evolix/wiki
22
0
Fork 0
Code Releases Activity

relecture

Browse source
This commit is contained in:
jdubois 2017-07-26 10:57:23 +02:00
parent 9212a2a7c7
commit 390885a1f4
1 changed files with 81 additions and 74 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

155
SwitchCisco.md
View file

@ -1,5 +1,3 @@
**Cette page a été importée automatiquement de notre ancien wiki mais n'a pas encore été révisée.**
# Howto switchs Cisco
Nous utilisons principalement des switchs Cisco Catalyst 2950/2960/2970/3750 et cette documentation sera orientée pour ces modèles.
@ -106,10 +104,13 @@ Switch# show interfaces description
~~~
Configuration en Flash
Switch# show startup-config
Configuration actuelle
Switch# show running-config
Configuration actuelle d'une interface particulière
Switch# show running-config interface GigabitEthernet1/0/1
Ecrire la configuration actuelle en Flash
Switch# write
~~~
@ -238,7 +239,7 @@ Switch# description Machine XYZ
Gestion du MTU pour toutes les interfaces Gigabits :
~~~
system mtu jumbo 9000
Switch(config)# system mtu jumbo 9000
~~~
#### Gérer les fichiers/répertoires
@ -370,6 +371,13 @@ On peut aussi envoyer la configuration sur un serveur distant :
Switch# copy running-config ftp://<IP>/rep/sauvegarde_29fevrier2012.txt
~~~
Si le serveur ftp nécessite une connexion, on peut la configurer :
~~~
Switch(config)# ip ftp username jdoe
Switch(config)# ip ftp password PASSWORD
~~~
De même, on peut sauvegarder le firmware du switch sur un serveur distant :
~~~
@ -398,10 +406,10 @@ Si il y a assez de place sur la mémoire flash (`dir flash:`), copier le nouveau
Ensuite, il suffit de spécifier de charger le nouveau firmware.
~~~
enable
conf t
system boot flash:new_firmware.bin
reload
Switch> enable
Switch# conf t
Switch(config)# system boot flash:new_firmware.bin
Switch# reload
~~~
### Gestion des VLANs
@ -409,9 +417,9 @@ reload
#### Affecter une adresse IP à un VLAN
~~~
configure terminal
interface Vlan 1
ip address 192.168.0.10 255.255.255.0
Switch# configure terminal
Switch(config)#interface Vlan 1
Switch(config-if)#ip address 192.168.0.10 255.255.255.0
~~~
#### Créer un VLAN
@ -495,25 +503,25 @@ Switch(config-if)# end
Sur les 2960, le switch ne supporte que le dot1q. On aura juste à basculer le port en mode trunk :
~~~
# switchport mode trunk
Switch(config-if)# switchport mode trunk
~~~
Il est possible de spécifier le ou les vlans transportés par le trunk :
~~~
# switchport trunk allowed vlan 11,13
Switch(config-if)# switchport trunk allowed vlan 11,13
~~~
Astuce : pour ajouter un VLAN sur un trunk sans reprendre toute la liste de ceux déjà autorisés on peut utiliser la syntaxe :
~~~
# switchport trunk allowed vlan add 42
Switch(config-if)# switchport trunk allowed vlan add 42
~~~
Pour le supprimer :
~~~
# switchport trunk allowed vlan remove 42
Switch(config-if)# switchport trunk allowed vlan remove 42
~~~
Une façon de contrôler si le trunk est bien mis en place des 2 côté est de consulter la sortie de la commande "show vlan brief". Si le port est toujours dans le vlan 1, c'est que le trunk n'est pas opérationnel (interface non montée, ou port distant non configuré en trunk). Si tout fonctionne bien, on ne doit le voir dans aucun vlan, mais on le verra en trunk dans un "show interfaces status".
@ -521,13 +529,13 @@ Une façon de contrôler si le trunk est bien mis en place des 2 côté est de c
Pour afficher les VLAN autorisés sur un trunk :
~~~
# show interfaces Gi1/0/50 trunk
Switch# show interfaces Gi1/0/50 trunk
~~~
Pour afficher la configuration de tous les trunks :
~~~
# show interfaces trunk
Switch# show interfaces trunk
~~~
ATTENTION : si l'on configure un port trunk, il est indispensable de créer le VLAN sur le switch, sinon cela ne marche pas !
@ -677,7 +685,7 @@ Sur les Cisco 2960-2970, le STP est géré par VLAN on parle de « per-VLAN span
La valeur par défaut de la priorité du root switch est 3276.
Le root ID est calculé avec cette priorité + une dérivation de l'adresse MAC. C'est le plus petit ID qui l'emporte.
Il peut être intéressant de changer la priorité pour choisir le switch root.
On peut aussi changer la priorité des ports (128 par défaut + coût du lien [10MBps # 100, 100Mbps 19, 1Gbps = 4]) pour influencer le calcul SPT et les connexions à désactiver.
On peut aussi changer la priorité des ports (128 par défaut + coût du lien [10MBps = 100, 100Mbps = 19, 1Gbps = 4]) pour influencer le calcul STP et les connexions à désactiver.
La configuration par défaut des timers respecte les recommandations de la norme 802.1d.
~~~
@ -689,7 +697,7 @@ Transmit hold count: 6 BPDUs
Il faut avoir les mêmes valeurs si d'autres équipements interviennent sur le réseau, comme des machines OpenBSD ou Linux.
Voir les informations du STP sur le switch :
#### Voir les informations du STP sur le switch.
~~~
#show spanning-tree summary
@ -697,34 +705,53 @@ Voir les informations du STP sur le switch :
#show spanning-tree detail
~~~
Activer le mode rapid STP 802.1w.
#### Activer le mode rapid STP 802.1w.
~~~
#conf t
(config)#spanning-tree mode rapid-pvst
Switch#conf t
Switch(config)#spanning-tree mode rapid-pvst
~~~
Forcer un switch en root (la priorité sera calculée automatiquement).
#### Forcer un switch en root (la priorité sera calculée automatiquement).
~~~
#conf t
(config)#spanning-tree vlan 1-4096 root primary
Switch#conf t
Switch(config)#spanning-tree vlan 1-4096 root primary
~~~
Changer le coût d'un port :
#### Changer le coût d'un port.
~~~
Switch# conf t
(config)# interface gigabitEthernet 0/50
(config-if)# spanning-tree cost 65536
Switch(config)# interface gigabitEthernet 0/50
Switch(config-if)# spanning-tree cost 65536
~~~
Changer le coût uniquement pour un ou plusieurs VLANs :
#### Changer le coût uniquement pour un ou plusieurs VLANs.
~~~
# spanning-tree vlan 1-4096 cost 1
Switch(config-if)# spanning-tree vlan 1-4096 cost 1
~~~
#### Synchro immédiate : Spanning Tree Portfast
Lorsque lon se branche sur un port, il faut 50s pour quil soit utilisable à cause du Spanning Tree.
Le Spanning Tree Portfast permet de passer un port dans l'état forwarding de façon immédiate, en lui faisant sauter les états listening et learning.
On utilisera cette commande uniquement si l'on est sûr de ne pas avoir besoin du Spanning Tree (serveur non virtuel connecté directement au port, etc.).
##### Activer
~~~
Switch(config)#interface GigabitEthernet0/28
Switch(config-if)#spanning-tree portfast
~~~
##### Désactiver
~~~
Switch(config)#interface GigabitEthernet0/28
Switch(config-if)#no spanning-tree portfast
~~~
### rate-limiting
@ -733,15 +760,15 @@ On peut forcer un port à rate-limiter à 10, 20, 30.... ou 90% de sa capacité.
Par exemple pour rate-limiter à du 8 Mb/s :
~~~
int Gi0/1
speed 10
srr-queue bandwidth limit 80
Switch(config)#int Gi0/1
Switch(config-if)#speed 10
Switch(config-if)#srr-queue bandwidth limit 80
~~~
Infos sur le rate-limiting :
~~~
show mls qos interface GigabitEthernet0/1 queueing
Switch#show mls qos interface GigabitEthernet0/1 queueing
GigabitEthernet0/1
QoS is disabled. When QoS is enabled, following settings will be applied
Egress Priority Queue : disabled
@ -764,14 +791,15 @@ Le serveur DHCP pourra être dans un VLAN dédié.
##### Cisco 3750
Pour activer le DHCP Relay, sur chaque interface VLAN, rajouter la directive _ip address helper <ip-server-dhcp>_.
Pour activer le DHCP Relay, sur chaque interface VLAN, rajouter la directive `ip address helper <ip-server-dhcp>`.
Voici un exemple de création d'un VLAN avec l'adresse 192.168.200.1/24, faisant office de DHCP relay pour le serveur 10.0.1.2 :
Voici un exemple de création d'un VLAN avec l'adresse 192.168.200.1/24, faisant office de DHCP relay pour le serveur 10.0.1.2 :
~~~
(config)#interface vlan 200
(config-if)#ip address 192.168.200.1 255.255.255.0
(config-if)#ip helper-address 10.0.1.2
(config-if)#end
Switch(config)#interface vlan 200
Switch(config-if)#ip address 192.168.200.1 255.255.255.0
Switch(config-if)#ip helper-address 10.0.1.2
Switch(config-if)#end
~~~
On répètera cette manipulation pour chaque VLANs et chaque subnet déclaré sur le serveur DHCP que l'on souhaite activer.
@ -781,7 +809,7 @@ On répètera cette manipulation pour chaque VLANs et chaque subnet déclaré su
L'activation du routage inter-VLANs se fait de la manière suivante :
~~~
(config)# ip routing
Switch(config)# ip routing
~~~
Tous les VLANs seront routés entre eux. Il sera possible si besoin de limiter le routage inter-VLANs grâce aux ACLs.
@ -789,13 +817,13 @@ Tous les VLANs seront routés entre eux. Il sera possible si besoin de limiter l
#### Définir une route par défaut
~~~
(config)# ip default-gateway IP_routeur
Switch(config)# ip default-gateway IP_routeur
~~~
ou
~~~
(config)# ip route 0.0.0.0 0.0.0.0 IP_routeur
Switch(config)# ip route 0.0.0.0 0.0.0.0 IP_routeur
~~~
### Divers
@ -809,14 +837,14 @@ Voir <http://www.tmartin.io/articles/2010/sauvegarder-la-configuration-de-cisco-
Par défaut, CISCO n'autorise pas les modules GBIC non agréés, il faut donc désactiver la vérification des checksum des modules GBIC pour pouvoir les connecter :
~~~
#conf t
#service unsupported-transceiver
Switch#conf t
Switch(config)#service unsupported-transceiver
~~~
On peut ensuite les lister via :
~~~
#show inventory
Switch#show inventory
~~~
#### Remettre un port désactivé par errdisable
@ -824,10 +852,10 @@ On peut ensuite les lister via :
Un port est désactivé dans divers cas, tel que la non-autorisation des modules GBIC tiers.
~~~
#conf t
#interface GigabitEthernet0/28
#shutdown
#no shutdown
Switch#conf t
Switch(config)#interface GigabitEthernet0/28
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
~~~
#### Consulter les informations DOM d'un SFP
@ -843,34 +871,13 @@ Switch# show interface transceiver
On ne peut pas forcer la vitesse d'un port SFP... mais il faut parfois passer en "speed nonegotiate" :
~~~
(config-if)# speed nonegotiate
(config-if)# shutdown
(config-if)# no shutdown
Switch(config-if)# speed nonegotiate
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
~~~
Lire <http://herdingpackets.net/2013/03/21/disabling-gigabit-link-negotiation-on-fiber-interfaces/>
#### Synchro immédiate : Spanning Tree Portfast
Lorsque lon se branche sur un port, il faut 50s pour que lil soit utilisable à cause du Spanning Tree.
Le Spanning Tree Portfast permet de passer un port dans l'état forwarding de façon immédiate, en lui faisant sauter les états listening et learning.
On utilisera cette commande uniquement si l'on est sûr de ne pas avoir besoin du Spanning Tree
(serveur non virtuel connecté directement au port, etc.).
##### Activer
~~~
(config)#interface GigabitEthernet0/28
(config-if)#spanning-tree portfast
~~~
##### Désactiver
~~~
(config)#interface GigabitEthernet0/28
(config-if)#no spanning-tree portfast
~~~
## Howto switchs Cisco Small Business
Les switchs Cisco Small Business Pro (par exemple, le modèle Cisco ESW 500) sont en fait d'anciens switchs Linksys. Ils n'ont pas de système IOS habituel.
@ -890,7 +897,7 @@ Dans la section "VLAN Management > Interface Settings" il suffit de configurer u
### Changer le VLAN d'une plage de ports
Probablement dans un souci de cohérence, c'est également possible mais avec une méthode totalement différente...
Dans la section "VLAN Management > Port to VLAN" selectionner le VLAN ID désiré, et cliquer sur Go. Puis passer cocher "Untagged" au lieu de "Excluded" pour tous les ports désirés, et valider avec "Apply".
Dans la section "VLAN Management > Port to VLAN" selectionner le VLAN ID désiré, et cliquer sur Go. Puis cocher "Untagged" au lieu de "Excluded" pour tous les ports désirés, et valider avec "Apply".
L'application des modifications est visible dans "VLAN Management > Port VLAN Membership"
### CLI Small Business