evolix/wiki
22
0
Fork 0
Code Releases Activity

relecture

Browse source
This commit is contained in:
jdubois 2018-03-21 18:10:54 +01:00
parent 648c72f792
commit 1086983eeb
1 changed files with 78 additions and 64 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

142
SwitchCisco.md
View file

@ -1,16 +1,18 @@
# Howto switchs Cisco
---
categories: network
title: Howto SwitchCisco
...
Nous utilisons principalement des switchs Cisco Catalyst 2950/2960/2970/3750 et cette documentation sera orientée pour ces modèles.
Nous utilisons principalement des switchs Cisco Catalyst 2960/3750 et des Cisco Small Business, et cette documentation sera orientée pour ces modèles.
Ressources diverses :
* [Liste des firmwares IOS](http://www.cisco.com/en/US/products/ps10144/prod_release_notes_list.html) ;
* [Liste des firmwares IOS](https://www.cisco.com/c/en/us/support/ios-nx-os-software/index.html) ;
* [Centre de téléchargement cisco](http://www.cisco.com/cisco/software/navigator.html?mdfid=278875285&flowid=7448) ;
* [Manuel Catalyst 2970 12.1(14)EA1](http://www.cisco.com/en/US/docs/switches/lan/catalyst2970/software/release/12.1_14_ea1/configuration/guide/2970scg.html) ;
* [Manuel Catalyst 2960/2960-S 12.2(55)SE](http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/scg_2960.html) ;
* [Data Sheet Catalyst 3750](http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps5023/product_data_sheet0900aecd80371991.html) ;
* [Troubleshooting](http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015bfd6.shtml) ;
* [LED 2960S](http://travaux.evolix.net/2960S_LED.html).
* [LED 2960S](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/hardware/installation/guide/2960_hg/higover.html#39834).
Stackable ou non-Stackable ?
Les switchs _-S Series_ permettent de stacker plusieurs switchs : c'est-à-dire que plusieurs switchs seront vus comme un seul,
@ -19,7 +21,7 @@ plusieurs switch 2960-S et des modules Cisco FlexStack : ces modules s'ajoutent
de les relier avec des câbles Cisco FlexStack.
Astuce : un switch stackable (S Series) est parfois moins cher qu'un non-stackable... et il peut pourtant très bien être utilisé tout seul !
## Administration de switchs Cisco Catalyst
## Switch Cisco Catalyst
### Configuration initiale
@ -74,7 +76,7 @@ _Express Setup_ une fois terminé.
### Commandes de base
Commandes de bases sous IOS :
#### Commandes de bases sous IOS
~~~
Switch# show version
@ -101,17 +103,28 @@ Switch# show interfaces description
#### Gestion de base de la configuration
Voir la configuration en Flash :
~~~
Configuration en Flash
Switch# show startup-config
~~~
Configuration actuelle
Voir la configuration actuelle :
~~~
Switch# show running-config
~~~
Configuration actuelle d'une interface particulière
Configuration actuelle d'une interface particulière :
~~~
Switch# show running-config interface GigabitEthernet1/0/1
~~~
Ecrire la configuration actuelle en Flash
Ecrire la configuration actuelle en Flash :
~~~
Switch# write
~~~
@ -186,7 +199,7 @@ Note : si besoin de désactiver un ancien mot de passe, il peut être nécessair
#### Mise en place d'un mot de passe console
Important : Mettre en place le compte utilisateur.
Important : Mettre en place le [compte utilisateur](SwitchCisco#mise-en-place-dun-compte-utilisateur).
~~~
Switch# configure terminal
@ -222,7 +235,6 @@ Statut d'une interface :
Switch# show interfaces GigabitEthernet1/0/48
~~~
Infos détaillées sur la config d'un port :
~~~
@ -309,20 +321,19 @@ switch: flash_init
switch: load_helper
~~~
Si on veut on peut sauvegarder, ou supprimer l'ancienne configuration :
On peut sauvegarder ou supprimer l'ancienne configuration :
~~~
switch: dir_flash:
switch: rename flash:config.text flash:config.old
~~~
Enfin on boot :
Enfin, on boot :
~~~
switch: boot
~~~
### Sauvegardes
Voir la liste des protocoles disponibles :
@ -348,6 +359,7 @@ File Systems:
- - network rw scp:
- - network rw <https:>
- - opaque ro cns:
Switch# show flash
Directory of flash:/
@ -360,7 +372,6 @@ Directory of flash:/
57931776 bytes total (42733568 bytes free)
~~~
Copier la configuration actuelle dans un fichier nommé _sauvegarde_ :
~~~
@ -424,7 +435,7 @@ Switch# copy flash:/vlan.dat ftp://<IP>/rep/sauvegarde_vlan.dat
### Mettre à jour IOS
Si il y a assez de place sur la mémoire flash (`dir flash:`), copier le nouveau firmware dessus (`copy ftp://<IP>/fichier.bin flash:`), sinon effacer le contenu de la flash (`erase flash:`), puis placer le nouveau firmware.
S'il y a assez de place sur la mémoire flash (`dir flash:`), copier le nouveau firmware dessus (`copy ftp://<IP>/fichier.bin flash:`), sinon effacer le contenu de la flash (`erase flash:`), puis placer le nouveau firmware.
Ensuite, il suffit de spécifier de charger le nouveau firmware.
~~~
@ -515,6 +526,8 @@ Switch# show vlan
Dans cet exemple l'interface _trunké_ est l'interface `GigabitEthernet0/24`
Sur un switch niveau 3 :
~~~
Switch# configure terminal
Enter configuration commandsss, one per line. End with CNTL/Z.
@ -524,7 +537,7 @@ Switch(config-if)# switchport mode trunk
Switch(config-if)# end
~~~
Sur les 2960, le switch ne supporte que le dot1q. On aura juste à basculer le port en mode trunk :
Un switch niveau 2 ne supporte que le dot1q. On aura juste à basculer le port en mode trunk :
~~~
Switch(config-if)# switchport mode trunk
@ -566,20 +579,9 @@ ATTENTION : si l'on configure un port trunk, il est indispensable de créer le V
### Administration à distance
#### Par HTTP/HTTPS
"Les interfaces web, c'est pour les lusers" :
~~~
Switch# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# no ip http secure-server
Switch(config)# no ip http server
~~~
#### Par telnet
Important : Mettre en place le compte utilisateur.
Important : Mettre en place le [compte utilisateur](SwitchCisco#mise-en-place-dun-compte-utilisateur).
~~~
Switch# configure terminal
@ -592,7 +594,7 @@ Note : `line vty 0 4` autorise 5 connexions simultanées tandis que `line vty 0
#### Par SSH
Important : Mettre en place le nom d'hôte, le nom de domaine, et le compte utilisateur.
Important : Mettre en place le [nom d'hôte](SwitchCisco#changer-le-nom-dh%C3%B4te), le [nom de domaine](SwitchCisco#changer-le-nom-de-domaine), et le [compte utilisateur](SwitchCisco#mise-en-place-dun-compte-utilisateur).
Activation de SSH, et désactivation de telnet :
@ -636,7 +638,7 @@ Switch# conf t
La configuration IP de base permet un accès au switch via telnet
#### Désactiver services web
#### Désactiver les services web
~~~
Switch(config)#no ip http server
@ -650,7 +652,7 @@ Switch(config)#line console 0
Switch(config-line)#logging synchronous
~~~
Cette commande permet de ne pas interrompre le prompt de l'utilisateur lorsque des logs s'affichent sur le switch. Bien sûr, les logs continuent de s'afficher.
Cette commande permet de ne pas interrompre le prompt de l'utilisateur lorsque des logs s'affichent sur le switch. Ils s'afficheront sur la ligne du dessus plutôt que sur la ligne courante.
### Gestion des adresses MAC
@ -661,7 +663,7 @@ Switch#show mac address-table
Switch#show mac address-table int Gi0/11
~~~
Gestion des adresses MAC dynamiques, notamment forcer la suppression
Gestion des adresses MAC dynamiques, notamment forcer la suppression :
~~~
Switch#clear mac address-table dynamic
@ -673,22 +675,20 @@ Switch#clear mac address-table dynamic vlan <id>
Configurer des alertes lors de modifications :
~~~
snmp-server enable traps mac-notification change
snmp-server enable traps mac-notification move
Switch(config)#snmp-server enable traps mac-notification change
Switch(config)#snmp-server enable traps mac-notification move
~~~
Forcer des adresses MAC de façon statique :
~~~
mac address-table static <mac> vlan <id> interface <if>
Switch(config)#mac address-table static <mac> vlan <id> interface <if>
~~~
### STP : Spanning Tree Protocol
<http://en.wikipedia.org/wiki/Spanning_Tree_Protocol>
<http://www.cisco.com/image/gif/paws/10556/spanning_tree1.swf>
Le STP est un protocole permettant de détecter et désactiver automatiquement des boucles sur un segment Ethernet.
Cela permet donc d'éviter une boucle faite par erreur (ce qui en découle sur un Packet Storm et un réseau très dégradé)
...ou de créer des boucles volontairement pour assurer de la redondance !
@ -773,14 +773,14 @@ Lorsque lon se branche sur un port, il faut 30s pour quil soit utilisable
Le Spanning Tree Portfast permet de passer un port dans l'état forwarding de façon immédiate, en lui faisant sauter les états listening et learning.
On utilisera cette commande uniquement si l'on est sûr de ne pas avoir besoin du Spanning Tree (serveur non virtuel connecté directement au port, etc.). Le portfast ne désactive pas le spanning-tree puisque le port continue de recevoir et d'envoyer des trames BPDU : il sera bien désactivé par STP si une boucle est créée. Mais dans ce cas, le port pourra mettre jusqu'à 2s pour se désactiver (correspondant à la valeur hello time), et donc des duplications de trames pourront avoir lieu pendant cet instant.
##### Activer
Activer le portfast :
~~~
Switch(config)#interface GigabitEthernet0/28
Switch(config-if)#spanning-tree portfast
~~~
##### Désactiver
Désactiver le portfast :
~~~
Switch(config)#interface GigabitEthernet0/28
@ -799,6 +799,8 @@ Switch(config-if)#speed 10
Switch(config-if)#srr-queue bandwidth limit 80
~~~
La négociation de la vitesse (commande `speed`) ne fonctionne que sur une interface ethernet, et non fibre.
Infos sur le rate-limiting :
~~~
@ -872,18 +874,18 @@ Switch(config)#monitor session 1 source interface g0/1 , g0/5
Switch(config)#monitor session 1 destination interface g0/15 ingress vlan 15
~~~
### Cisco L3
## Switch Cisco Catalyst niveau 3
#### DHCP relay sur plusieurs VLANs
### DHCP relay sur plusieurs VLANs
* [Exemple de mise en oeuvre de DHCP Relay sur 2 VLANs](http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080114aee.shtml)
##### Serveur DHCP
#### Côté Serveur DHCP
Côté serveur DHCP (serveur linux), configurer un subnet par VLAN. Penser aux routes permettant d'accéder à chaque réseau de chaque VLAN.
Le serveur DHCP pourra être dans un VLAN dédié.
##### Cisco 3750
#### Côté Switch
Pour activer le DHCP Relay, sur chaque interface VLAN, rajouter la directive `ip address helper <ip-server-dhcp>`.
@ -898,7 +900,7 @@ Switch(config-if)#end
On répètera cette manipulation pour chaque VLANs et chaque subnet déclaré sur le serveur DHCP que l'on souhaite activer.
#### Routage Inter-VLANs
### Routage Inter-VLANs
L'activation du routage inter-VLANs se fait de la manière suivante :
@ -908,7 +910,7 @@ Switch(config)# ip routing
Tous les VLANs seront routés entre eux. Il sera possible si besoin de limiter le routage inter-VLANs grâce aux ACLs.
#### Définir une route par défaut
### Définir une route par défaut
~~~
Switch(config)# ip default-gateway IP_routeur
@ -920,17 +922,15 @@ ou
Switch(config)# ip route 0.0.0.0 0.0.0.0 IP_routeur
~~~
### Ansible
La première commande est à utiliser si `ip routing` n'est pas configuré. Si c'est configuré, il faut utiliser la deuxième commande.
Voir [HowtoAnsible/Cisco](HowtoAnsible/Cisco)
## Divers
### Divers
#### Cron / tâches planifiées
### Cron / tâches planifiées
Voir <http://www.tmartin.io/articles/2010/sauvegarder-la-configuration-de-cisco-ios-vers-un-serveur-distant-avec-kron/>
#### Désactiver la vérification des modules GBIC
### Désactiver la vérification des modules GBIC
Par défaut, CISCO n'autorise pas les modules GBIC non agréés, il faut donc désactiver la vérification des checksum des modules GBIC pour pouvoir les connecter :
@ -945,7 +945,7 @@ On peut ensuite les lister via :
Switch#show inventory
~~~
#### Remettre un port désactivé par errdisable
### Remettre un port désactivé par errdisable
Un port est désactivé dans divers cas, tel que la non-autorisation des modules GBIC tiers.
@ -956,7 +956,7 @@ Switch(config-if)#shutdown
Switch(config-if)#no shutdown
~~~
#### Consulter les informations DOM d'un SFP
### Consulter les informations DOM d'un SFP
Pour surveiller la température, ou le voltage :
@ -964,7 +964,7 @@ Pour surveiller la température, ou le voltage :
Switch# show interface transceiver
~~~
#### Passer un port SFP en "speed nonegotiate"
### Passer un port SFP en "speed nonegotiate"
On ne peut pas forcer la vitesse d'un port SFP... mais il faut parfois passer en "speed nonegotiate" :
@ -976,7 +976,7 @@ Switch(config-if)# no shutdown
Lire <http://herdingpackets.net/2013/03/21/disabling-gigabit-link-negotiation-on-fiber-interfaces/>
## Howto switchs Cisco Small Business
## Switchs Cisco Small Business
Les switchs Cisco Small Business Pro (par exemple, le modèle Cisco ESW 500) sont en fait d'anciens switchs Linksys. Ils n'ont pas de système IOS habituel.
La connexion par le port console ou par telnet donne seulement accès à un menu interactif permettant d'effectuer seulement quelques opérations de base. On préférera donc l'utilisation de l'interface HTTP.
@ -998,7 +998,9 @@ Probablement dans un souci de cohérence, c'est également possible mais avec un
Dans la section "VLAN Management > Port to VLAN" selectionner le VLAN ID désiré, et cliquer sur Go. Puis cocher "Untagged" au lieu de "Excluded" pour tous les ports désirés, et valider avec "Apply".
L'application des modifications est visible dans "VLAN Management > Port VLAN Membership"
### CLI Small Business
### CLI
Commandes similaires aux Catalyst :
~~~
Switch# wr
@ -1029,13 +1031,25 @@ Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan add all
Switch(config-if)# end
Switch(config)# interface gi1
Switch(config-if)# traffic-shape 10000
Switch(config-if)# rate-limit 10000
Switch(config-if)# end
Switch(config)# no lldp run
Switch(config)# no bonjour enable
Switch(config)# jumbo-frame 10000
Switch(config)# hostname foo
~~~
#### Rate-limiting
Rate-limiter à 10 Mb/s :
~~~
Switch(config)# interface gi1
Switch(config-if)# traffic-shape 10000
Switch(config-if)# rate-limit 10000
Switch(config-if)# end
~~~
`traffic-shape` limite en sortie, en `rate-limite` en entrée.
## Ansible
Voir [HowtoAnsible/Cisco](HowtoAnsible/Cisco)