ip route 172.17.0.0 255.255.0.0 192.168.64.254
ip route 172.29.0.0 255.255.0.0 192.168.64.254
ip route 192.168.150.0 255.255.255.0 192.168.151.245
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
merci pour votre aide
Bonjour,
Vous trouverez ici un guide de configuration HP H3C :
https://www.networklab.fr/guide-de-configuration-hp-h3c-switch/
Bonjour,
Connaissez vous exactement en quoi consiste la configuration d’un VLAN en “management VLAN” cela correspond à l’équivalence d’une VRF ?
Je vous poses cette question car, mon switch configuré en IP ROUTING, le VLAN pour lequel le management VLAN est en place ne prend plus en compte le routage pour ce VLAN.
Merci par avance.
Et merci pour votre article claire et précis.
Bonjour,
Justement, j’ai eu le même problème un jour. Le principe du Vlan de management est qu’il n’est pas routé (question de sécurité). Si vous y trouvez une utilité, vous pouvez l’utiliser.
Mais mieux vaut partir sur un Vlan classique pour le management et filtrer les connexions via des ACL (ou via la commande ip authorized-manager)
Bonjour,
Merci beaucoup pour cette doc très utile.
J’ai une question bête, j’ai commandé un switch Aruba 2530-24 POE+ pour l’installer dans une agence. A ce que je peux interconnecter un switch et routeur via le port SFP en mode tagged et utilisé les 24 port que pour les téléphones et les postes de travail ?
Merci d’avance.
Bonne journée
Bonjour,
Oui tout à fait. C’est même la manière standard de procéder.
Bonjour
Et merci pour ce guide. Comme tout le monde j’ai aussi une question.
Faut il appliquer une config spécifique des port qui sont connectés aux téléphones IP?
Mes postes téléphonique sont des AASTRA 5370ip avec 2 ports Ethernet. Les pc sont connectés au téléphone. Est ce que le poste IP est considéré comme un switch ou non?
Merci d’avance pour les lumières.
Bonjour,
Oui, sur le port il faut configurer le Vlan téléphonie en mode tagué et le Vlan pour le PC en mode non-tagué.
Vous trouverez la configuration dans la partie « Configuration des VLANs ».
Voici également un article qui traite de la configuration des switchs pour la téléphonie :
https://www.networklab.fr/configuration-des-switchs-pour-la-voip/
Pour votre deuxième question, le téléphone fait office de mini-switch (plus de détails dans l’article indiqué)
Bonjour
Merci pour les explication. Aujourd’hui les switchs sont configurés de cette façon. Je me pose la question comment traiter l’aspect BPDU et EDGE-PORT?
Bonjour,
Je cherche un moyen en ligne de commande telnet ou autre de pouvoir avoir le numero du port avec l’adresse mac ou l’ip du pc connecté.
J’ai 19 switch et je voudrais pouvoir identifier le numéro du port où est conencté le pc. cela peut être un petit programme sur chaque pc ou sur le serveur.
Merci pour votre réponse
Bonjour,
Pour voir les adresses MAC associées au ports, il faudra utiliser une commande du type Show mac-address table (commande Cisco, à voir qu’elle est équivalence chez HP).
Par contre, pour avoir la correspondance IP/MAC, il faut se placer sur l’équipement de niveau 3 qui assure le routage et consulter la table ARP (show ip ARP chez Cisco)
Bonjour,
Très complet, merci.
Est il possible de bannir une adresse mac (et autoriser toutes les autres) ?
Merci
Bonjour,
Je n’ai plus de switch Procurve sous la main pour tester, mais à priori il y a la commande suivante : lockout-mac