Cisco : Catalyst

De Wiki info-lab.fr
Aller à : Navigation, rechercher

Sommaire

INTRODUCTION

Les commutateurs Cisco de la gamme Catalyst se présentent sous la forme de boitiers au format 19 pouces, modulaires ou non, spécialisés dans la commutation (niveau 2) et possédant parfois des capacités de routage et filtrage (niveau 3). Certains commutateurs Catalyst (gamme 4500 et 6500) peuvent même accueillir un module de supervision/routage et combiner ainsi toutes les qualités d'un commutateur et d'un routeur.

Conventions typographiques

Les caractères affichés par le routeur sont représentés en vert.
Les commandes à taper sont écrites en caractères gras et sont à valider par la touche entrée.
Certaines commandes peuvent réclamer des sous commandes.
Les commandes à manipuler avec précaution sont suivies de !!

Connexion à un Catalyst

  • Si ce routeur possède une adresse IP connue, par Telnet ou SSH.
  • Par interface Web s'il a déjà une adresse IP connue et si le serveur Web du routeur est actif.
  • Si le commutateur n'a pas encore d'adresse ou si elle n'est pas connue, en reliant le port console du routeur au port COM (interface série RS-232 mâle) d'un PC qui exécute un émulateur de terminal VT100 paramétré à 9600 baud/s, 8 bit de données, pas de parité, 1 bit d'arrêt et contrôle de flux matériel ou aucun. Exemple d'émulateurs de terminal VT100 : Minicom, GtkTerm, PuTTy ...
  • Tous ces moyens permettent d'accéder à l'austère mais puissante CLI (Command Line Interface). Si le serveur web est actif, l'interface Web permet en plus d'accéder à d'autres informations plus visuelles : Cette interface dépend beaucoup de la version d'IOS et ne présente aucun intérêt sur les équipements Cisco. Il est préférable d'utiliser la CLI.

Commandes de base de la CLI et astuces

Voici le prompt du mode d'exécution non privilégie:

switch> 

"switch" est le nom d'hôte, le prompt en > indique que l'on est connecté en mode utilisateur non privilégié (ou Exec) : Accès en lecture à la plupart des informations, et possibilité de lancer quelques commandes simples.
Résumé des principales commandes accessible en mode non privilégié:

?	        pour afficher la liste alphabétique des commandes.
enable		passer en mode privilégié
exit		se déconnecter
help		système d'aide interactif
ping		envoyer un echo request ICMP 
rcommand	lancer une commande sur un équipement distant
set		définir un paramètre (hors config)
show		afficher des paramètres 
telnet		client telnet
traceroute	utilitaire traceroute
where		lister les connexions VTY actives


  • Sur un équipement Cisco, toutes les modifications effectuées via la CLI s'appliquent à la configuration en cours d'exécution (la running-config) qui se trouve en mémoire volatile RAM ; il faudra donc écrire le contenu de la cette running config dans la startup-config (en mémoire non volatile Nvram) lue au démarrage de l'équipement) pour garder les modifications effectuées.
  • La combinaison de touches CTRL+C permet d'arrêter une opération en cours de traitement (par exemple sortir de la lecture d'un fichier de plusieurs pages).
  • La combinaison de touches CTRL+Z permet de descendre de plusieurs niveaux d'arborescence dans les commandes et de revenir au niveau le plus bas du mode (à la racine). Par exemple de switch(config-pmap-c)# directement vers switch#. La présence des 3 mots séparés par un tiret indique 3 niveaux d'arborescence : config, puis policy-map (pmap) puis class (c).
  • La complétion de commandes est appelée au moyen de la touche tabulation : La commande est complétée si elle est sans ambiguïté.
  • La touche flèche haut du clavier permet de rappeler les 10 dernières commandes validées ; 10 par défaut mais ce nombre est modifiable au moyen de la commande #terminal history size 25 par exemple pour retenir les 25 dernières commandes.
  • Commandes incomplètes: Parfois il n'est pas nécessaire d'écrire une commande en entier; si la chaine de caractère saisie est sans ambiguïté, la CLI l'acceptera ; exemple: wr est une abréviation suffisante de la commande write terminal ; autre exemple: int fa 0/1 est une abréviation suffisante de interface fastEthernet 0/1
  • la commande ? Permet à tout moment de savoir ce qu'attend comme instructions supplémentaires une commande incomplète en listant les possibilités offertes. Dans cette liste si <cr> est présent cela veut dire que cette commande peut aussi s’exécuter telle quelle sans instructions supplémentaires. Si <cr> est seul dans la liste c'est que l'on ne peut rien ajouter à la commande.
  • Beaucoup d'interfaces crées (VLAN, Loopback) sont inactives par défaut ; Il faut les activer par la commande no shutdown.
  • Le fichier de configuration (startup-config) interprété par l'IOS est un simple fichier texte ASCII que l'on peut importer/exporter via le protocole TFTP, FTP ou SCP, ce qui permet de le sauvegarder/restaurer, l'imprimer ou le modifier facilement dans un éditeur de texte.
  • La commande no permet d'annuler toutes les commandes ou de les remettre à leur valeur par défaut. Par exemple, CDP enable active le mode CDP, no CDP enable le désactive.
  • La commande enable (ou son raccourci en) permet de basculer du mode exec vers le mode privilégié beaucoup plus complet.

Le mode privilégié (enable)

La commande enable permet donc de passer en mode privilégié. Changement du prompt en:

Switch#  

La commande disable permet donc de revenir en mode exec.
En raison des possibilités du mode privilégié celui ci doit être protégé par mot de passe (voir plus bas les commandes enable password et même mieux enable secret
Liste des principales commandes possibles en mode privilégié:

 Switch# ?	        pour afficher la liste des commandes disponibles dans le mode privilégié

Mode configuration - Configuration de base

La principale commande pour configurer le commutateur est configure terminal, raccourcie en conf t.
Changement du prompt en :

Switch(config)#  

Liste des principales commandes de configuration :

 Switch(config)# ?	           pour afficher la liste des commandes possibles

CTRL + Z permet de sortir du mode configuration et de revenir en mode privilégié.

  • DIVERS :
switch#show version

Donne les informations de version du boot loader, de l' IOS, les types de mémoire, leur taux d'utilisation, le modèle de processeur...

switch#no ip domain-lookup

Quand le commutateur ne connait pas la chaine de caractère d'une commande lancée, il l'interprête par défaut comme une tentative de Telnet vers un équipement : il essaie donc de contacter un serveur DNS pour avoir l'adresse IP de cet équipement. no ip domain-lookup désactive cette résolution DNS.

switch#service password-encryption

Par défaut, tous les mots de passe apparaissent en clair dans les fichiers de configuration, sauf SECRET dont on ne voit que l'empreinte MD5 avec un sel ; activer cette commande code tous les autres mot de passe (par un codage faible et réversible de type 7).

switch#configure terminal      (rappel: conf t suffit)

Pour passer en mode configuration.

  • NOM ET ADRESSES IP :
switch(config)#hostname commut_105

Pour donner un nom d'hôte au commutateur; les espaces ne sont pas acceptés dans le nom. Le prompt change immédiatement pour adopter le nouveau nom.

commut_105(config)#ip default gateway 125.30.12.1   

Indique au commutateur quelle est sa passerelle. Suivant les versions d'IOS la commande peut être "default gateway" ou "default-gateway"

commut_105(config)#interface vlan 1
commut_105(config-if)#ip address 125.30.12.249 255.255.252.0
commut_105(config-if)#no shutdown

Le Vlan 1 est actif par défaut: On vient de lui affecter une adresse IP, un masque de sous réseau et l'on précise que l'interface est de suite active. Les différents services du Catalyst (telnet, SSh...) seront en écoute sur l'interface VLAN 1.
Si config-if est le mode de configuration des interfaces, config-subif est celui des sous-interfaces.

  • MOTS DE PASSE :
commut_105(config)#enable password abcdef123

Définit le mot de passe " abcdef123 " pour accéder au mode privilégié. enable password étant obsolète il est prudent de ne pas l'utiliser. De plus si enable secret est activé, enable password devient inactif. Ce mot de passe est stocké dans le fichier de configuration : soit en clair, soit au format type 7 (codage faible et réversible).

commut_105(config)#enable secret ghijklm456 

Définit le mot de passe " ghijklm456 " pour accéder au mode privilégié. Activer ce mot de passe désactive enable password. Ce mot de passe est stocké dans le fichier de configuration au format empreinte MD5 avec un sel de 3 octets.

  • TELNET :
commut_105(config)#line vty 0 15
commut_105(config-line)#password !130toto

Précise que pour se connecter à distance sur le commutateur via Telnet le mot de passe est " !130toto "; 16 terminaux TeleTYpes sont accessibles simultanément. Remarque: Etre dans le menu config-line via le port console bloque temporairement les tentatives de connexions par Telnet.

commut_105(config)#line console 0
commut_105(config-line)#login
commut_105(config-line)#password azerty150
commut_105(config-line)#logging synchronous
commut_105(config-line)#exec-timeout 3 30

Définit le mot de passe " azerty150 " pour l'accés en port console au mode non privilégié, sinon cet accès se fait sans mot de passe, seul le mode privilégié en demandant un ; La déconnexion automatique en cas d'inactivité est ici réglée sur 3 minutes et 30 secondes. La commande logging synchronous précise que les données syslog du commutateur sont renvoyées vers la sortie "port console" : ils seront visibles dans l'émulateur de terminal VT100. telnet ne devrait plus être utilisé (voir SSh plus bas).

  • VLAN TRUNKING PROTOCOL (VTP) :
commut_105#vtp mode transparent

Ce commutateur n'envoie pas sa base des Vlan ou n'apprend pas celles que lui enveront les autres serveurs VTP.

commut_105#write			(raccourci  wr)
  • SAUVEGARDE DE CONFIGURATION :
commut_105#copy startup-config tftp:
Address or name of remote host []? 125.30.13.100
destination filename [commut_105-confg]?conf_type_commutateur
!!!!
1397 bytes copied in 1.032 secs (1354 bytes/sec)

Copie du fichier de configuration vers le serveur tftp à l'adresse 125.30.13.100, le nom du fichier par défaut proposé « commut_105-confg » ne nous plaisant pas nous le renommons en « conf_type_commutateur», puis le commutateur nous renseigne sur la réussite éventuelle du transfert et sa rapidité. Ce fichier peut être rechargé sur le commutateur par l'opération inverse copy tftp startup-config:. TFTP ou FTP ne devraient pas être utilisés (voir SSh et SCP).

  • HORODATAGE ET TEMPS :
commut_105#clock set hh:mm:ss jj mois aaaa            (exemple clock set 18:40:00 18 MAR 2007)

Réglage de l'horodatage

commut_105#clock timezone UTC 1

Réglage du fuseau horaire (EST, CST, MST, PST)

commut_105#clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00 

Application de l'heure d'été du dernier dimanche de mars à 02h00 jusqu'au dernier dimanche d'octobre à 03h00.

commut_105#service timestamps log datetime show-timezone

Les logs de l'équipement seront accompagnés de l'horodatage, et non pas par défaut du temps comptabilisé depuis le dernier démarrage de l'équipement (le "uptime").

Configuration avancée du commutateur

  • CONSULTER LES STATISTIQUES DES PORTS
commut_105#show interfaces              

Pour remettre à zéro les statistiques d'un port :

commut_105#clear counters FastEthernet0/0 
  • VLAN
commut_105(config)#vlan 2
commut_105(config-vlan)#name VLAN_TEST
commut_105(config-vlan)#interface vlan 2
commut_105(config-if)#ip address 125.140.12.3 255.255.252.0
commut_105(config-if)#no shutdown

Création du Vlan numéro 2, que l'on appelle VLAN_TEST [attention: les espaces ne sont pas acceptés pour les noms de Vlan] affectation d'une interface à ce Vlan et activation de suite de cette interface ; un commutateur de niveau 2 ne peut avoir qu'une adresse d'interface : activer cette adresse désactive celle paramétrée dans le Vlan 1. Pour contourner cette limitation, il y a possibilité d'utiliser les adresses secondaires.
Nota : Les routeurs ou commutateurs de niveau 3 n'ont pas cette limitation (Une interface par port + une ou des interfaces de loopback).
Les VLAN 1, 1002, 1003, 1004 et 1005 sont déjà crées par défaut. L'utilisation du VLAN 0 n'est pas autorisée.
Les protocoles de gestion des VLAN VTP et DTP envoient des messages via le default VLAN (par défaut le 1). Néanmoins ces protocoles trop bavards et non sécurisés sont très souvent désactivés (au même titre que CDP).
Toutes les informations concernant les VLAN sont stockées dans le fichier binaire vlan.dat.

  • TYPE DE PORT
commut_105(config)#interface fastEthernet 0/10
commut_105(config-if)#switchport access vlan 2

Affectation du port fast ethernet numéro 10 dans le VLAN numéro 2 en mode accès normal vers une machine (PC, serveur, imprimante) par opposition à un élément succeptible de créer un bouclage physique (un autre commutateur).

commut_105(config)#interface range fastEthernet 0/12 - 19
commut_105(config-if-range)#switchport access vlan 2

Même chose pour la suite de ports 12 à 19.

commut_105(config)#interface fastEthernet 0/10
commut_105(config-if)#speed {10/100/auto}
commut_105(config-if)#duplex {full/half/auto}

Choix forcé de la vitesse du port et du mode de transmission. Le mode auto ne force rien et laisse l'autonégociation fixer les valeurs speed et duplex.

commut_105(config-if)#{shutdown/no shutdown}
commut_105(config-if)#description xxxxxxxxxxxx

Choix de l'état du port (ouvert/fermé) et ajout d'une description de 80 caractères maximum, espaces compris.

  • MARQUAGE DE VLAN ET ENCAPSULATION
commut_105(config)#interface GigabitEthernet 0/1
commut_105(config-if)#switchport mode trunk
commut_105(config-if)#no shutdown

Configuration du port Gigabit 0/1 en mode « trunk » (transport multi-vlan avec marquage (TAG) 802.1Q, nommé " dot1q " par Cisco. ISL (propriétaire Cisco) autre protocole de marquage des VLAN est de moins en moins utilisé.
Suivant l'équipement Cisco et sa version d'IOS il peut être nécessaire de préciser le protocole de marquage (802.1Q) ou non.
Les Catalyst de la gamme 5000 ou des serveurs qui détiennent une base de données de mappage peuvent gérer l'affectation des ports dans des VLAN sur des équipements Cisco distants grâce à VMPS (Virtual Membership Policy Server) .

  • AGREGAT DE LIENS

Il est possible de grouper plusieurs interfaces physiques reliant deux équipements distants, que ce soit pour multiplier le débit ou pour renforcer la fiabilité du lien entre ces deux équipements. Cette fonctionnalité appelée AGREGAT (Port Channels dans la littérature Cisco) crée donc un port logique (Port Channel) réunissant plusieurs ports physiques, et est possible à condition de respecter certaines contraintes : Si un équipement peut accueillir plusieurs agrégats (jusqu'à 24 ou 48) un maximum de 8 ports physiques peut être affecté à chaque agrégat (nombre pair conseillé), la vitesse de transmission minimum est de 100 Mb/s et doit être identique pour tous les ports, obligatoirement en mode full Duplex pour les liens Ethernet, et tous les ports doivent appartenir au(x) même(s) VLAN(s).
L'agrégat ainsi crée gère automatiquement la répartition de charge entre les liens agrégés (à nuancer en cas d'agrégat d'un nombre impair de liens, un des liens risquant de ne pas être utilisé), et le basculement automatique en cas de défaillance d'un ou de plusieurs liens de l'agrégat, les liens encore actifs reprenant tout le trafic à leur compte.

commut_105(config)#interface port-channel 1         (création du 1er agrégat)
commut_105(config)#interface range fastEthernet 0/23 - 24
commut_105(config-if-range)#channel-group 1 mode active
commut_105(config-if-range)#channel-protocol lacp
commut_105(config-if-range)#no shutdown

Affectation des ports FastEthernet 0/23 et 0/24 dans l'agrégat de liens numéro 1 en mode actif (l'équipement initiera la négociation PAGP ou LACP avec son vis à vis) et choix du protocole LACP. NOTA : Si l'équipement distant est de marque différente il faut privilégier LACP (standard IEEE) au détriment de PAgP (propriétaire Cisco). En mode passif l'équipement attend que son vis à vis initie la négociation et y répond, en mode on (ou statique), création de l'agrégat sans négociation, l'équipement supposant que son vis à vis possède une configuration du Port Channel parfaitement identique.
Les 2 ports FastEthernet 23 et 24 étant maintenant groupés, le reste de la configuration doit être appliqué au niveau de l'agrégat et pas des ports qui le composent :

commut_105(config)#interface port-channel 1
commut_105(config-if)#switchport mode trunk          (transport des trames marquées 802.1Q)
commut_105(config-if)#switchport trunk allowed vlan 9,36,144    (choix des VLAN transportés)
commut_105(config-if)#switchport trunk native vlan 81    (Pas de marquage 802.1Q des trames du VLAN 81 dans ce trunk)

De fait toute commande appliquée à un Port Channel sera reportée automatiquement sur chacun de ses ports physiques (exemple la vitesse du port, la priorité STP...).

Pour afficher la composition d'un agrégat :

commut_105#show etherchannel 1 <summary-detail>   (sans précision de numéro d'agrégat, cette commande les affiche tous)

Les options les plus utiles sont 'detail ou summary mais il en existe d'autres.

commut_105#show interfaces port-channel 1       (statistiques cummulées des ports physiques de l'agrégat 1)
commut_105#show etherchannel port-channel   (configuration et historique des agrégats)

Il est fortement déconseillé d'appliquer une ACL sur un ou des ports appartenant à un agrégat : Pour appliquer une ACL la méthode à respecter est : décontruction de l'agrégat --> application de l'ACL sur les ports qui le composent --> reconstruction de l'agrégat.
L'équipement utilisant des règles d'équilibrage (règles par défaut ou modifiables par la commande # port-channel load-balance), la réplication de trafic à partir d'un port source (voir SPAN) appartenant à un agrégat peut ne pas être représentative de ce qui transite sur l'intégralité de l'agrégat.
Suivant le type d'équipement et les fonctions qu'intègre son IOS il est possible de modifier les règles d'équilibrage de charge entre ports d'un agrégat en fonction des valeurs dans les en-têtes du trafic transporté (adresses MAC source et destination, adresses IP source et destination, ou ports TCP/UDP).

  • SUPPRESSION DE VLAN :
commut_105(config)#vlan 2
commut_105(config-vlan)#no name VLAN_TEST
commut_105(config-vlan)#interface vlan 2
commut_105(config-if)#no ip address 125.140.12.3 255.255.252.0
commut_105(config-if)#shutdown
commut_105#vlan database
commut_105#no vlan 2
Deleting VLAN 2 ...
  • SPANNING-TREE
commut_105#show spanning-tree {detail|summary|vlan xx}

Pour connaître les processus spanning tree actifs, avec quelques options de cette commande.

commut_105(config)#spanning-tree mode mst
commut_105(config)#spanning-tree mst 0 priority 4096

Activation du Multiple Spanning-Tree. Autres choix : pvst (par défaut) ou rapid-pvst. Pour l'instance MST 0, la priorité de ce commutateur est abaissée de 8192 (valeur par défaut) à 4096. Si tous les autres commutateurs dans l'instance MST 0 gardent leur priorité par défaut il sera donc avantagé et gagnera l'élection pour devenir root bridge. Affecter la priorité 614 a un second commutateur en fera le root bridge de secours si celui ci est défaillant.

commut_105(config-if)#spanning-tree portfast

Cette interface, sensée connecter une simple machine et pas un équipement réseau pouvant créer un bouclage, basculera directement à l'état acheminement.

  • UTILISATEURS LOCAUX
commut_105(config)#username toto privilege 15 secret 0 xxxxxxx

Création du compte local toto qui se connectera directement en mode privilégié (privilege 15) sans passer par le mode exec.

  • SSH
commut_105(config)#ip domain name yyyyyyyyy
commut_105(config)#crypto key generate rsa modulus 2048
commut_105(config)#ip ssh authentication-retries 3

yyyyyyyyy est à remplacer par votre nom de domaine SSh. aaa = Authentication Autorization Accounting, non nécessaire pour SSh mais réclamé pour SCP. Création d'une paire de clés RSA de taille 2048 bits, 3 tentatives d'authentification avant déconnexion. IOS en version 15 et supérieur permet maintenant la création de clés RSA ou ECDSA.

commut_105(config)#ip ssh time-out 120
commut_105(config)#ip ssh version 2

Lancement du serveur SSh en version 2 (certains vieux équipements sont bridés en SSh version 1.5) et déconnexion SSh suite à 120 secondes d'inactivité.

commut_105(config)#line vty 0 4
commut_105(config-line)#transport input ssh
commut_105(config-line)#transport output ssh
commut_105(config-line)#line vty 5 15
commut_105(config-line)#transport input ssh
commut_105(config-line)#transport output ssh

Les 16 VTY ne sont plus accessibles par Telnet : SSH obligatoire. input le serveur SSh de l'équipement accepte les connexions entrantes ; output l'équipement peut initier une connexion SSh en tant que client. Nota : La paire de clés générée n'apparait pas dans la configuration.

  • SCP (client et serveur)

SCP (copie de fichiers encapsulée par SSHv2) a pour but de remplacer TFTP et FTP pour la sauvegarde / restauration de fichiers (configuration, IOS...).
Tout équipement Cisco supportant SSHv2 (IOS de type K9 indispensable) et sur lequel a été généré une paire de clés RSA est de fait client/serveur SSH et aussi client SCP ; il peut donc se connecter à un serveur SCP (ici 192.168.1.1 dans notre exemple) :

commut_105#copy startup-config scp://compte@192.168.1.1

Pour les équipements acceptant SFTP la commande est identique :

commut_105#copy startup-config sftp://compte@192.168.1.1

Suivant le type d'équipement Cisco et l'âge de son IOS, la commande peut être complétée pour préciser le dossier dans lequel sauvegarder le fichier ; malheureusement les syntaxes possibles sont nombreuses (et parfois boguées sur les IOS 12.2 et en deça):

commut_105#copy startup-config scp://compte@192.168.1.1
commut_105#copy startup-config scp://compte@192.168.1.1/
commut_105#copy startup-config scp://compte@192.168.1.1/nom-du-fichier
commut_105#copy startup-config scp://compte@192.168.1.1/chemin/nom-du-fichier
commut_105#copy startup-config scp://compte@192.168.1.1//chemin/nom-du-fichier
commut_105#copy startup-config scp://compte@192.168.1.1:chemin/nom-du-fichier

Contrairement au serveur SSh pour lequel c'est facultatif, activer le serveur SCP nécessite l'application du AAA NEW MODEL.

commut_105(config)#aaa new-model
commut_105(config)#aaa authentication login default local
commut_105(config)#aaa authorization exec default local
commut_105(config)#ip scp server enable
commut_105#write

Un client SCP peut dès à présent se connecter au serveur SCP du Cisco pour y envoyer des fichiers (configuration, IOS) ou sauvegarder ceux qui y sont présents (exemple de commandes à partir d'un client *nix :

compte@192.168.1.1:~$ scp /chemin/commut_105-confg login@commut_105:nvram:startup-config   (envoi de la conf vers le routeur)
compte@192.168.1.1:~$ scp /chemin/c2800-ipbasek9-123.6-mz login@commut_105:flash:c2800-ipbasek9-123.6-mz   (envoi d'un nouvel IOS)
compte@192.168.1.1:~$ scp login@commut_105:nvram:startup-config /chemin/commut_105-confg   (sauvegarde de la startup-config)

Pour surveiller les connexions SCP en cours ou déboguer les tentatives de connexions :

commut_105#debug ip scp     (à annuler par undebug ip scp)

Nota : SCP a été développé pour SSHv2 mais peut éventuellement fonctionner sur SSHv1. 99% des programmes serveurs et clients SCP (toutes plateformes et systèmes confondus) utilisent par défaut SSHv2 mais autorisent l'encapsulation SSHv1 pour SCP à condition par exemple de modifier un fichier de configuration ou d'ajouter l'argument adéquat à une commande. Les IOS Cisco font partie du 1% restant et ne sont pas capables d'autoriser SCP sur SSHv1. De fait, tout équipement Cisco non compatible SSHv2 (par exemple les routeurs de la gamme 2600) ne peut être ni client ni serveur SCP. Un Catalyst 2950 bien que compatible SSHv2 ne peut être ni client ni serveur SCP/SFTP.

  • Authentification des utilisateurs par clés RSA

IOS version 15 accepte l'authentification par clé publique RSA :

commut_105#conf t
commut_105(config)#ip ssh pubkey-chain
commut_105(conf-ssh-pubkey)#username toto
commut_105(conf-ssh-pubkey-user)#key-string
commut_105(conf-ssh-pubkey-data)#$AAQEA6jYlf9MBs86kWov+ZOUDK/n0ExQIRj1zfWA/YcnOx2VS  
$XsxM7SqNkRSQOR7y7HBMoxTHV7o+R/uS6A8/mF0A3P/ScRjct  
$JrNGACGaFy1njD9PrrvrU4o4hx6XDr6xVXF4sP4OCSXIn+Cp8  
$bCnZLmv908AeDb1Ac4nPdsn1OhCPIg6fxZjB7DvAMB8Dbr+7Y  
$apEbGE94zuIqnB161HsMd6JCWbQ== toto@tata.domaine.org     
commut_105(conf-ssh-pubkey-data)#exit
commut_105(conf-ssh-pubkey-user)#exit

Dépot de la clé publique RSA associée à l'utilisateur toto qui doit bien sûr exister. Seule l'empreinte de la clé apparait dans la configuration :

commut_105#sh run | begin ip ssh
ip ssh pubkey-chain
 username toto
  key-hash ssh-rsa C20B739F2695D68A0C591C6A1178DCB5 toto@tata.domaine.org

Sécurité des ports

commut_105#conf t
commut_105(config)#interface fastEthernet 0/23              
commut_105(config-if)#switchport mode access                        
commut_105(config-if)#switchport port-security
commut_105(config-if)#switchport port-security maximum X                      

Nous autorisons la port à enregistrer au maximum X adresses MAC. Si X=1 (la valeur par défaut) la ligne switchport port-security maximum 1 n’apparaîtra pas dans la configuration : Elle est sous entendue. Un commutateur peut apprendre 128 adresses MAC maximum par port.

commut_105(config-if)#switchport port-security mac-address 0015.252d.51f3 

Nous enregistrons cette adresse MAC de manière statique

commut_105(config-if)#switchport port-security mac-address sticky 

Autre option, nous autorisons l'apprentissage dynamique des adresses MAC, la première adresse détectée sera enregistrée.
Réaction du commutateur s'il détecte une adresse MAC non autorisée sur un port, 3 choix possibles :

  • shutdown Le port se verrouille, message Syslog et message en console (sortie par défaut) toutes les 5 secondes indiquant "Security violation occured caused by MAC address 0015.2d59.fa34" ; il faut se connecter au commutateur pour réactiver le port (shutdown puis no shutdown) C'est le mode par défaut.
  • protect Le port ne se verrouille pas, l'adresse MAC non enregistrée ne peut pas communiquer, un message peu explicite apparaît en console, pas de message Syslog.
  • restrict Le port ne se verrouille pas, sauf pour l'adresse MAC considérée comme fautive, message Syslog et message en console (sortie par défaut) toutes les 5 secondes indiquant "Security violation occured caused by MAC address 0015.2d59.fa34"
commut_105(config-if)#switchport port-security violation {protect|restrict|shutdown}
commut_105(config-if)#switchport port-security aging type inactivity

Pour que les adresses MAC dynamiques soient oubliées si le port est considéré comme inactif.

commut_105(config-if)#switchport port-security aging time 2

Nous allons indiquer en minutes (ici 2, la valeur possible va de 0 à 1440 sachant que 0 désactive l'inactivité, cela équivaut à un no) la période d'inactivité nécessaire pour supprimer les adresses MAC sécurisées.
Nota : Dans la configuration, le terme sticky désigne les adresses apprises dynamiquement.

switchport port-security mac-address sticky 0009.6b51.6652       ici l'adresse MAC dynamique 00-09-6b-51-66-52
switchport port-security mac-address 0009.6b51.6653              ici l'adresse MAC statique 00-09-6b-51-66-53
commut_105#show mac-address-table

Pour visualiser la table de pontage.

commut_105#clear mac-address-table dynamic

Pour effacer les adresses MAC dynamiques de la table de pontage.

Configuration avancée des ports

commut_105(config-if)#mls qos cos 4    COS (classe de service) sera à 4 (valeurs possible de 0 à 7 ou directement override)

Activer le portfast sur un port : Ce port montera très rapidement au branchement physique d'une machine, au lieu d'attendre les 35 secondes par défaut pour lui permettre de passer de l'état "blocage" à l'état "écoute" puis à l'état "apprentissage" et enfin à l'état "acheminement". Pour activer portfast il faut que le "rapid spanning-tree" (RSTP) soit activé au niveau du commutateur (commande spanning-tree mode rapid-pvst)

commut_105(config-if)#spanning-tree portfast 

Les BPDU arrivant par ce port sont ignorés :

commut_105(config-if)#spanning-tree bpduguard enable
  • Monitoring de port (SPAN)

SPAN signifie Switched Port ANalyzer. Le monitoring de port peut servir à renvoyer le trafic vers un équipement de sécurité type IDS/IPS ou une station effectuant une capture de trames. Sur certains Catalyst (gamme 8500) le monitoring de port se nomme le SNOOPING et la commande associée est snoop. Chez d'autres constructeurs, le monitoring de port est nommé mirroring de port (port mirroring).
Seuls les Catalyst de la gamme 6000 et au dessus sont capables de transporter le trafic "monitoré" vers d'autres commutateurs à travers un VLAN spécifique : Cette fonctionnalité est appelée RSPAN (Remote SPAN) . Pour les Catalyst des gammes 2900, 4000 et 5000, le SPAN doit être local (ports sources et destinations dans le même équipement). Le RSPAN étant plus limitatif que le SPAN : il supprime une partie du trafic de couche 2 et nécessite d'être renvoyé par un port trunk pour atteindre l'équipement destination.
En mode configuration, on crée une session SPAN, on spécifie une (ou plusieurs) interface(s) "monitorée(s)" avec éventuellement la direction du trafic "monitoré" (rx, tx ou both) ou une restriction à certains VLANs uniquement (en cas de lien trunk), puis une interface destination sur laquelle un analyseur/IDS sera branché, avec éventuellement un filtre sur certains VLANs. Par exemple :

#conf t
(Config)#monitor session 1 source interface fa0/15 rx                création de la session 1, la source est le trafic reçu par le port 0/15.
(Config)#monitor session 1 source interface fa0/3 -7 tx              on ajoute les ports 0/3, 0/4, 0/5, 0/6 et 0/7 en émission
(Config)#monitor session 1 destination interface fa0/47 - 48         les ports 0/47 et 0/48 vont recevoir le trafic monitoré

On peut ajouter des ports à une session SPAN existante :

#conf t
(Config)#monitor session 1 source interface fa0/1 vlan 6 - 8 both      ajout du port source 1 en émission et réception

Le port source 0/1 étant un trunk, seul le trafic des vlan 6, 7 et 8 est renvoyé (les autres VLAN ne nous intéressent pas). Autre exemple :

#conf t
(Config)#monitor session 2 source interface fa2/6 -7 tx           création de la session 2, les port 2/6 et 2/7 sont source (en émission)
(Config)#monitor session 2 destination interface fa0/46           désignation du port destination (précision : c'est un trunk)
(Config)#monitor session 2 filter vlan 4 , 9                      à travers ce trunk, le trafic monitoré sera envoyé uniquement dans les VLAN 4 et 9

Dans cette exemple l'analyseur de trames ou l'IDS distant devra appartenir aux vlan 4 ou 9.
Pour visualiser l'état d'une session SPAN (ici la numéro 3) :

#show monitor session 3
session 3
---------
Source ports:
    RX only:       Fa3/25
    TX only:       None
    Both:          None
Source VLANs:
    RX only:       None
    TX only:       None
    Both:          None
Destination Ports: Fa0/10
Filter VLANs:      1-3,11

Dans la terminologie Cisco, le trafic reçu (RX) est aussi nommé INGRESS, le trafic émis (TX) est aussi nommé EGRESS.
Le monitoring de port fonctionne sur les agrégats de liens (EtherChannel). Choisir un port EtherChannel en port source a pour effet de transformer tous ses ports physiques en ports sources, et ce avec les mêmes options (VLANs, sens du trafic...).
Il existe des options avancées permettant de filtrer les paquets valides ou non valides, unicast, multicast ou broadcast ; exemple :

#conf t
(Config)#monitor session 2 source interface fa2/6 -7 packet-type good address-type multicast tx

Uniquement les paquets de type multicast, valides, émis par les ports fa2/6 et fa2/7.
Pour supprimer une session SPAN :

#conf t
(Config)#no monitor session 2

Pour supprimer un paramètre dans une session SPAN (ici retirer 2 ports sources) :

#conf t
(Config)#no monitor session 2 source interface fa2/6 -7 tx

Pour supprimer toutes les sessions SPAN :

#conf t
(Config)#no monitor                  simple et définitif.
  • Limitations et précautions à adopter avec le SPAN :

Pour des questions de performance, le SPAN est à utiliser avec modération surtout sur des commutateurs peu puissants. Cisco recommande de ne pas dépasser 2 sessions SPAN pour les gammes Catalyst 2900, 3500 et 3700, et 6 sessions pour les gammes Catalyst 4000-4500-5000.
Monitorer un port en 1000 (ou 100) Mb/s vers un port 10 Mb/s n'est pas une bonne idée, une partie des trames sera perdue.
Certaines trames monitorées peuvent être légèrement modifiées par l'équipement entre leur capture sur le port monitoré et leur renvoi vers le port destination. Par exemple si la QoS est implémentée, le champ DSCP peut être modifié : Le trafic reçu sur le port destination n'est donc pas la réplique 100 % parfaite du trafic capturé sur le port source ; la différence est minime mais non nulle.
Pire que la modification, l'équipement peut de lui même détruire une partie des trames reçues sur le port source en fonction de paramètres définis dans son fichier de configuration. Une ACL par exemple peut interdire ou limiter le renvoi de paquets multicast reçus : Le port source reçoit bien un multicast, une ACL ne l'autorise pas, donc ce paquet n'est pas renvoyé vers le port destination. Cet autre exemple (en plus de celui du DSCP ci dessus) montre bien qu'il peut y avoir une différence non négligeable entre le trafic réellement reçu par un port monitoré, et celui renvoyé vers son port destination, et donc vers la sonde réseau ou l'IDS sensés identifier des problèmes, établir des statistiques, détecter des menaces...
Un port monitoré (source) peut appartenir à plusieurs sessions SPAN. Par contre un port monitor (destination) ne peut l'être qu'une fois, pour une seule session.
Un lien EtherChannel peut être port source, mais pas destination. Par contre un des ports physiques composant un lien EtherChannel peut être port destination. Ce port physique peut même être port destination dont la source est le lien EtherChannel auquel il appartient : Dans ce cas, tant que la session SPAN est active, l'équipement considère que ce port ne fais plus partie du lien EtherChannel (cette action est automatique et s'annule d'elle même dès l'arrêt de la session SPAN).
Quand on choisit un VLAN comme source (au lieu d'un port), tous les ports actifs de l'équipement dans ce VLAN deviennent port source. Par exemple si on choisit donc un VLAN dans lequel se trouvent 20 ports actifs à 100 Mb/s vers un port destination en 100 Mb/s il faut s'attendre à au mieux perdre une partie du trafic à monitorer à cause de la congestion provoquée sur le port destination, au pire à pénaliser l'équipement en le sollicitant exagérément.
Pendant la durée d'une session SPAN, un port destination ne peut plus participer au Spanning-Tree (plus d'émission de BPDU), au CDP, au VTP, au DTP et au PagP. Par contre il renvoie bien ces protocoles interceptés à la source vers la destination à condition que le SPAN soit local. En cas de Remote SPAN (RSPAN = port destination est sur un équipement distant avec transport du trafic monitoré dans un VLAN spécifique), l'équipement source va exclure du trafic monitoré tous ces protocoles de couche 2 pré-cités avant de le renvoyer vers la destination.
SPAN et VLANs : Dans la même session SPAN on ne peut pas choisir à la fois des VLAN en source et un filtre sur des VLANs en destination ; il faut choisir l'un ou l'autre.

Protection juridique et avertissements

commut_105(config)#banner login % Attention !! Vous accedez à un système protégé .....%
commut_105(config)#banner motd % Attention !! Vous accedez à un système protégé .....%
commut_105(config)#banner exec % Attention !! Equipement en production .....%

Les divers messages qui apparaitront avant ou après une tentative de connexion. Le texte à afficher doit être encadré par le signe %. Certains émulateurs VT100 n'affichent pas les bannières avant connexion.

Gestion des configurations et procédures spéciales

Effacement de configuration

Pour effacer une configuration enregistrée (mots de passe y compris) et revenir en configuration "usine" :

commut_105#erase startup-config

Confirmer
Pour effacer un fichier présent en NVRAM autre que la startup-config :

commut_105#delete nvram: startup-config-bis

Pour effacer le fichier des VLAN :

commut_105#delete flash: vlan.dat

Si l'équipement possède des éléments cryptographiques RSA, il est possible d'effacer ces éléments :

commut_105#show crypto key mypubkey rsa
Key name : commut_105.domaineRSA
3081EF3C 0D0557A2 ........ ......... ........
........ ........ ........ ......... ........
Key name : commut_105.domaineRSA.server
3071EB51 0F066793 ........ ......... ........
........ ........ ........ ......... ........
commut_105(config)#crypto key zeroise rsa commut_105.domaineRSA.server
Do you really remove .......... [Yes/No] Yes

Les clefs RSA sont effacées. NOTA : Pour pouvoir générer une nouvelle paire de clés RSA pour le serveur SSh d'un équipement, il faut d'abord effacer les clés actuelles par cette méthode.

commut_105#reload

Le commutateur redémarre et à la fin du chargement de l' IOS, ne trouvant pas de fichier de configuration il vous propose de lancer l'assistant de configuration initiale (que l'on peut aussi lancer manuellement grâce à la commande setup)

commut_105#show boot

Pour visualiser les paramètres de démarrage.

commut_105#show file systems

Pour visualiser les différents systèmes de fichiers.

commut_105#boot system flash:/nom_IOS

Pour modifier l'amorçage en désignant un nouvel IOS en flash.

Effacement et renommage de fichiers en mémoire flash

Pour réaliser cette opération, il est nécessaire de :

  • Supprimer le fichier concerné :
commut_105#delete flash: c2600-ipbasek9-123.6-mz
[confirm]
commut_105#delete flash:/répertoire/fichier   (variante de syntaxe) 
[confirm]
  • Libérer l'espace occupé dans le système de fichier par les fichiers supprimés par la commande delete :
commut_105#squeeze
[confirm]
  • Renommer un fichier :
commut_105#rename flash:nom_fichier flash:nouveau_nom 

Rechargement d'urgence d'un IOS sur un commutateur

Consulter l'article Cisco : Démarrage, IOS, registres

Mots de passe du mode perdus

Consulter l'article Cisco : Démarrage, IOS, registres

Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Outils