From 1086983eebe8fd491fb777c9937a52b930ccec12 Mon Sep 17 00:00:00 2001 From: jdubois Date: Wed, 21 Mar 2018 18:10:54 +0100 Subject: [PATCH] relecture --- SwitchCisco.md | 142 +++++++++++++++++++++++++++---------------------- 1 file changed, 78 insertions(+), 64 deletions(-) diff --git a/SwitchCisco.md b/SwitchCisco.md index 124d6226..f156d141 100644 --- a/SwitchCisco.md +++ b/SwitchCisco.md @@ -1,16 +1,18 @@ -# Howto switchs Cisco +--- +categories: network +title: Howto SwitchCisco +... -Nous utilisons principalement des switchs Cisco Catalyst 2950/2960/2970/3750 et cette documentation sera orientée pour ces modèles. +Nous utilisons principalement des switchs Cisco Catalyst 2960/3750 et des Cisco Small Business, et cette documentation sera orientée pour ces modèles. Ressources diverses : -* [Liste des firmwares IOS](http://www.cisco.com/en/US/products/ps10144/prod_release_notes_list.html) ; +* [Liste des firmwares IOS](https://www.cisco.com/c/en/us/support/ios-nx-os-software/index.html) ; * [Centre de téléchargement cisco](http://www.cisco.com/cisco/software/navigator.html?mdfid=278875285&flowid=7448) ; -* [Manuel Catalyst 2970 12.1(14)EA1](http://www.cisco.com/en/US/docs/switches/lan/catalyst2970/software/release/12.1_14_ea1/configuration/guide/2970scg.html) ; * [Manuel Catalyst 2960/2960-S 12.2(55)SE](http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/scg_2960.html) ; * [Data Sheet Catalyst 3750](http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps5023/product_data_sheet0900aecd80371991.html) ; * [Troubleshooting](http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015bfd6.shtml) ; -* [LED 2960S](http://travaux.evolix.net/2960S_LED.html). +* [LED 2960S](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/hardware/installation/guide/2960_hg/higover.html#39834). Stackable ou non-Stackable ? Les switchs _-S Series_ permettent de stacker plusieurs switchs : c'est-à-dire que plusieurs switchs seront vus comme un seul, @@ -19,7 +21,7 @@ plusieurs switch 2960-S et des modules Cisco FlexStack : ces modules s'ajoutent de les relier avec des câbles Cisco FlexStack. Astuce : un switch stackable (S Series) est parfois moins cher qu'un non-stackable... et il peut pourtant très bien être utilisé tout seul ! -## Administration de switchs Cisco Catalyst +## Switch Cisco Catalyst ### Configuration initiale @@ -74,7 +76,7 @@ _Express Setup_ une fois terminé. ### Commandes de base -Commandes de bases sous IOS : +#### Commandes de bases sous IOS ~~~ Switch# show version @@ -101,17 +103,28 @@ Switch# show interfaces description #### Gestion de base de la configuration + +Voir la configuration en Flash : + ~~~ -Configuration en Flash Switch# show startup-config +~~~ -Configuration actuelle +Voir la configuration actuelle : + +~~~ Switch# show running-config +~~~ -Configuration actuelle d'une interface particulière +Configuration actuelle d'une interface particulière : + +~~~ Switch# show running-config interface GigabitEthernet1/0/1 +~~~ -Ecrire la configuration actuelle en Flash +Ecrire la configuration actuelle en Flash : + +~~~ Switch# write ~~~ @@ -186,7 +199,7 @@ Note : si besoin de désactiver un ancien mot de passe, il peut être nécessair #### Mise en place d'un mot de passe console -Important : Mettre en place le compte utilisateur. +Important : Mettre en place le [compte utilisateur](SwitchCisco#mise-en-place-dun-compte-utilisateur). ~~~ Switch# configure terminal @@ -222,7 +235,6 @@ Statut d'une interface : Switch# show interfaces GigabitEthernet1/0/48 ~~~ - Infos détaillées sur la config d'un port : ~~~ @@ -309,20 +321,19 @@ switch: flash_init switch: load_helper ~~~ -Si on veut on peut sauvegarder, ou supprimer l'ancienne configuration : +On peut sauvegarder ou supprimer l'ancienne configuration : ~~~ switch: dir_flash: switch: rename flash:config.text flash:config.old ~~~ -Enfin on boot : +Enfin, on boot : ~~~ switch: boot ~~~ - ### Sauvegardes Voir la liste des protocoles disponibles : @@ -348,6 +359,7 @@ File Systems: - - network rw scp: - - network rw - - opaque ro cns: + Switch# show flash Directory of flash:/ @@ -360,7 +372,6 @@ Directory of flash:/ 57931776 bytes total (42733568 bytes free) ~~~ - Copier la configuration actuelle dans un fichier nommé _sauvegarde_ : ~~~ @@ -424,7 +435,7 @@ Switch# copy flash:/vlan.dat ftp:///rep/sauvegarde_vlan.dat ### Mettre à jour IOS -Si il y a assez de place sur la mémoire flash (`dir flash:`), copier le nouveau firmware dessus (`copy ftp:///fichier.bin flash:`), sinon effacer le contenu de la flash (`erase flash:`), puis placer le nouveau firmware. +S'il y a assez de place sur la mémoire flash (`dir flash:`), copier le nouveau firmware dessus (`copy ftp:///fichier.bin flash:`), sinon effacer le contenu de la flash (`erase flash:`), puis placer le nouveau firmware. Ensuite, il suffit de spécifier de charger le nouveau firmware. ~~~ @@ -515,6 +526,8 @@ Switch# show vlan Dans cet exemple l'interface _trunké_ est l'interface `GigabitEthernet0/24` +Sur un switch niveau 3 : + ~~~ Switch# configure terminal Enter configuration commandsss, one per line. End with CNTL/Z. @@ -524,7 +537,7 @@ Switch(config-if)# switchport mode trunk Switch(config-if)# end ~~~ -Sur les 2960, le switch ne supporte que le dot1q. On aura juste à basculer le port en mode trunk : +Un switch niveau 2 ne supporte que le dot1q. On aura juste à basculer le port en mode trunk : ~~~ Switch(config-if)# switchport mode trunk @@ -566,20 +579,9 @@ ATTENTION : si l'on configure un port trunk, il est indispensable de créer le V ### Administration à distance -#### Par HTTP/HTTPS - -"Les interfaces web, c'est pour les lusers" : - -~~~ -Switch# conf t -Enter configuration commands, one per line. End with CNTL/Z. -Switch(config)# no ip http secure-server -Switch(config)# no ip http server -~~~ - #### Par telnet -Important : Mettre en place le compte utilisateur. +Important : Mettre en place le [compte utilisateur](SwitchCisco#mise-en-place-dun-compte-utilisateur). ~~~ Switch# configure terminal @@ -592,7 +594,7 @@ Note : `line vty 0 4` autorise 5 connexions simultanées tandis que `line vty 0 #### Par SSH -Important : Mettre en place le nom d'hôte, le nom de domaine, et le compte utilisateur. +Important : Mettre en place le [nom d'hôte](SwitchCisco#changer-le-nom-dh%C3%B4te), le [nom de domaine](SwitchCisco#changer-le-nom-de-domaine), et le [compte utilisateur](SwitchCisco#mise-en-place-dun-compte-utilisateur). Activation de SSH, et désactivation de telnet : @@ -636,7 +638,7 @@ Switch# conf t La configuration IP de base permet un accès au switch via telnet -#### Désactiver services web +#### Désactiver les services web ~~~ Switch(config)#no ip http server @@ -650,7 +652,7 @@ Switch(config)#line console 0 Switch(config-line)#logging synchronous ~~~ -Cette commande permet de ne pas interrompre le prompt de l'utilisateur lorsque des logs s'affichent sur le switch. Bien sûr, les logs continuent de s'afficher. +Cette commande permet de ne pas interrompre le prompt de l'utilisateur lorsque des logs s'affichent sur le switch. Ils s'afficheront sur la ligne du dessus plutôt que sur la ligne courante. ### Gestion des adresses MAC @@ -661,7 +663,7 @@ Switch#show mac address-table Switch#show mac address-table int Gi0/11 ~~~ -Gestion des adresses MAC dynamiques, notamment forcer la suppression +Gestion des adresses MAC dynamiques, notamment forcer la suppression : ~~~ Switch#clear mac address-table dynamic @@ -673,22 +675,20 @@ Switch#clear mac address-table dynamic vlan Configurer des alertes lors de modifications : ~~~ -snmp-server enable traps mac-notification change -snmp-server enable traps mac-notification move +Switch(config)#snmp-server enable traps mac-notification change +Switch(config)#snmp-server enable traps mac-notification move ~~~ Forcer des adresses MAC de façon statique : ~~~ -mac address-table static vlan interface +Switch(config)#mac address-table static vlan interface ~~~ ### STP : Spanning Tree Protocol - - Le STP est un protocole permettant de détecter et désactiver automatiquement des boucles sur un segment Ethernet. Cela permet donc d'éviter une boucle faite par erreur (ce qui en découle sur un Packet Storm et un réseau très dégradé) ...ou de créer des boucles volontairement pour assurer de la redondance ! @@ -773,14 +773,14 @@ Lorsque l’on se branche sur un port, il faut 30s pour qu’il soit utilisable Le Spanning Tree Portfast permet de passer un port dans l'état forwarding de façon immédiate, en lui faisant sauter les états listening et learning. On utilisera cette commande uniquement si l'on est sûr de ne pas avoir besoin du Spanning Tree (serveur non virtuel connecté directement au port, etc.). Le portfast ne désactive pas le spanning-tree puisque le port continue de recevoir et d'envoyer des trames BPDU : il sera bien désactivé par STP si une boucle est créée. Mais dans ce cas, le port pourra mettre jusqu'à 2s pour se désactiver (correspondant à la valeur hello time), et donc des duplications de trames pourront avoir lieu pendant cet instant. -##### Activer +Activer le portfast : ~~~ Switch(config)#interface GigabitEthernet0/28 Switch(config-if)#spanning-tree portfast ~~~ -##### Désactiver +Désactiver le portfast : ~~~ Switch(config)#interface GigabitEthernet0/28 @@ -799,6 +799,8 @@ Switch(config-if)#speed 10 Switch(config-if)#srr-queue bandwidth limit 80 ~~~ +La négociation de la vitesse (commande `speed`) ne fonctionne que sur une interface ethernet, et non fibre. + Infos sur le rate-limiting : ~~~ @@ -872,18 +874,18 @@ Switch(config)#monitor session 1 source interface g0/1 , g0/5 Switch(config)#monitor session 1 destination interface g0/15 ingress vlan 15 ~~~ -### Cisco L3 +## Switch Cisco Catalyst niveau 3 -#### DHCP relay sur plusieurs VLANs +### DHCP relay sur plusieurs VLANs * [Exemple de mise en oeuvre de DHCP Relay sur 2 VLANs](http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080114aee.shtml) -##### Serveur DHCP +#### Côté Serveur DHCP Côté serveur DHCP (serveur linux), configurer un subnet par VLAN. Penser aux routes permettant d'accéder à chaque réseau de chaque VLAN. Le serveur DHCP pourra être dans un VLAN dédié. -##### Cisco 3750 +#### Côté Switch Pour activer le DHCP Relay, sur chaque interface VLAN, rajouter la directive `ip address helper `. @@ -898,7 +900,7 @@ Switch(config-if)#end On répètera cette manipulation pour chaque VLANs et chaque subnet déclaré sur le serveur DHCP que l'on souhaite activer. -#### Routage Inter-VLANs +### Routage Inter-VLANs L'activation du routage inter-VLANs se fait de la manière suivante : @@ -908,7 +910,7 @@ Switch(config)# ip routing Tous les VLANs seront routés entre eux. Il sera possible si besoin de limiter le routage inter-VLANs grâce aux ACLs. -#### Définir une route par défaut +### Définir une route par défaut ~~~ Switch(config)# ip default-gateway IP_routeur @@ -920,17 +922,15 @@ ou Switch(config)# ip route 0.0.0.0 0.0.0.0 IP_routeur ~~~ -### Ansible +La première commande est à utiliser si `ip routing` n'est pas configuré. Si c'est configuré, il faut utiliser la deuxième commande. -Voir [HowtoAnsible/Cisco](HowtoAnsible/Cisco) +## Divers -### Divers - -#### Cron / tâches planifiées +### Cron / tâches planifiées Voir -#### Désactiver la vérification des modules GBIC +### Désactiver la vérification des modules GBIC Par défaut, CISCO n'autorise pas les modules GBIC non agréés, il faut donc désactiver la vérification des checksum des modules GBIC pour pouvoir les connecter : @@ -945,7 +945,7 @@ On peut ensuite les lister via : Switch#show inventory ~~~ -#### Remettre un port désactivé par errdisable +### Remettre un port désactivé par errdisable Un port est désactivé dans divers cas, tel que la non-autorisation des modules GBIC tiers. @@ -956,7 +956,7 @@ Switch(config-if)#shutdown Switch(config-if)#no shutdown ~~~ -#### Consulter les informations DOM d'un SFP +### Consulter les informations DOM d'un SFP Pour surveiller la température, ou le voltage : @@ -964,7 +964,7 @@ Pour surveiller la température, ou le voltage : Switch# show interface transceiver ~~~ -#### Passer un port SFP en "speed nonegotiate" +### Passer un port SFP en "speed nonegotiate" On ne peut pas forcer la vitesse d'un port SFP... mais il faut parfois passer en "speed nonegotiate" : @@ -976,7 +976,7 @@ Switch(config-if)# no shutdown Lire -## Howto switchs Cisco Small Business +## Switchs Cisco Small Business Les switchs Cisco Small Business Pro (par exemple, le modèle Cisco ESW 500) sont en fait d'anciens switchs Linksys. Ils n'ont pas de système IOS habituel. La connexion par le port console ou par telnet donne seulement accès à un menu interactif permettant d'effectuer seulement quelques opérations de base. On préférera donc l'utilisation de l'interface HTTP. @@ -998,7 +998,9 @@ Probablement dans un souci de cohérence, c'est également possible mais avec un Dans la section "VLAN Management > Port to VLAN" selectionner le VLAN ID désiré, et cliquer sur Go. Puis cocher "Untagged" au lieu de "Excluded" pour tous les ports désirés, et valider avec "Apply". L'application des modifications est visible dans "VLAN Management > Port VLAN Membership" -### CLI Small Business +### CLI + +Commandes similaires aux Catalyst : ~~~ Switch# wr @@ -1029,13 +1031,25 @@ Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan add all Switch(config-if)# end -Switch(config)# interface gi1 -Switch(config-if)# traffic-shape 10000 -Switch(config-if)# rate-limit 10000 -Switch(config-if)# end - Switch(config)# no lldp run Switch(config)# no bonjour enable Switch(config)# jumbo-frame 10000 Switch(config)# hostname foo ~~~ + +#### Rate-limiting + +Rate-limiter à 10 Mb/s : + +~~~ +Switch(config)# interface gi1 +Switch(config-if)# traffic-shape 10000 +Switch(config-if)# rate-limit 10000 +Switch(config-if)# end +~~~ + +`traffic-shape` limite en sortie, en `rate-limite` en entrée. + +## Ansible + +Voir [HowtoAnsible/Cisco](HowtoAnsible/Cisco)