3Com-H3C : gamme 4500

De Wiki info-lab.fr
Aller à : Navigation, rechercher

Sommaire

Introduction

Cette article présente la configuration des commutateurs 3COM-H3C série 4500 (26 et 50 ports)

Conventions typographiques

  • en gras les lignes de commandes à saisir suivies de la touche entrée
  • en italique les informations affichées par le commutateur

Précisions sur la gamme 4500

  • Le mode de commutation utilisé est "store and forward", jusqu'à 8000 adresses Mac peuvent être apprises par commutateur.
  • Les ports additionnels Gigabit sont appairés : Sur les modèles "4500-26 port" la première paire est constitué du port SFP n°25 et du port cuivre 10/100/1000 BaseT n°27; la deuxième paire est constituée du port SFP n°26 et du port cuivre 10/100/1000 BaseT n°28. Sur les modèles "4500-50 port" la première paire est constitué du port SFP n°49 et du port cuivre 10/100/1000 BaseT n°51; la deuxième paire est constituée du port SFP n°50 et du port cuivre 10/100/1000 BaseT n°52. Un seul port de chaque paire peut être activé. De plus, l'activation ou la désactivation d'un port Gigabit nécessite le redémarrage du commutateur pour être pris en compte.
  • Les commutateurs série 4500 mettent 2 minutes environ à s'initialiser. Les diodes en façade renseignent sur le déroulement et la fin de l'autotest du commutateur.
  • Ces commutateurs supportent les ACL basées sur des adresses IP et des intervalles de ports plutôt que sur des numéros d'identifications des vlan ; pour pouvoir affecter des ACL de restriction de routage entre vlan, chaque vlan doit avoir un sous réseau clairement défini et unique.

Aides aux commandes du commutateur

L'interface en ligne de commande 3com accessible par telnet, SSh ou port console est organisée en 2 niveaux d'exécution (user et system) ; suivant le niveau d'exécution, certaines commandes peuvent ne pas être accessibles. Le commutateur démarre en mode "utilisateur (user)" matérialisé par le nom du commutateur entre chevrons <commutateur>. Pour configurer le commutateur il faut basculer en mode "système (system)" matérialisé par des crochets [commutateur]. La commande pour basculer en mode "système" est system-view. Voici les commandes génériques et aides aux commandes à connaître :

  • saisir ? à une chaîne de caractères incomplète (sans espace entre le texte et ?) permet de lister ce qui commence par cette chaîne.
  • ajouter ? à une commande (avec un espace entre la commande et ?) permet de lister les arguments et options de cette commande.
  • ? utilisé seul permet d'accéder à une aide.
  • view et menu ont la même signification dans les commandes.
  • "CTRL + Z" ou la commande return permettent de revenir en mode "user".
  • quit permet de remonter d'un niveau dans l'arborescence des menus.
  • undo est à placer avant la commande à annuler; par exemple: undo set authentification password annule la commande set authentification password.
  • "CTRL + A" ramène le curseur au début de ligne.
  • La touche "tabulation" provoque une complétion standard : La commande est complétée si elle est sans ambiguïté.
  • La touche flêche haut permet de rappeler les dernières commandes validées.
  • La numérotation des ports du commutateur respecte la convention suivante: "x/y/z" ou "x" est le numéro de l'unité dans l'empilement, "y" l'emplacement (0 pour la façade, 1,2... pour le cartes additionnelles, et "z" le numéro du port physique dans l'emplacement ; exemple: 2/0/13 est le 13ème port en façade du 2ème commutateur dans l'empilement (stack).

Problèmes connus et limitations de la gamme 4500

La série 4500 et son OS 3com version 3.01 sont connus pour avoir les problèmes ou limitations suivants :

  • Pour créer un empilement de commutateurs (stack) les ports gigabit combinés 27 et 28 sur les commutateurs "4500 -26 port" ou 51 et 52 sur les commutateurs "4500 -50" port doivent être activés par la commande undo shutdown mais cela désactive les ports combinés 25 et 26 ou 49 et 50.
  • Ajouter ou retirer un port à un agrégat de liens existant sur lequel spanning tree est activé vide toute la table d'adresses mac de l'agregat ; toutes les adresses sont à réapprendre ce qui peut engendrer du trafic additionnel.
  • Le mode automatique dans la désignation des ports d'un agrégat de liens n'est pas enregistré dans la configuration et donc est perdu en cas de redémarrage du commmutateur ; par contre la configuration statique des ports d'un agrégat est enregistrée.
  • Redémarrage en mode boot: La séquence de break pour accéder au menu boot suite à un redémarrage est la combinaison de touches "CTRL + B" mais on dispose tout juste d'une seconde pour envoyer le break au commutateur ; heureusement il est possible de laisser les 2 touches enfoncées pendant tout le redémarrage jusqu'à apparition du menu boot.
  • Par défaut seul un commutateur par empilement (stack) renvoie des messages de console; il faut utiliser la commande info-center switch-on all pour que toutes les unités d'un empilement renvoient leurs messages vers une console.
  • Quand on utilise la CLI pour créer des entrées statiques "ip router-static" ou "arp static" le commutateur peut modifier des adresses sans envoyer de messages d'avertissement
  • 3COM conseille fortement que tous les ports d'un même agrégat de liens soient dans le même VLAN.
  • 1 seule ACL par port, mais une ACL peut avoir plusieurs règles. Il est dangereux pour la stabilité des processus d'un commutateur d'affecter une ACL à un port déjà inclus dans un agrégat de liens : Si besoin, il faut défaire l'agregat, affecter les ACL et reconstruire l'agregat.
  • Les OS identifiés par 56 dans leur nom incluent des fonctions cryptographiques faibles. Il faut toujours privilégier les OS identifiés par 168.

Ces commandes permettent de retourner en configuration usine:

  • reset saved-configuration effacement du fichier de configuration (display startup permet de voir ce fichier)
  • change self-unit to auto-numbering efface tous les numéros d'unités d'empilement (stack) (display ftm topo pour voir quels commutateurs dans un empilement sont configurés avec un numéro d'unité affecté manuellement)
  • undo ftm stacking-vlan le vlan 4094 redevient le vlan par défaut usine (display ftm information pour voir le vlan par défaut actuel)
  • rsa local-key-pair destroy efface toutes les paires de clés utilisées pour ssh.
  • startup bootrom-access réactive l'accès à la bootrom (autorise différentes commandes)
  • undo clock timezone le commutateur retourne à son fuseau horaire utc timezone d'origine (display clock pour voir lequel est configuré)

Mots de passe par défaut

Le système connait 3 utilisateurs locaux par défaut (mais on peut en créer d'autres) ; voici leurs mots de passe usine :

  • "monitor" dont le mot de passe par défaut est monitor ==> Accès en lecture à tout sauf aux fonctions spéciales ou de sécurité.
  • "manager" dont le mot de passe par défaut est manager ==> Accès complet en lecture, accès en écriture à tout sauf aux fonctions spéciales ou de sécurité.
  • "admin" qui n'a pas de mot de passe par défaut ==> Accès complet en lecture / écriture.

Mise en route et configuration basique

Connexion au commutateur

Plusieurs méthodes sont disponibles pour se connecter au commutateur.

  • En direct grâce au câble RJ45/RS232 (fournit dans l'emballage) qui relie le port console du commutateur à un port Com de sa machine en utilisant un émulateur de terminal VT100 comme GtkTerm, Minicom, Teraterm pro, PuTTy... La configuration du port Com est: 19200 bps, 8 bit de données, pas de parité, 1 bit d'arrêt, contrôle de flux matériel ou pas de contrôle de flux.
  • Via le réseau, à condition de paramétrer une adresse IP à l'interface du default VLAN : Avec un client TELNET, SSh v2 (3Com recommande l'utilisation des clients SSH suivants : "PuTTY", "OpenSSH" et "SSH Communications Security Corp Secure Shell"), par interface Web http/https (en utilisant un navigateur acceptant le javascript et le CSS 1.0). La CLI (Command Line Interface) est alors accessible. Le nom de l'utilisateur par défaut pouvant se connecter à distance est admin.
  • Par agent SNMP (v1, v2 ou v3)
  • Via le 3COM Device Manager, client lourd pour Windows.

Configuration de base

Voici la liste des commandes accessibles depuis n'importe quel niveau d'exécution (user ou system-view)

  • ? menu d'aide
  • display XXXX pour afficher des informations d'un élément
  • quit pour quitter le menu actuel
  • super pour augmenter le niveau de privilèges de l'utilisateur
  • return pour revenir en mode "user"
  • tracert lance la commande de traceroute

Les autres commandes sont accessibles en mode (ou "view") "user" pour les plus simples ou "system" pour les plus sécuritaires. La commande pour accéder au mode "system" est system-view.

Fichiers, date, système

  • affecter un nom d'hôte :
[4500] sysname nom  (les espaces ne sont pas acceptés dans le nom)
  • Horodatage du commutateur:
<4500> clock datetime HH:MM:SS  MM/DD/YYYY  (exemple: 14:21:56 01/21/2008   21 janvier 2008 à 14 heures 21)
<4500> clock timezone UCT add 01:00:00    (Fuseau hotaire UTC+01:00)
  • Affecter une adresse IP au commutateur :
[4500] int Vlan-interface 1
[4500] ip address xxx.xxx.xxx.xxx mmm.mmm.mmm.mmm   (xxx = adresse IP, mmm = masque)	
  • Lister les fichiers présents en mémoire flash:
<4500> dir
  • Afficher la configuration en fonctionnement :
<4500> display current-configuration ou [4500] display current-configuration 
  • Afficher la configuration sauvegardée :
<4500> more nom_du_fichier_de_sauvegarde           (exemple de nom de fichier : commut-secours.cfg)
  • Afficher la configuration chargée au démarrage:
<4500> display startup
  • Afficher la version du chargeur de démarrage:
<4500> display  boot-loader
  • Enregistrer une modification de configuration:
<4500> save
  • Basculer en mode configuration:
<4500> system-view

Configuration avancée

Gestion des utilisateurs

  • Création d'utilisateur:
[4500] local-user toto    (création de l'utilisateur toto)
New local user added
[4500-luser-toto] level 3    (Niveau maximum, comme admin, les valeurs de niveau vont de 0 à 3)
  • Création de mot de passe: (Et changement de mot de passe pour les versions d'OS 3.03 et supérieures )
[4500-luser-toto] password cipher wsertyu777 (mot de passe chiffré wsertyu777)
  • Changement de mot de passe: (pour les versions d'OS antérieures à la 3.03)
[4500-luser-toto] password
password ********
confirm ********
[4500] password-control history n  Le système va garder en mémoire les n derniers mots de passe de chaque utilisateur pour interdire leur réutilisation.
n est un entier naturel compris entre 2 et 10 inclus.
  • accès de l'utilisateur:
[4500-luser-toto] service-type xxxxx (remplacer xxxxx par l'accés à autoriser: ssh, telnet, ftp, lan-access, terminal)

Gestion des VLAN

Création de vlan :

[4500] vlan n°vlan
[4500-vlan n°vlan] description mon_vlan_préféré             (ATTENTION ! les espaces ne sont pas autorisés dans le nom des VLAN)
  • Paramétrer l'adresse de l'interface vlan 1:
<4500> system view (permet le passage en mode config)
[4500] interface vlan-interface n°vlan
[4500-vlan-interfacen°vlan] ip address A.B.C.D E.F.G.H  (E.F.G.H correspond au masque de sous réseau) 
  • Affecter un port Ethernet dans un vlan :
[4500] interface Ethernet numéro_du_port (ex : interface Ethernet 1/0/3)
[4500-ethernetn°du port] port access vlan n°de_vlan    
  • Retirer un port Ethernet d’un vlan :
[4500-ethernetn°du port] undo port access vlan n°de_vlan
A noter que le port et automatiquement affecté dans le vlan par défaut (en principe le vlan 1, sauf changement de default vlan dans la configuration)
  • paramétrer un port en mode trunk:
[4500-ethernetn°du port] port link-type trunk
Attention par défaut seul le VLAN 1 est transporté par le trunk. Il faut donc ajouter:
[4500-ethernetn°du port] port trunk permit vlan all   pour transporter tous les vlan.
[4500-ethernetn°du port] port trunk permit vlan 1 to 14 pour sélectionner certains vlan (ici de 1 à 14 inclus)
[4500-ethernetn°du port] port trunk permit vlan 1 3 5 to 14 pour sélectionner certains vlan (ici le 1, le 3 et de 5 à 14 inclus)
  • Suppression de VLAN :
[4500] vlan n°vlan
[4500-vlan n°vlan] undo description
[4500] undo vlan n°vlan

Gestion des ports et adresses MAC

  • Décrire un port Ethernet:
[4500-ethernetn°du port] description ma description du port  (les espaces sont autorisés dans la description)
  • Supprimer le spanning-tree sur un port Ethernet:
[4500-ethernetn°du port] stp disable
[4500-ethernetn°du port] stp edged-port disable
  • Fermer un port (down) / ouvrir un port (up):
[4500-ethernetn°du port] shutdown   (down)
[4500-ethernetn°du port] undo shutdown   (up)
  • Afficher les ports faisant partie d’un vlan:
 [4500] display vlan n°_de_vlan
  • Lister les adresses MAC:
<4500> display mac-address   (liste l'ensemble des adresses MAC)
<4500> display mac-address static (liste l'ensemble des adresses MAC statiques)  
<4500> display mac-address interface ethernet n°du port (liste l'ensemble des adresses MAC connues par ce port) 
  • Enregistrer une adresse MAC statique:
[4500-ethernetn°port] mac-address static ABCD-EFGH-IJKL vlan n°_de_vlan
exemple
[4500-ethernetn°port] mac-address static 001c-58f2-1e66 vlan 7 
  • Limiter le nombre d'adresses MAC à enregistrer dynamiquement:
[4500-ethernetn°port] mac-address max-mac-count 1 (1 adresse apprise par l'interface de manière dynamique)
Attention: cette adresse dynamique s'ajoute aux éventuelles adresses statiques, le chiffre de 1 ne concerne donc que l'apprentissage dynamique.
  • Verrouiller un port ethernet sur une adresse MAC:
[4500-ethernetn°port] mac-address static ABCD-EFGH-IJKL vlan n°_de_vlan (apprentissage statique d'une adresse MAC)
[4500-ethernetn°port] mac-address max-mac-count 0 (pas d'apprentissage dynamique)

Passer en system-view et activer le port-security :

[4500] port-security  enable

Sur chaque interface ethernet saisir les commandes suivantes :

[4500-ethernetn°port] port-security port-mode autolearn (auto apprentissage dynamique)

L’adresse mac apprise est automatiquement inscrite dans la current config . et pour effacer une adresse MAC enregistrée :

[4500-ethernetn°port] undo mac-address security @mac vlan n°vlan

Les commandes port-security enable et port-security port-mode autolearn nécessitent un OS en version minimum 3.03

  • Désactiver un port automatiquement dès qu'une adresse MAC non enregistrée est détectée :
[4500-ethernetn°port] port-security intrusion-mode disableport (le port sera désactivé en cas d’intrusion)

La réactivation d'un port ainsi verrouillé doit être réalisé de la manière suivante :

[4500-ethernetn°port] shutdown
[4500-ethernetn°port] undo shutdown

SNMP v3

  • Configuration de snmp en version 2 avec extension de sécurité v3
<4500> system-view
[4500] snmp-agent
  • Définition du moteur et de la version snmp :
[4500] snmp-agent local-engineid numéro_de_moteur
[4500] snmp-agent sys-info version 3

Le numéro de moteur doit comporter au moins 10 caractères hexadécimaux ; exemple E000002BB001AC10459406877.

  • création du groupe USM SNMPv3
[4500] snmp-agent group v3 nom_du_groupe authentification
  • Définition de l’utilisateur appartenant à ce groupe (SHA-1 sera préféré à MD5 pour l'authentification/contrôle d'intégrité)
[4500] snmp-agent usm-user v3 utilisateur nom_du_groupe authentification-mode sha ma_phrase_secrete
  • Activation des traps snmp et définition de la station de gestion SNMP :
[4500] snmp-agent trap enable
[4500] snmp-agent target-host trap udp-domain @ip_de_la_station params securityname utilisateur snmp v3 authentification

et pour supprimer cette commande :

[4500] undo snmp-agent target-host @ip_de_la_station securityname utilisateur
  • Exemple de configuration SNMP v3 :
[4500] snmp-agent
[4500] snmp-agent local-engineid E000002BB001AC10459406877
[4500] snmp-agent sys-info version 3
[4500] snmp-agent group v3 groupe01 authentification
[4500] snmp-agent usm-user v3 toto groupe01 authentification-mode sha ma_phrase_secrete
[4500] snmp-agent trap enable
[4500] snmp-agent target-host trap udp-domain 10.10.10.10 params securityname toto authentification

Le groupe est nommé groupe01, l'utilisateur toto fait partie de ce groupe, son secret lui permettant de réaliser authentification et contrôle d'intégrité est ma_phrase_secrete, SHA-1 est l'algorithme de condensat choisi et 10.10.10.10 est la station de gestion qui peut interroger le commutateur et qui sera destinataire des réponses et des traps émis par le commutateur.


SSH - SFTP

Voici les opérations à réaliser pour activer SSh et SFTP sur cette gamme de commutateurs :

  • Tout d'abord générer une paire de clés RSA sur le commutateur :
<4500> system-view
[4500] public-key local create rsa
Input the bits in the modulus (default=1024)      (choisir une longueur de clés entre 512 et 2048 bits ; 1024 par défaut)

La génération des clés peut prendre de quelques secondes à quelques minutes.

  • Choisir quels utilisateurs peuvent se connecter en SSh :
[4500] display current-config       
....................
local-user admin
service-type ssh terminal      (l'utilisateur admin peut se connecter en SSh)
....................
local-user titi
service-type terminal           (l'utilisateur titi ne le peut pas encore)
[4500] local-user titi
[4500-luser-titi] service-type ssh            (maintenant il le peut)
  • Choisir la méthode d’authentification et le type de service pour chaque utilisateur SSh :
[4500] ssh user admin authentication-type password  (choix entre password, rsa, password-publickey, publickey ou all)
[4500] ssh user admin stelnet            (choix entre : all,stelnet et sftp)

Admin doit s'authentifier par mot de passe et il ne peut se connecter qu'à un VTY (accès à la CLI) ; pas de transfert par SFTP.

[4500] ssh user titi authentication-type publickey   
[4500] ssh user titi sftp         

Au contraire TITI doit s'authentifier par clé publique et il ne peut que transferer des fichiers par SFTP ; pas de connexion à un VTY.

  • Au final activer le SSh sur les VTY :
[4500] user-interface vty 0 4
[4500-ui-vty0-4] protocol inbound ssh
  • Durcir quelques paramètres du serveur SSh :

Fin de la tentative de connexion SSh au bout de 3 échecs (de 1 à 5) :

[4500] ssh server authentication-retries 3     

Déconnexion automatique au bout de 2 minutes d'inactivité (de 1 à 120 en secondes) :

[4500] ssh server timeout 120

A partir de maintenent il est possible et fortement conseillé de retirer l'accès telnet pour tous les utilisateurs de manière à imposer SSh.
SFTP transfert de fichiers encapsulé par SSh v2 est un remplaçant sécurisé à TFTP et FTP.

[4500] sftp server enable                (le serveur SFTP est lancé)

Il faut aussi que le SFTP soit autorisé pour l'utilisateur :

[4500] ssh user admin service-type sftp   
ou 
[4500] ssh user admin service-type all

Un compte de type manager (level 2) est suffisant pour utiliser SFTP. Les comptes de niveau 0 ou 1 ne peuvent pas utiliser SFTP.

Authentification par clés publiques

L'authentification SSh (pour se connecter à un VTY ou effectuer un transfert SFTP) est autorisée via 2 méthodes : Mot de passe (ssh user tata authentication-type password) ou clé publique RSA (ssh user tata authentication-type publickey). Si l'on veut que l'utilisateur tata s'authentifie par clé publique RSA, il faut réaliser les opérations suivantes : Génerer une paire de clés RSA au moyen par exemple d'OpenSSh, confier la clée privée RSA à "tata" qui doit la conserver préciseusement et en protéger l'accès, et déposer la clé publique correspondante sur le commutateur (par exemple au moyen d'un serveur TFTP):

<4500> tftp @IPserveur_tftp get cleRSA-tata4500.pub

Le commutateur a téléchargé la clé publique de l'utilisateur tata
Puis transformer la clé publique (que l'on nommera localement cle-rsa-tata par exemple) dans un format compatible :

[4500] public-key peer cle-rsa-tata import sshkey unit1>flash:/cleRSA-tata4500.pub

Préciser que l'utilisateur tata va utiliser une clé RSA et non plus un mot de passe :

[4500] ssh user tata authentication-type publickey

Et affecter la clé publique importée à l'utilisateur local tata

[4500] ssh user tata assign publickey cle-rsa-tata

MIRRORING-MONITORING DE PORT

Généralités

Le Mirroring-monitoring de port est la possibilité de répliquer le trafic d'un ou plusieurs ports et de le renvoyer vers un ou des port du même commutateur ou d'un commutateur distant (ce que Cisco nomme le SPAN). Ces ports accueillent en général des équipements de sécurité (IDS), d'analyse de trafic (sondes) ou de capture (PCAP, TCPDUMP).
Le(s) port(s) surveillé(s) sont dit mirrorés, et le(s) port(s) qui reçoivent le trafic sont dit monitorés.

Mise en place d'un mirroring-monitoring de ports

  • Les commandes pour activer la redirection de ports sur un commutateur 3COM-H3C sont les suivantes :
[4500] mirroring-group 1 local                   création d'un groupe local de Mirroring
[4500] interface ethernet 1/0/6
[4500-ethernet1/0/6] mirroring-group 1 mirroring-port both

Le port 1/0/6 est désigné port mirroring dans le groupe 1 et devra renvoyer son trafic entrant et sortant (grâce à la commande both) vers les ports monitorés qui seront dans le même groupe, le "groupe 1". On peut créer plusieurs groupes de mirroring-monitoring sur le même équipement, chacun étant identifié par un numéro de groupe.

[4500] interface ethernet 1/0/42
[4500-ethernet1/0/42] mirroring-group 1 monitor-port

Le port 1/0/42 est affecté au groupe de mirroring-monitoring numéro 1 en tant que "monitor-port" il va recevoir une copie de tout le trafic émis et reçu par les ports mirrorés du groupe 1, tel le port 1/0/6.

Limitations du mirroring-monitoring de ports

  • Les ports d'un même groupe doivent être dans le même VLAN.
  • Le ports sur lequel est activé le STP (tous par défaut) ne peuvent pas appartenir à un mirroring-group. Commande stp disabled sur le port avant de l'inclure à un mirroring-group.
  • Même si l'on peut en théorie créer plusieurs groupes, et que plusieurs interfaces peuvent être "mirrorées" dans le même groupe, il ne faut pas abuser du mirroring-monitoring sur un équipement. Multiplier ce processus a un impact direct sur les performances du commutateur.
  • Mirrorer un port en 1000 Mb/s vers un port 100 Mb/s ou un port 100 Mb/s vers un port 10 Mb/s n'est pas une bonne idée, une partie du trafic ne pourra pas être renvoyé vers le port monitor.
  • Certaines trames monitorées peuvent être légèrement modifiées par l'équipement entre leur capture sur le port monitoré et leur renvoi vers le port destination. Par exemple si la QoS est activée, le champ DSCP (paquets IP) ou CoS (non IP) peut être modifié : Le trafic reçu sur le port destination n'est donc pas la réplique 100 % parfaite du trafic capturé sur le port source ; la différence peut-être minime mais non nulle.
  • Pire que la modification, l'équipement peut de lui même détruire une partie des trames reçues sur le port mirroré en fonction de paramètres définis dans son fichier de configuration. Une ACL par exemple peut interdire ou limiter le renvoi de paquets multicast reçus : Le port mirroré reçoit bien un multicast, ou un broadcast, une ACL limite la diffusion de ce genre de trames entre ses ports, donc ce paquet n'est pas renvoyé vers le port monitoré. Cet autre exemple (en plus de celui du champ DSCP ci dessus) montre bien qu'il peut y avoir une différence non négligeable entre le trafic réellement reçu par un port mirroré, et celui renvoyé vers son port monitoré, et donc vers la sonde ou l'IDS sensés identifier des problèmes, établir des statistiques, détecter des menaces...

Gestion des fichiers

<4500> display boot loader  (pour afficher la version de l'OS)
<4500> display version (pour le bootrom)
<4500> dir 

Permet d’afficher les fichiers présents en mémoire flash : xxxxxxxxxxx.app est l'OS du commutateur, xxxxxxxxxxxx.btm désigne le(s) bootrom, xxxxxxxxx.web est le serveur HTTP, xxxxxxxxxxxx.cfg, représente le(s) fichier(s) de configuration, et xxxxxxxxxxxxxx.def désigne le squelette du fichier de configuration par défaut.
Un seul OS (.app) et un seul fichier de configuration (.cfg) sont actifs (statut main, principal) si plusieurs sont présents. La commande dir désigne l'OS et le fichier de configuration actuellement actifs par le signe *. Exemple :

<4500> dir
1 (*)  --rw  392186  Mar 12 2008 15:25:33 s3n03_03_00s168.app
2      --rw   15420  Dec 24 2008 23:59:59 3comoscfg.cfg
3 (*)  --rw   18422  Jan 01 2009 00:01:52 ma_config.cfg

ma_config.cfg est la configuration active, 3comoscfg.cfg peut être supprimé ou servir de configuration de secours.

<4500> startup saved-configuration 3comoscfg.cfg  
<4500> dir
1 (*)  --rw  392186  Mar 12 2008 15:25:33 s3n03_03_00s168.app
2 (*)  --rw   15420  Dec 24 2008 23:59:59 3comoscfg.cfg
3      --rw   18422  Jan 01 2009 00:01:52 ma_config.cfg

ma_config.cfg est toujours le fichier de configuration actuellement utilisé mais 3comoscfg.cfg est celui qui sera actif au prochain démarrage.
Il suffit de coupler la commande startup saved-configuration xxxxxxxxxxx.cfg avec un redémarrage différé pour appliquer un changement de configuration programmé en dehors de heures ouvrables par exemple.
Soit en précisant la date et l’heure de redémarrage :

<4500> schedule reboot at  hh:mn mn/dd/yyyy   (ou yyyy/mn/dd)

Soit en précisant un délai avant le redémarrage :

<4500> schedule reboot delay 30   (30 = valeur en minutes ; variante 10:30 soit dans 10 heures et 30 minutes)

Sauvegarde / restauration de configuration

  • Sauvegarde : soit en utilisant le client TFTP du commutateur (1ère méthode) et en se connectant sur un serveur TFTP distant :
<4500> tftp @IP-du-serveur-tftp put nom-du-fichier-de-conf.cfg     (client TFTP du commutateur vers un  serveur TFTP distant)

Soit en se connectant à partir d'un client SFTP (2ème méthode) vers le serveur SFTP du commutateur (qui doit être lancé) :

compte@station01:~$          (client voulant se connecter au serveur SFTP du commutateur)
compte@station01:~$ sftp compte@AdresseIpCommutateur
sftp compte@AdresseIpCommutateur 's password : **********  
sftp> get fichier-de-conf
Fetching /fichier-de-conf to fichier-de-conf    100%  19KB   19KB/s  00:00
sftp> exit
sftp> Received disconnect from AdresseIpCommutateur: The connection is closed by SSH Server
compte@station01:~$
  • Effacement de fichiers :
<4500> delete nom.app (ex : delete s3n03_01_00s56.app)
<4500> delete nom.web (ex : delete s3p01_00.web)
<4500> delete nom.def (ex : delete 3comcfg.def)
<4500> delete nom.cfg (ex : delete b1-01-1.cfg) 

La commande delete supprime un fichier en le transférant dans la corbeille.
Les OS récents nécessitent de saisir le chemin complet des fichiers (unité-->mémoire-->nom)

<4500> delete unit1>flash:/nom.cfg  (fichier nom.cfg se trouvant dans la mémoire flash de l'unité 1 de l'empilement)

Pour libérer l'espace occupé par les fichiers présents dans la corbeille, il faut vider celle-ci :

<4500> reset recycle-bin /force

/force répond oui par avance à la demande de confirmation.

<4500> delete /unreserved unit1>flash:/nom.app
<4500> delete /unreserved unit1>flash:/nom.web
<4500> delete /unreserved unit1>flash:/nom.def

Commande d'effacement équivalente sauf que les fichiers sont effacés directement sans passer par la corbeille. Dans ce cas une confirmation est nécessaire.

  • Restauration : Soit par TFTP (voir ci-dessous), soit par SFTP (voir ci-dessus) en remplaçant la commande get par put.
<4500> tftp  @IP-du-serveur-tftp get nom-du-fichier-de-conf.cfg
<4500> startup saved-configuration nom-du-fichier-de-conf.cfg
<4500> reboot   (pour que la nouvelle configuration soit prise en compte)

Suppression de toute configuration

<4500> reset saved-configuration
<4500> sys
[4500] rsa local-key-pair destroy

Ces 2 commandes attendent une confirmation avant d'être exécutées.

Changement d'OS

La procédure de changement d'OS est à réaliser en mode BootRom. Pour cela il faut :

  • Au moyen d'un émulateur de terminal VT100, via le port console paramétré en 19200/8-N-1, interrompre le déroulement du démarrage par l'envoi d'une séquence de break au BootRom.
  • Le menu BootRom permet de visualiser le contenu de la mémoire flash. Si l'espace disponible en flash n'est pas suffisant pour accueillir un nouvel OS il faudra d'abord supprimer l'OS actuellement stocké (c'est généralement le cas avec les commutateurs disposant d'une mémoire flash de seulement 8 Mo).
  • Un autre menu permet si nécessaire (flash de 8 Mo) d'effacer l'OS actuel (xxxxxxxxxxxx.app). Il n'y a pas de corbeille en mode BootRom, le fichier effacé libère immédiatement son espace occupé.
  • Un autre menu permet de télécharger un OS distant en utilisant TFTP : Saisir l'adresse IP affectée à notre commutateur puis renseigner l'adresse IP du serveur TFTP et le nom du fichier .app qu'il héberge. A la fin du téléchargement le BootRom demande quelle statut accorder à ce fichier : choisir main (principal).
  • En visualisant le contenu de la flash, le nouveau fichier .app sera marqué comme actif (*).
  • Un autre menu permet maintenant de finir le chargement du commutateur en exécutant le nouvel OS.

Changement de BootRom

Le changement de BootRom peut être réalisé à partir de l'OS :

<4500> tftp A.B.C.D get nom_boot_rom.btm
<4500> boot bootrom unit1>flash:/nom_boot_rom.btm

Répondre Y à la demande de confirmation.
A partir du prochain démarrage la commande display version affichera la nouvelle version de BootRom. Les BootRom et OS suivant un rythme de développement simultanné, il est conseillé de mettre à jour son .btm après installation d'un nouveau .app

Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Outils