Comment configurer un commutateur Cisco Catalyst via ses commandes ?
Je ne peux pas rater l'occasion de parler de l'électronique très acclamée de Cisco. Cette fois, nous allons nous concentrer sur certaines des possibilités offertes par notre série Catalyst en termes de configuration. (...)
Nous devons considérer Cisco comme l’une des plus grandes entreprises du secteur, qui couvre une partie importante du marché et avec laquelle nous aurons besoin d'interagir à un moment donné, avec un de leurs appareils. (...)
Cela dit, commençons à jouer avec nos chers catalyseurs (3750, 3560, 2960 ...)
Nous connectons notre fabuleux câble de console bleue -qui accompagne toujours le périphérique- et, après un processus de vérification du matériel (bootstrap), le chargement ultérieur de l'image de mémoire IOS, nous aurons enfin chargée la configuration à partir de la mémoire NVRam.
Attention, nous avons déjà nommé le très puissant et redouté IOS de Cisco, qui grâce à son interface client (CLI), nous permettra, en fonction des privilège dont nous disposons (1-15), d’introduire les mots magiques qui donneront vie au Catalyst.
Si nous nous sommes connectés depuis la console, il peut nous demander un mot de passe (nous le verrons déjà), ou il peut se présenter directement à nous ainsi qu’une révélation.
switch>
Voyons maintenant dans quel niveau de privilèges nous sommes, en exécutant les premières commandes.
switch > sh privilege Current privilege level is 1
Avec ce niveau d’utilisateur, nous ne pourrons effectuer que très peu de choses, à l’exception de certaines requêtes.
Pour commencer à jouer pour de vrai, nous devons entrer en mode privilégié.
switch > enable (=ena)
À ce stade, il nous demandera toujours un mot de passe qui, par défaut, est cisco, et vous seriez surpris du nombre de périphériques qui seront attentifs à ce mot magique. Le mot de passe par défaut est le "ouvre-toi sésame" de l'ordinateur. Alors, pourquoi prendre la peine de le changer?
Il y a deux règles par excellence dans ce monde. Le premier est "je vais le modifier ou je le ferai plus tard", et le second est "si ça marche pourquoi y toucher".
Switch # (la présence de ce pad est un bon signe)
Nous vérifions maintenant le nouveau niveau de privilèges que nous avons.
Switch # sh privilege Current privilege level is 15
Ceci s'il a déjà une autre allure.
Voyons maintenant comment le commutateur nous est présenté lorsque nous entrons dans les différents modes.
Si nous entrons en mode de configuration:
Switch # configure terminal (=conf t) switch (config) #
Et lorsque nous configurons certaines des interfaces:
switch (config) # interface gigabitEthernet 1/0/23 switch (config-if) #
Pour sortir des différents modes on peut utiliser le mot exit.
switch (config-if) # exit switch (config) #
Ou
end
Au cas où vous voudriez sortir directement au mode privilégié.
switch (config-if) # end switch #
Nous effectuons la même action avec ^Z
Avec un nouvel exit on passe en mode utilisateur
switch #exit switch >
Et si nous tapons logout ou exit à nouveau, nous laissons le commutateur complètement.
Si en mode privilégié, nous exécutons la commande pour redémarrer le routeur:
switch # reload
Et pendant les 60 premières secondes du début du "commutateur", nous appuierons sur la touche pause, nous entrerons dans ce que nous appelons le mode moniteur, ce qui nous aidera en cas de problèmes lors du chargement de l'IOS.
rommon # >
De retour en mode utilisateur, en exécutant:
rommon # > continue
Nous voyons que nous pouvons entrer les commandes sous forme abrégée (configure terminal ou conf t) en plus de jouer avec la tabulatrice, en introduisant seulement le début de la commande et il la complétera.
switch# conf<Tab> switch# configure
Si nous voulons connaître les commandes ou les options de certaines en particulier, nous allons jouer avec le symbole ?.
switch #? Exec commands: <1-99> Session number to resume access-enable Create a temporary Access-List entry access-template Create a temporary Access-List entry archive manage archive files cd Change current directory ...................
Nous cherchons à voir ce que la commande help nous dit.
switch # help Help may be requested at any point in a command by entering a question mark '?'. If nothing matches, the help list will be empty and you must backup until entering a '?' shows the available options. Two styles of help are provided: 1. Full help is available when you are ready to enter a command argument (e.g. 'show ?') and describes each possible argument. 2. Partial help is provided when an abbreviated argument is entered and you want to know what arguments match the input (e.g. 'show pr?'.)
Ce que nous avons déjà commenté. Nous pouvons utiliser ?, Pour en savoir plus sur les commandes et leurs arguments. Voyons un exemple.
switch # configure ? memory Configure from NV memory network Configure from a TFTP network host terminal Configure from the terminal
Nous avons la possibilité de consulter les commandes que nous avons déjà introduites.
switch # sh history term mon sh debugging
Par défaut, il conserve 10 lignes, mais nous pouvons l'étendre.
switch (config) # terminal history size 250
Et jouer avec le curseur pour qu’il réécrive les dernières commandes tapées.
Maintenant, nous allons enregistrer un petit historique, très utile au cas où il serait nécessaire de vérifier ce qui se passe.
switch (config)#logging buffered 64000 switch (config)#logging history size 250
Lorsque nous voudrons supprimer une configuration, le mot no sera utilisé. Si dans ce cas, par exemple, nous ne souhaitons pas utiliser les paramètres définis à niveau historique.
switch # terminal no history
Très important que "no" car c’est ce que nous allons proposer chaque fois que nous voudrons supprimer une partie de la configuration.
La combinaison de touches Ctrl-A nous permettra de passer au début de ce que nous aurons tapé, ainsi qu'en appuyant sur Ctrl-E, nous nous déplacerons à la fin de la ligne.
Une autre commande très importante est la commande show (sh) pour afficher les éléments de la configuration, et je vous promets que nous allons l’utiliser ad nauseam.
Eh bien, commençons à faire certaines choses. Mettons-nous en mode de configuration et nous allons commencer par changer le nom courrant de l’appareil.
switch (config) # hostname Mi_Switch
Et maintenant, nous allons mettre quelques mots de passe, ceux de la connexion telnet par exemple:
Mi_Switch (config) # line vty 0 4 Mi_Switch (config) # password nueva_pass
Maintenant, nous modifions ceux qui sont demandés lors de la connexion par console
Mi_Switch (config) #line console 0 Mi_Switch (config) #login Mi_Switch (config) #password nueva_pass
Et enfin le plus important, celui d’entrée en mode privilégié, et nous le générons sous forme cryptée.
Mi_Switch (config) #enable secret new_password
Plus tard, dans ce même document, nous verrons comment activer ssh.
Maintenant, nous quittons le mode de configuration et nous allons voir quelques données internes du périphérique auquel nous sommes connectés
Mi_Switch # show ver Cisco IOS Software, C3750 Software (C3750-IPBASE-M), Version 1X.X(XX)SE5, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Thu 19-Jul-07 19:15 by nachen Image text-base: 0x00003000, data-base: 0x01080000 ROM: Bootstrap program is C3750 boot loader BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 1X.x(xxr), RELEASE SOFTWARE (fc1) name-Sp uptime is 0 weeks, 0 days, 1 hours, 5 minutes System returned to ROM by power-on System image file is ..........
Comme vous pouvez le constater, cela nous donne beaucoup d'informations sur l'IOS chargé, le temps écoulé depuis là ...
Nous lançons donc notre premier diagnostic:
Mi_Switch # sh diagnostic post Stored system POST messages: Switch 1 --------- POST: CPU MIC register Tests : Begin POST: CPU MIC register Tests : End, Status Passed POST: PortASIC Memory Tests : Begin POST: PortASIC Memory Tests : End, Status Passed POST: CPU MIC interface Loopback Tests : Begin POST: CPU MIC interface Loopback Tests : End, Status Passed POST: PortASIC RingLoopback Tests : Begin POST: PortASIC RingLoopback Tests : End, Status Passed POST: PortASIC CAM Subsystem Tests : Begin POST: PortASIC CAM Subsystem Tests : End, Status Passed POST: PortASIC Port Loopback Tests : Begin POST: PortASIC Port Loopback Tests : End, Status Passed
Mais nous pouvons préparer un diagnostic:
Mi_Switch # diagnostic start switch 1 test 1
Et plus tard pour voir les informations qu'il nous retourne:
Mi_Switch # sh diagnostic result switch 1 Switch 1: SerialNo : YUULLDX0 Overall diagnostic result: UNTESTED Test results: (. = Pass, F = Fail, U = Untested) 1) TestPortAsicStackPortLoopback ---> U 2) TestPortAsicLoopback ------------> U 3) TestPortAsicCam -----------------> U 4) TestPortAsicRingLoopback --------> U 5) TestMicRingLoopback -------------> U 6) TestPortAsicMem -----------------> U
Nous voyons les diagnostics que nous avons lancés:
Mi_Switch # sh diagnostic status <BU> - Bootup Diagnostics, <HM> - Health Monitoring Diagnostics, <OD> - OnDemand Diagnostics, <SCH> - Scheduled Diagnostics ====== ================================= =============================== ====== Card Description Current Running Test Run by ------ --------------------------------- ------------------------------- ------ 1 N/A N/A 2 N/A N/A ====== ================================= =============================== ======
Nous continuons à regarder. Nous devons maintenant vérifier l’état du CPU.
Mi_Switch # show processes cpu CPU utilization for five seconds: 6%/0%; one minute: 7%; five minutes: 7% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 34 574 59 0.00% 0.00% 0.00% 0 Chunk Manager 2 1891 2281851 0 0.00% 0.00% 0.00% 0 Load Meter 3 0 5 0 0.00% 0.00% 0.00% 0 CEF RP IPC Backg 4 12095866 1352065 8946 0.00% 0.10% 0.06% 0 Check heaps 5 5985 2376 2518 0.00% 0.00% 0.00% 0 Pool Manager ...................
Ou même voir un historique de l'utilisation du processeur CPU :
Mi_Switch # show processes cpu history 7776666677777666668888888888777776666666666666667777788888 100 90 80 70 60 50 40 30 20 10 ********************************************************** 0....5....1....1....2....2....3....3....4....4....5....5.... 0 5 0 5 0 5 0 5 0 5 CPU% per second (last 60 seconds) 1 44 43 32 4 8998919982688898988878872888888889987899599888888889986888 100 90 80 70 60 50 * * 40 ** ** * * 30 ** ** ** * 20 #* #* #* # 10 ########################################################## 0....5....1....1....2....2....3....3....4....4....5....5.... 0 5 0 5 0 5 0 5 0 5 CPU% per minute (last 60 minutes) * = maximum CPU% # = average CPU% 4444444444544444444444444446311141111114111141111113111131111114111141 6842642755774623535755361420911120112123011042120214110171111116101101 100 90 80 70 60 * * 50 ** * ***** * * **** * * * 40 ***************************** * * * * * * 30 ***************************** * * * * * * * 20 ***************************** * * * * * * * 10 ###################################################################### 0....5....1....1....2....2....3....3....4....4....5....5....6....6....7. 0 5 0 5 0 5 0 5 0 5 0 5 0 CPU% per hour (last 72 hours) * = maximum CPU% # = average CPU%
Voyons maintenant ce que nous pouvons apprendre sur l’état de la mémoire:
Mi_Switch # show memory Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 1D0AA50 91547056 29022824 62524232 60725268 61665840 I/O 7400000 12574720 8449564 4125156 3885316 3989576 ..... Mi_Switch #show processes memory Processor Pool Total: 91547056 Used: 29021980 Free: 62525076 I/O Pool Total: 12574720 Used: 8449404 Free: 4125316 PID TTY Allocated Freed Holding Getbufs Retbufs Process 0 0 46510528 13495924 30791388 0 0 *Init* 0 0 13876 2062240 13876 0 0 *Sched* 0 0 121256380 120012788 552792 11687216 3583592 *Dead* 1 0 835100 818240 39208 0 0 Chunk Manager 2 0 180 180 3908 0 0 Load Meter ...........
Une chose que nous allons beaucoup utiliser est la vérification et visualisation de la configuration en cours de la machine (RAM).
Mi_Switch # sh running Current configuration : 6682 bytes ! version 1X.X no service pad service timestamps debug datetime localtime service timestamps log datetime localtime ! hostname Mi_Switch ! ...........................
Ceci est très important car nous pouvons voir la configuration actuelle en cours d'exécution sur le périphérique. Si nous apportons un type de modification à la machine, c’est ici que les modifications seront reflétées. Mais celles-ci sont stockées dans la RAM et sont volatiles. Autrement dit, si nous ne les sauvegardons pas et que nous éteignons l’interrupteur, elles seront perdues et nous pourrons tirer nos cheveux! Pour cette raison, il est nécessaire de les conserver dans ce que l’on appelle le NVRAM.
Mi_Switch # copy running-config startup-config
Ou simplement
Mi_Switch # wr
Nous pouvons également effectuer l’étape inverse qui consiste à recharger ce que nous avons stocké dans la NVRAM sur RAM au cas où les modifications ne seraient pas correctes.
Comme vous constatez, nous pouvons voir ce qui est en cours d’exécution, ainsi que vérifier ce qui est stocké dans la NVRam et qui sera exécuté lors du redémarrage de notre Catalyst, afin de pouvoir comparer les modifications par exemple.
Mi_Switch # sh startup-config Current configuration : 6682 bytes ! version 1X.X no service pad service timestamps debug datetime localtime service timestamps log datetime localtime ! hostname Mi_Switch !
La commande show nous permet également de filtrer les informations à afficher, en les exécutant de la manière suivante:
Mi_Switch # show running-config | include Lo_que_buscamos Mi_Switch # show ip interfaces brief | exclude Lo_que excluimos
Même arriver à montrer la configuration de la première ligne qui trébuche:
Mi_Switch # show running-config | begin interface
Il est vrai que nous pouvons redémarrer le commutateur à distance, même en appliquant un intervalle pour le redémarrage. A quoi cela peut-il nous servir? Par exemple, si nous nous sommes connectés à distance et que nous n’avons pas d’autre accès, en cas d’erreur de configuration qui nous laisse sans accès au commutateur. Si nous l'avons configuré pour redémarrer dans X minutes au moins, nous serons couverts. Mais méfiez-vous, si nous n'avons pas enregistré les modifications et qu'il est réinitialisé.
Mi_Switch # reload ? LINE Reason for reload at Reload at a specific time/date cancel Cancel pending reload in Reload after a time interval slot Slot number card standby-cpu Standby RP <cr>
Si nous voulons vérifier l'heure:
Mi_Switch # sh clock *20:39:01.773 GMT Sat Feb 4 2012
Voyons maintenant que les utilisateurs sont connectés:
Mi_Switch # sh users Line User Host(s) Idle Location * 1 vty 0 idle 00:00:00 172.100.10.1
A niveau informatif, nous pouvons mettre une bannière d’avertissement qui peut toujours être utile.
Mi_Switch # banner login Solo se permite acceder a este equipo a personal autorizado
Si nous avons une infrastructure montée avec différents périphériques Cisco, nous pouvons utiliser le protocole CDP qui nous permettra de connaître les relations entre les machines.
Vérifions que nous l'ayons activé:
Mi_Switch # sh cdp Global CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Sending CDPv2 advertisements is enabled
Et maintenant, nous demandons aux voisins autour de vous ce que vous ayez connectés:
Mi_Switch # sh cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID 2960_00 Gig 1/0/29 156 S I WS-C2960- Fas 0/48 2960_00 Gig 2/0/29 147 S I WS-C2960- Fas 0/47 ........
Voyons sur quelles interfaces ça marche:
Mi_Switch #sh cdp interface GigabitEthernet1/0/1 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds GigabitEthernet1/0/2 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds GigabitEthernet1/0/3 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds ....................
Et en détail, l’information de l’un de nos voisins:
Mi_Switch #sh cdp entry C500 ------------------------- Device ID: C500 Entry address(es): IP address: 10.100.10.243 Platform: cisco WS-CE500-24PC, Capabilities: Switch IGMP Interface: GigabitEthernet2/0/5, Port ID (outgoing port): GigabitEthernet2 Holdtime : 158 sec Version : Cisco IOS Software, CE500 Software (CE500-LANBASE-M), Version 1X.X(25)SEG4, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Mon 13-Aug-07 17:34 by yenanh .............................
Voyons maintenant l'état des interfaces, ces entrées où nous connectons les câbles réseau, avec des lumières qui nous informent de leur statut.
Mi_Switch #sh ip interface brief Interface IP-Address OK? Method Status Protocol Vlan1 unassigned YES NVRAM administratively down down Vlan20 10.100.5.254 YES NVRAM up up Vlan30 unassigned YES manual up up GigabitEthernet1/0/1 unassigned YES unset up up GigabitEthernet1/0/2 unassigned YES unset up up GigabitEthernet1/0/3 unassigned YES unset up up ........ GigabitEthernet1/0/17 unassigned YES unset up up .........
Nous obtenons des compteurs à partir des interfaces:
Mi_Switch # show interfaces counters Port InOctets InUcastPkts InMcastPkts InBcastPkts Gi1/0/1 16284332242 75167733 33892 0 Gi1/0/2 4277636363 22038607 356595 119795 Gi1/0/3 2439260549 12111995 1273524 37134 Gi1/0/4 29124384600 66011692 1349831 253620
Et vérifions s'ils ont une sorte d'erreur:
Mi_Switch #sh interfaces counters errors Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize Gi1/0/1 0 0 0 0 0 Gi1/0/2 0 0 0 0 0 Gi1/0/3 0 0 0 0 0 Gi1/0/4 0 0 0 0 0
Nous pouvons filtrer les informations sur une seule interface:
#show interfaces gigabitEthernet 1/0/17 counters Port InOctets InUcastPkts InMcastPkts InBcastPkts Gi1/0/17 284708285 585828 1962163 216197 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Gi1/0/17 184472676 584727 98765 813516 Mi_switch# sh interfaces gigabitEthernet 1/0/17 counters errors Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize Gi1/0/17 0 0 0 0 0 Port Single-Col Multi-Col Late-Col Excess-Col Carri-Sen Runts Giants Gi1/0/17 0 0 0 0 0 0 0
Nous mettons les compteurs à 0 pour voir si les erreurs continuent à être reproduites.
Mi_Switch #clear counters
Parfois, il sera très intéressant de connaître le Mac connecté à chacune des entrées
Mi_Switch #sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 001e.14b9.c201 DYNAMIC Gi1/0/3 1 001e.14b9.c881 DYNAMIC Gi1/0/2 1 001e.14b9.ca02 DYNAMIC Gi2/0/4 1 001e.14b9.e282 DYNAMIC Gi2/0/2 1 001e.4974.692f DYNAMIC Gi2/0/29 1 001e.4974.6930 DYNAMIC Gi1/0/29
Nous pouvons également limiter les informations à une seule interface ou à un VLAN (nous le verrons plus tard):
Mi_switch# sh mac-address-table interface gigabitEthernet 1/0/17 Mi_switch# show mac address-table dynamic vlan 30 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 30 0007.e92f.1d63 DYNAMIC Gi1/0/36 30 0009.0f09.0c06 DYNAMIC Gi1/0/31 30 000c.295d.a9f2 DYNAMIC Gi2/0/39 30 000c.7617.aec9 DYNAMIC Gi1/0/35 30 0012.793a.25cb DYNAMIC Gi1/0/34 30 0013.211d.4079 DYNAMIC Gi2/0/35 30 0019.bb38.bed6 DYNAMIC Gi2/0/34 30 001a.4bdc.32fa DYNAMIC Gi2/0/33 Mac Address Table Total Mac Addresses for this criterion: 8
Maintenant, nous allons entrer plus en détail dans certaines des interfaces pour voir les informations telles qu’elles sont en hausse, le MTU, la vitesse à laquelle il négocie, le trafic qu'il déplace, les erreurs ...
Si nous voulons voir ce que le fichier de configuration nous dit à propos de l'interface sans avoir à l'exécuter complètement.
Mi_switch#sh running-config interface gigabitEthernet 1/0/17 Building configuration... Current configuration : 203 bytes ! interface GigabitEthernet1/0/17 description Conexion-VLAN10-DMZ switchport trunk encapsulation dot1q switchport trunk native vlan 38 switchport trunk allowed vlan 10,38 switchport mode trunk end
Et connaître l'état d'une certaine interface:
Mi_switch# sh interfaces gigabitEthernet 1/0/17 status Port Name Status Vlan Duplex Speed Type Gi1/0/17 Conexion-VLAN10-DM connected trunk a-full a-100 10/100/1000BaseTX Mi_Switch #sh interfaces gi 1/0/17 capabilities GigabitEthernet1/0/17 Model: WS-C3750G-48TS Type: 10/100/1000BaseTX Speed: 10,100,1000,auto Duplex: half,full,auto Trunk encap. type: 802.1Q,ISL Trunk mode: on,off,desirable,nonegotiate Channel: yes Broadcast suppression: percentage(0-100) Flowcontrol: rx-(off,on,desired),tx-(none) Fast Start: yes QoS scheduling: rx-(not configurable on per port basis),tx-(4q2t) CoS rewrite: yes ToS rewrite: yes UDLD: yes Inline power: no SPAN: source/destination PortSecure: yes Dot1x: yes Mi_Switch #sh interfaces gigabitEthernet 1/0/17 switchport Name: Gi1/0/17 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 35 (Server) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: 10,35 Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Mi_Switch #sh interfaces gigabitEthernet 1/0/17 GigabitEthernet1/0/17 is up, line protocol is up (connected) Hardware is Gigabit Ethernet, address is 001d.15ad.b291 (bia 001d.15ad.b291) Description: Conexion-VLAN10 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, media type is 10/100/1000BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:03, output hang never Last clearing of "show interface" counters 3w0d Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 1000 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 2758473 packets input, 284092943 bytes, 0 no buffer Received 2174449 broadcasts (0 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 1958590 multicast, 0 pause input 0 input packets with dribble condition detected 1493558 packets output, 184046439 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out Mi_Switch #sh controllers ethernet-controller gigabitEthernet 1/0/17 Transmit GigabitEthernet1/0/17 Receive 184901883 Bytes 284244290 Bytes 587326 Unicast frames 584175 Unicast frames 98841 Multicast frames 1959251 Multicast frames 811732 Broadcast frames 215803 Broadcast frames 0 Too old frames 110978897 Unicast bytes 0 Deferred frames 146977335 Multicast bytes 0 MTU exceeded frames 20946961 Broadcast bytes 0 1 collision frames 0 Alignment errors 0 2 collision frames 1 FCS errors 0 3 collision frames 0 Oversize frames 0 4 collision frames 0 Undersize frames 0 5 collision frames 0 Collision fragments 0 6 collision frames 0 7 collision frames 420565 Minimum size frames 0 8 collision frames 1968394 65 to 127 byte frames 0 9 collision frames 145235 128 to 255 byte frames 0 10 collision frames 224548 256 to 511 byte frames 0 11 collision frames 248 512 to 1023 byte frames 0 12 collision frames 240 1024 to 1518 byte frames 0 13 collision frames 0 Overrun frames 0 14 collision frames 0 Pause frames 0 15 collision frames 0 Excessive collisions 0 Symbol error frames 0 Late collisions 0 Invalid frames, too large 0 VLAN discard frames 0 Valid frames, too large 0 Excess defer frames 0 Invalid frames, too small 744191 64 byte frames 0 Valid frames, too small 433315 127 byte frames 106126 255 byte frames 0 Too old frames 213518 511 byte frames 0 Valid oversize frames 570 1023 byte frames 0 System FCS error frames 179 1518 byte frames 0 RxPortFifoFull drop frame 0 Too large frames 0 Good (1 coll) frames 0 Good (>1 coll) frames
Nous vérifions si nous avons activé le protocole Spanning Tree, très important et intéressant pour éviter les boucles au sein de notre réseau, contrôlant la dégradation ou même dans le pire des cas la chute complète.
Mi_Switch #sh spanning-tree summary Switch is in rapid-pvst mode Root bridge for: VLAN0001, VLAN0020 Extended system ID is enabled Portfast Default is disabled PortFast BPDU Guard Default is disabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled Stack port is StackPort1 BackboneFast is disabled Configured Pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------- VLAN0001 0 0 0 12 12 VLAN0020 0 0 0 21 21 ...........................
Ici nous devons nous arrêter un instant pour en savoir un peu plus sur ce que sont les VLANs. C'est un concept qui nous permettra de séparer logiquement les réseaux au sein du même commutateur physique. Est-ce que nous nous souvenons des domaines de diffusion? Cela nous permettra de les séparer avec l'avantage de contribuer non seulement au trafic non généré, mais également de séparer complètement les réseaux avec les avantages de contrôle que cela implique.
Lorsque nous définissons des interfaces dans un VLAN, nous n’auront que de la visibilité entre elles. Mais voici le concept du mode trunk, dans lequel une interface configurée sous ce mode pourra transporter plusieurs VLANs. Dans un port défini de cette manière, nous seront en mesure de définir s'il y aura une visibilité sur tous les VLANs que nous avons définies dans le commutateur, ou uniquement sur celles qui nous intéressent, en plus d'indiquer laquelle fonctionne de manière native .
Si nous avons plusieurs commutateurs connectés les uns aux autres, nous pouvons utiliser le protocole VTP (VLAN Trunking Protocol) qui nous permettra de gérer efficacement les VLANs.
Pour commenter de manière résumée cette partie du VTP, on peut dire qu’elle pourra travailler sous 3 modes différents: serveur, client et transparent.
Nous devrons donc les configurer sur le même domaine et nous aurons toujours au moins un serveur qui gérera le noyau. Si nous apportons des modifications aux VLANs, celles-ci sont distribuées au reste des commutateurs situés dans le même domaine.
Ensuite, nous aurons des commutateurs avec VTP en mode client qui collecteront automatiquement toutes les modifications et sur lesquelles aucun changement ne peut être apporté.
Et enfin, le mode transparent, dans lequel vous ne pouvez pas créer ou modifier de VLANs affectant le reste de l’électronique mais pouvant générer des VLANs localement.
VTP peut fonctionner sans mot de passe, il est donc facile de comettre une erreur, c'est pourquoi il est fortement recommandé d'attribuer un mot de passe.
Voyons maintenant si nous l'avons activé:
Mi_switch# sh vtp status VTP Version : 2 Configuration Revision : 35 Maximum VLANs supported locally : 1005 Number of existing VLANs : 23 VTP Operating Mode : Server VTP Domain Name : Nuestro_Dominio VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x87 0xD0 0xAF 0x7A 0xC8 0xBA 0x5C 0x69 Configuration last modified by 10.100.X.2 at 5-12-11 23:47:10 Local updater ID is 10.100.X.253 on interface Vl10 (lowest numbered VLAN interface found)
Si nous voulons configurer le VTP:
Mi_switch#vlan database Mi_switch#vtp domain nombre_dominio Mi_switch#vtp (client | server | transparent) Mi_switch#exit
Otra forma de hacer lo mismo prodría ser :
Mi_switch# vtp ? domain Set the name of the VTP administrative domain. file Configure IFS filesystem file where VTP configuration is stored. interface Configure interface as the preferred source for the VTP IP updater address. mode Configure VTP device mode password Set the password for the VTP administrative domain pruning Set the adminstrative domain to permit pruning version Set the adminstrative domain to VTP version
Voyons maintenant les VLANs que nous avons définies et les ports attribués pour chacune d’elles:
Mi_switch# sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi1/0/49, Gi1/0/50 10 Gestion active Gi1/0/14, Gi1/0/21, Gi1/0/41
Entrons dans le détail d'une des VLANs:
#sh vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 10 Gestion active Gi1/0/2, Gi1/0/3, Gi1/0/4 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 10 enet 100010 1500 - - - - - 0 0 Remote SPAN VLAN ---------------- Disabled Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------
Si maintenant nous voulons voir tous les ports définis en mode trunk:
Mi_Switch#sh interfaces trunk Port Mode Encapsulation Status Native vlan Gi1/0/2 on 802.1q trunking 1 Gi1/0/3 on 802.1q trunking 1 Gi1/0/4 on 802.1q trunking 1 ................. Port Vlans allowed on trunk Gi1/0/2 1-4094 Gi1/0/3 1-4094 ................... Port Vlans allowed and active in management domain Gi1/0/2 1,10,30-33,37-42 Gi1/0/3 1,10,100-101,104 ...................
Nous voyons que pour le trunking nous utilisons le protocole IEEE 802.1Q, également connu comme dot1Q.
Voyons la configuration trunk définie dans l'une des interfaces
Mi_Switch# sh interfaces gigabitEthernet 1/0/17 trunk Port Mode Encapsulation Status Native vlan Gi1/0/17 on 802.1q trunking 38 Port Vlans allowed on trunk Gi1/0/17 10,38 Port Vlans allowed and active in management domain Gi1/0/17 10,38 Port Vlans in spanning tree forwarding state and not pruned Gi1/0/17 10,38
Maintenant que nous savons plus sur les VLANs, mettons tout en place et jouons un peu avec les interfaces et les VLANs.
Nous allons générer un VLAN de départ, puis nous assignerons une interface ou un rang entre elles.
Nous pouvons le faire à l'ancienne, et grâce au message affiché nous constatons déjà que ce n’est pas recommandé.
Mi_Switch#vlan database % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. Mi_Switch(vlan)#vlan 2 name gestion Mi_Switch(vlan)#exit APPLY completed. Exiting....
Ou en mode de configuration, c'est ce qui est mieux recommandé.
Mi_Switch#configure terminal Mi_Switch(config)#interface vlan 2 Mi_Switch(config)#exit
Nous pouvons utiliser cette VLAN comme celle de gestion et attribuer une adresse pour pouvoir nous connecter à une session à distance.
Nous configurons le LP dans la VLAN:
Mi_Switch#configure terminal Mi_Switch(config)#interface Vlan10 Mi_Switch(config)#ip address 10.100.5.250 255.255.255.0 Mi_Switch(config)#no ip route-cache Mi_Switch(config)#exit Mi_Switch#
Maintenant, vérifions ce que nous avons fait:
Mi_Switch#show ip interface brief Interface IP-Address OK? Method Status Protocol ......... Vlan10 10.100.5.250 YES NVRAM up up ......
Ou de la même manière:
Mi_Switch#show running-config interface vlan 10 Building configuration... Current configuration : 89 bytes ! interface Vlan10 description VLAN Gestion ip address 10.100.5.250 255.255.255.0 end
Si nous extrayons maintenant la liste des VLANs, nous avons généré:
Mi_Switch#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 10 Gestion active Mi_Switch#sh protocols Global values: Internet Protocol routing is enabled Vlan10 is up, line protocol is up
Ceci dit, nous allons maintenant mettre une interface ou une série d'interfaces dans cette VLAN.
Mi_Switch#configure t
Choisissons une seule interface:
Mi_Switch (config)#interface gigabitEthernet 1/0/1
Ou un rang d'elles:
Mi_Switch#interface range gigabitEthernet 1/0/1-5
Et au sein de la VLAN...
Mi_Switch (config-if)#description Gestion Mi_Switch (config-if)#switchport access vlan 10 Mi_Switch (config-if)#switchport mode access
Si nous récuperons le détail de la VLAN:
Mi_Switch#sh vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 10 Gestion active Gi1/0/1
Nous voyons que nous avons une interface associée à cette VLAN.
Définissons maintenant une interface en mode trunk:
Mi_Switch# configure terminal Mi_Switch (config-if)#description Conexion SW_01 (Gi 0/1) Mi_Switch (config-if)#switchport trunk encapsulation dot1q Mi_Switch (config-if)#switchport mode trunk Mi_Switch (config-if)#exit Mi_Switch#
Comme nous l'avons déjà mentionné, au cas où nous voudrions annuler ce que nous venons de faire, nous plaçons le mot "no" dans la même configuration.
Mi_Switch# configure terminal Mi_Switch (config-if)#no description Conexion SW_01 (Gi 0/1) Mi_Switch (config-if)#no switchport trunk encapsulation dot1q Mi_Switch (config-if)#no switchport mode trunk Mi_Switch (config-if)#exit Mi_Switch#sh interfaces gigabitEthernet 1/0/1 trunk Port Mode Encapsulation Status Native vlan Gi1/0/1 on 802.1q trunking 1
Désactivons maintenant l'une des interfaces:
Mi_Switch# configure terminal Mi_Switch (config-if)#shutdown
Et pour la remettre en marche :
Mi_Switch (config-if)#no shutdown
Nous avons discuté que les VLANs ne vont pas se voir entre elles, mais si nous avons un commutateur qui fonctionne dans la couche 3, nous pouvons également jouer avec cela. Normalement nous élevons le Trunk sur un routeur ou un pare-feu et nous jouons à ce point là, mais nous pouvons aussi le faire sur le commutateur lui-même.
Générons une règle:
Mi_Switch#configure terminal Mi_Switch#(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 172.10.1.0 0.0.0.255 Mi_Switch#(config)#access-list 101 permit ip 172.16.1.0 0.0.0.255 any
Et on l'applique à la VLAN :
Mi_Switch#configure terminal Mi_Switch (config)#interface vlan 10 Mi_Switch (config-if)#ip access-group 101 in Mi_Switch (config-if)#exit
Nous pouvons même vérifier quand les VLANs ont été modifiées pour la dernière fois en vérifiant la date du fichier suivant:
Mi_Switch#sh flash Directory of flash:/ 3 -rwx 15726 Jul 12 1993 04:58:18 +02:00 config.text 4 -rwx 1636 May 13 2010 01:47:10 +02:00 vlan.dat ......
Profitons que nous avons appris d'autres choses pour voir comment la configuration de notre Cisco Catalyst affecte la configuration d'un Team (rassembler des cartes réseau).
Nous pourrions par exemple avoir un serveur avec 2 cartes réseau avec lequel générer un Team, mais en mode actif-passif, avec lequel nous voulons seulement fournir une redondance à l'équipe en cas de chute d'une des cartes. Dans ce cas, il n’est pas nécessaire d’effectuer un quelconque type de configuration dans le commutateur, car nous allons seulement avoir une seule carte surélevée qui envoie sur le MAC.
Mais si, en plus de cette redondance, nous voulons ajouter de la capacité, alors nous pouvons effectuer ce que l’on appelle une agrégation de ports (Lynk Agregation) avec laquelle on additionne la vitesse de chacune des cartes. En rassamblant les deux cartes, un seul Mac est affecté à ce groupe, de telle sorte que si nous ne disons rien au commutateur, il obtiendra le même MAC via 2 ports différents.
Voyons voir comment nous arrangeons cela.
Tout d'abord, nous configurons EtherChannel:
Mi_Switch# conf t Mi_Switch (config)#interface Port-channel1 Mi_Switch (config-if)# description Etherchannel Team Servidor1 Mi_Switch (config-if)# switchport access vlan 12 Mi_Switch (config-if)# switchport trunk encapsulation dot1q Mi_Switch (config-if)# switchport trunk native vlan 12 Mi_Switch (config-if)# switchport trunk allowed vlan 12 Mi_Switch (config-if)# switchport mode trunk Mi_Switch (config-if)# spanning-tree portfast Mi_Switch (config-if)# spanning-tree bpduguard enable Mi_Switch (config-if)#end Mi_Switch#
Et maintenant nous configurons les 2 ports qui participeront à l'agrégation:
Mi_Switch# conf t Mi_Switch (config)#interface GigabitEthernet1/0/1 Mi_Switch (config-if)# description Servidor tarjeta 1 Mi_Switch (config-if)# switchport access vlan 12 Mi_Switch (config-if)# switchport trunk encapsulation dot1q Mi_Switch (config-if)# switchport trunk native vlan 12 Mi_Switch (config-if)# switchport trunk allowed vlan 12 Mi_Switch (config-if)# switchport mode trunk Mi_Switch (config-if)# channel-group 1 mode active Mi_Switch (config-if)# end Mi_Switch # Mi_Switch# conf t Mi_Switch (config)#interface GigabitEthernet1/0/2 Mi_Switch (config-if)# description Servidor tarjeta 2 Mi_Switch (config-if)# switchport access vlan 12 Mi_Switch (config-if)# switchport trunk encapsulation dot1q Mi_Switch (config-if)# switchport trunk native vlan 12 Mi_Switch (config-if)# switchport trunk allowed vlan 12 Mi_Switch (config-if)# switchport mode trunk Mi_Switch (config-if)# channel-group 1 mode active Mi_Switch (config-if)# end Mi_Switch #
Nous aurions pu forcer les vitesses des ports de la manière suivante:
Mi_Switch (config-if)# speed 1000 Mi_Switch (config-if)# duplex full
Et maintenant, nous vérifions ce que nous avons fait:
Mi_Switch #show etherchannel 1 summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 2 Number of aggregators: 2 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 1 Po2(SU) LACP Gi1/0/1(P) Gi2/0/2(P)
Maintenant, nous allons voir comment nous pouvons faire un peu de débogage et de surveillance pour garder notre Catalyseur aussi lbre d'erreurs que possible.
Si nous sommes connectés via une session telnet ou ssh, nous souhaitons que vous nous montriez les messages qui par défaut sont transmis via la console:
Mi_Switch#term mon
Pour le désactiver :
Mi_Switch#term no mon
Nous pouvons vérifier si nous avons un débogage activé:
Mi_Switch#sh debugging Condition 1: interface Gi1/0/14 (1 flags triggered) Flags: Gi1/0/14
Et nous pouvons l'activer si nous voulons voir en détail ou bien fournir une solution à un problème:
Mi_Switch#debug ? aaa AAA Authentication, Authorization and Accounting adjacency adjacency all Enable all debugging archive debug archive commands arp IP ARP and HP Probe transactions auto Debug Automation backup Switch Backup Interface debugging ...........
Si nous voulons désactiver tous les débogage appliqués:
Mi_Switch#no debug all
En tant que surveillance, il peut être intéressant d'activer le protocole snmp afin de se connecter à un système de surveillance à distance qui transmettra certaines informations telles que l'état des interfaces, la consommation, etc.
Nous ne l'activerons qu'en mode lecture seulement.
Mi_Switch#snmp-server community password_aqui RO
En outre à des fins de surveillance, il est intéressant d'activer le syslog pour signaler certains événements à un foyer syslog, de sorte que vous pouvez afficher des informations d'une manière simple et centralisée.
Mi_Switch#Logging on Mi_Switch#logging trap warnings (o loq ue queramos) Mi_Switch#Logging Facility Local7 Mi_Switch#Logging IP_Syslog_server
Voyons la configuration:
Mi_Switch#sh logging Syslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled) Console logging: level debugging, 641452 messages logged, xml disabled, filtering disabled Monitor logging: level debugging, 175 messages logged, xml disabled, filtering disabled Logging to: vty1(0) Buffer logging: level debugging, 641452 messages logged, xml disabled, filtering disabled Exception Logging: size (4096 bytes) Count and timestamp logging messages: disabled File logging: disabled Trap logging: level informational, 641462 message lines logged Logging to 10.100.1.10, 5305 message lines logged, xml disabled, filtering disabled Log Buffer (64000 bytes):
Si vous voulez voir la table de routage:
Mi_Switch#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.200.6.254 to network 0.0.0.0 172.39.0.0/24 is subnetted, 2 subnets C 172.31.100.0 is directly connected, Vlan100 C 172.31.104.0 is directly connected, Vlan104 10.0.0.0/24 is subnetted, 2 subnets C 10.200.6.0 is directly connected, Vlan10 C 10.200.4.0 is directly connected, Vlan33 S* 0.0.0.0/0 [1/0] via 10.100.5.1 Asignar una ruta por defecto:
Nous pouvons définir la route par défaut:
Mi_Switch#ip default-gateway 172.20.139.129
Ou la table ARP :
Mi_Switch#sh arp Protocol Address Age (min) Hardware Addr Type Interface Internet 100.30.104.219 11 002e.4562.908f ARPA Vlan20 Internet 100.30.104.223 8 002e.4562.a948 ARPA Vlan20 Internet 100.30.104.222 0 002e.4562.7a7e ARPA Vlan20 Internet 100.30.104.221 13 002e.4562.94e6 ARPA Vlan20 Y para borrar la tabla arp : Mi_Switch#clear arp
Remarquez que dans les réseaux commutés, "vous ne pouvez pas" placer gaiement un Sniffer. Si nous avons accès au commutateur, nous pouvons faire de la mise en miroir des ports pour envoyer une copie de tout ce qui passe par un certain port, une plage ou un vlan vers un autre port et rester à l'écoute.
Mi_Switch (config)# monitor session 1 source interface Gi1/0/1 Mi_Switch (config)# monitor session 1 destination interface Gi1/0/24 Mi_Swtich#show monitor detail Session 1 --------- Type : Local Session Source Ports : RX Only : Non ................
our vérifier les erreurs en cas de chute du commutateur et voir ce qui aurait pu se passer, nous avons également l'option:
Mi_Switch# sh stacks Interrupt level stacks: Level Called Unused/Size Name 4 2394549592 8332/9000 NETWORK INTERFACE CHIP 5 0 9000/9000 SUPERVISOR EXCEPTIONS 6 2759114589 8908/9000 NS16550 VECTOR ..............................
Nous pouvons même activer un serveur DHCP:
My_Switch(config)#service dhcp My_Switch(config)#ip dhcp excluded-address 10.100.1.1 10.100.1.10 My_Switch(config)#ip dhcp pool LAN_To My_Switch(DHCP-config)#network 10.100.1.0 255.255.255.0 My_Switch(DHCP-config)#default-router 10.100.1.1 My_Switch(DHCP-config)#lease 10 My_Switch(DHCP-config)#dns-server 10.100.1.2
En ce qui concerne la sécurité des ports, nous pouvons utiliser le Port-Security, par exemple pour contrôler les équipements pouvant être connectés à certains ports.
Mi_Switch(config-if)#switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode <cr>
Nous l'activons sur une certaine interface:
Mi_Switch(config-if)#switchport port-security
Désormais, seul le MAC connecté peut être joint via ce port, mais nous pourrions lui indiquer de nouveaux MACs.
Mi_Switch(config-if)#switchport port-security mac-address
Et déterminer l'action qui sera prise en cas de violation
Mi_Switch(config-if)#switchport port-security violation [shutdown restrict protect]
Et enfin, vérifier si nous l’avons appliqué dans n’importe quel port:
Mi_Switch# sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 6144
Voyons maintenant comment activer l'accès via ssh que nous avons précédemment commenté.
Si l'IOS installé ne supporte pas le cryto, pour nous connecter par ssh:
Mi_Switch#show ip ssh ^ % Invalid input detected at '^' marker.
Nous devons rechercher une IOS mise à jour qui correspond à notre modèle et à l'assistance pour actualiser notre commutateur.
Tout d’abord, nous devons vérifier si nous avons 2 commutateurs en mode stack, car nous devons mettre à jour les deux commutateurs.
Mi_Switch #sh switch Switch/Stack Mac Address : 001e.14xx.b280 H/W Current Switch# Role Mac Address Priority Version State ---------------------------------------------------------- *1 Master 001e.14xx.b280 15 0 Ready 2 Member 001e.14bb.5f80 1 0 Ready
Et faire une copie des fichiers que nous avons actuellement et qui nous intéressent.
Nous pouvons utiliser les commandes suivantes pour obtenir cette information:
Mi_Switch# sh boot BOOT path-list : flash:c3560-ipbase-mz.122-35.SE5/c3560-ipbase-mz.122-35.SE5.bin Config file : flash:/config.text Private Config file : flash:/private-config.text Enable Break : no Manual Boot : no HELPER path-list : Auto upgrade : yes Auto upgrade path : Mi_Switch#show flash Directory of flash:/ 2 -rwx 1636 Jun 18 1993 04:13:23 +02:00 vlan.dat 3 -rwx 5 Jul 14 1993 20:16:30 +02:00 private-config.text 5 drwx 192 Mar 1 1993 01:07:18 +01:00 c3560-ipbase-mz.122-35.SE5 463 -rwx 7289 Jul 14 1993 20:16:30 +02:00 config.text 32514048 bytes total (23451136 bytes free) dir flash1:
Comme nous devons copier cette information, il est intéressant de vérifier les différentes options pour pouvoir le faire. Il est intéressant d’avoir un serveur TFTP installé sur notre ordinateur pour effectuer ce processus:
Mi_Switch#copy flash:c3560-ipbase-mz.122-35.SE5 ? flash: Copy to flash: file system ftp: Copy to ftp: file system http: Copy to http: file system null: Copy to null: file system nvram: Copy to nvram: file system rcp: Copy to rcp: file system running-config Update (merge with) current system configuration startup-config Copy to startup configuration system: Copy to system: file system tftp: Copy to tftp: file system vb: Copy to vb: file system Mi_Switch#copy flash:c3560-ipbase-mz.122-35.SE5 tftp Mi_Switch#copy flash:config.text tftp
Vérifions la quantité de mémoire flash disponible:
Mi_Switch# sh flash ..32514048 bytes total (23451136 bytes free)
Si nous avons des problèmes d'espace pour charger le nouvel IOS, nous devons supprimer l'ancien.
Mi_Switch#delete /r/f flash:c3560-ipbase-mz.122-35.SE5
On copie le nouvel IOS:
# copy tftp flash1 >Address or name of remote host? 192.168.1.10 >source filename? c3750-ipbasek9-mz-122-55.SE1.bin >Destination filename? c3750-ipbasek9-mz-122-55.SE1.bin
Si au lieu d'un fichier bin, nous travaillons avec un tar, nous pouvons le faire de la manière suivante:
Mi_Switch#archive tar /xtract tftp://10.100.1.10/c3560-ixqXXX-tar.XXX-XXEAXXa.tar flash:
Et maintenant, vous devez vérifier la copie pour vous assurer de qu'elle a été téléchargée correctement.
Mi_Switch#verify /md5 flash1:c3750-ipbasek9-mz-122-55.SE1.bin
Il est maintenant temps de lui dire quelle est l’IOS avec laquelle il doit démarrer notre Catalyst.
Mi_Switch#show boot BOOT path-list : flash:c3750-ipbase-mz.122-35.XXX/c3750-ipbase-mz.122-35.XX5.bin Config file : flash:/config.text Private Config file : flash:/private-config.text Enable Break : no Manual Boot : no HELPER path-list : Auto upgrade : yes Auto upgrade path : ------------------- Switch 2 ------------------- BOOT path-list : flash:c3750-ipbase-mz.122-35.XXX/c3750-ipbase-mz.122-35.XXX.bin Config file : flash:/config.text Private Config file : flash:/private-config.text Enable Break : no Manual Boot : no HELPER path-list : Auto upgrade : no Auto upgrade path : Mi_Switch#boot system switch all flash:c3750-ipbasek9-mz-122-55.SE1.bin
Et enfin, il est temps de redémarrer et de croiser les doigts en attendant que la chance soit de votre côté.
Mi_Switch#reload
Une fois redémarré, il ne reste plus qu'à vérifier que la version a été correctement chargée.
Mi_Switch#sh version
Une fois que nous avons installé les nouveaux IOS qui supporte le Crypto, nous pouvons procéder à configurer le ssh:
Mi_Switch(config)#hostname nombre_host Mi_Switch(config)#ip domain-name dominio.com Mi_Switch(config)#crypto key generate rsa The name for the keys will be: nombre_host.dominio.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [2048]: % Generating 2048 bit RSA keys ...[OK] Mi_Switch(config)#ip ssh time-out 20 Mi_Switch(config)#ip ssh authentication-retries 3 Mi_Switch(config)#username root password password
Avant de fermer l’entrée à ssh uniquement, nous la permettons toujours par telnet de vérifier que nous pouvons nous connecter.
Mi_Switch(config)#line vty 0 4 Mi_Switch(config-line)#transport input all Mi_Switch(config-line)#login local
Et une fois vérifié que la connexion via ssh fonctionne correctement, nous la forçons uniquement via un client ssh:
Mi_Switch(config)#line vty 0 4 Mi_Switch(config-line)#transport input ssh
Pour pouvoir vérifier les paramètres:
Mi_Switch#show ip ssh
Si vous souhaitez déconnecter un utilisateur connecté par ssh:
Mi_Switch#disconnect ssh
Et enfin pour activer ssh dans la version 2
Mi_Switch(config)#ip ssh version 2
Si quelque chose ne va pas, nous avons toujours la possibilité de déboguer
Mi_Switch#debug ip ssh
Au revoir, en remerciant à tous les lecteurs et en espérant que le document n'aie pas été trop lourd.
Merci à tous.
Publié par: Igor Urraza / Version originale en espagnol
