annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
1712
Visites
0
Compliment
2
Commentaires
Jimena Saez
Community Manager
Community Manager

Comment configurer un commutateur Cisco Catalyst via ses commandes ?

Je ne peux pas rater l'occasion de parler de l'électronique très acclamée de Cisco. Cette fois, nous allons nous concentrer sur certaines des possibilités offertes par notre série Catalyst en termes de configuration. (...)

Nous devons considérer Cisco comme l’une des plus grandes entreprises du secteur, qui couvre une partie importante du marché et avec laquelle nous aurons besoin d'interagir à un moment donné, avec un de leurs appareils. (...)

Cela dit, commençons à jouer avec nos chers catalyseurs (3750, 3560, 2960 ...)

Nous connectons notre fabuleux câble de console bleue -qui accompagne toujours le périphérique- et, après un processus de vérification du matériel (bootstrap), le chargement ultérieur de l'image de mémoire IOS, nous aurons enfin chargée la configuration à partir de la mémoire NVRam.

Attention, nous avons déjà nommé le très puissant et redouté IOS de Cisco, qui grâce à son interface client (CLI), nous permettra, en fonction des privilège dont nous disposons (1-15), d’introduire les mots magiques qui donneront vie au Catalyst.

Si nous nous sommes connectés depuis la console, il peut nous demander un mot de passe (nous le verrons déjà), ou il peut se présenter directement à nous ainsi qu’une révélation.

switch>

Voyons maintenant dans quel niveau de privilèges nous sommes, en exécutant les premières commandes.

switch > sh privilege
Current privilege level is 1

Avec ce niveau d’utilisateur, nous ne pourrons effectuer que très peu de choses, à l’exception de certaines requêtes.

Pour commencer à jouer pour de vrai, nous devons entrer en mode privilégié.

switch > enable (=ena)

À ce stade, il nous demandera toujours un mot de passe qui, par défaut, est cisco, et vous seriez surpris du nombre de périphériques qui seront attentifs à ce mot magique. Le mot de passe par défaut est le "ouvre-toi sésame" de l'ordinateur. Alors, pourquoi prendre la peine de le changer?

Il y a deux règles par excellence dans ce monde. Le premier est "je vais le modifier ou je le ferai plus tard", et le second est "si ça marche pourquoi y toucher".

Switch # (la présence de ce pad est un bon signe)

Nous vérifions maintenant le nouveau niveau de privilèges que nous avons.

Switch # sh privilege
Current privilege level is 15

Ceci s'il a déjà une autre allure.

Voyons maintenant comment le commutateur nous est présenté lorsque nous entrons dans les différents modes.

Si nous entrons en mode de configuration:

Switch # configure terminal (=conf t)
switch (config) #

Et lorsque nous configurons certaines des interfaces:

switch (config) # interface gigabitEthernet 1/0/23
switch (config-if) #

Pour sortir des différents modes on peut utiliser le mot exit.

switch (config-if) # exit
switch (config) #

Ou

end

Au cas où vous voudriez sortir directement au mode privilégié.

switch (config-if) # end
switch #

Nous effectuons la même action avec ^Z

Avec un nouvel exit on passe en mode utilisateur

switch #exit
switch >

Et si nous tapons logout ou exit à nouveau, nous laissons le commutateur complètement.

Si en mode privilégié, nous exécutons la commande pour redémarrer le routeur:

switch # reload

Et pendant les 60 premières secondes du début du "commutateur", nous appuierons sur la touche pause, nous entrerons dans ce que nous appelons le mode moniteur, ce qui nous aidera en cas de problèmes lors du chargement de l'IOS.

rommon # >

De retour en mode utilisateur, en exécutant:

rommon # > continue

Nous voyons que nous pouvons entrer les commandes sous forme abrégée (configure terminal ou conf t) en plus de jouer avec la tabulatrice, en introduisant seulement le début de la commande et il la complétera.

switch# conf<Tab>
switch# configure

Si nous voulons connaître les commandes ou les options de certaines en particulier, nous allons jouer avec le symbole ?.

switch #?
Exec commands:
 <1-99>           Session number to resume
 access-enable    Create a temporary Access-List entry
 access-template  Create a temporary Access-List entry
 archive          manage archive files
 cd               Change current directory
...................

Nous cherchons à voir ce que la commande help nous dit.

switch # help

Help may be requested at any point in a command by entering
 a question mark '?'.  If nothing matches, the help list will
 be empty and you must backup until entering a '?' shows the
 available options.
 Two styles of help are provided:
 1. Full help is available when you are ready to enter a
 command argument (e.g. 'show ?') and describes each possible
 argument.
 2. Partial help is provided when an abbreviated argument is entered
 and you want to know what arguments match the input
 (e.g. 'show pr?'.)

Ce que nous avons déjà commenté. Nous pouvons utiliser ?, Pour en savoir plus sur les commandes et leurs arguments. Voyons un exemple.

switch # configure ?
memory    Configure from NV memory
 network   Configure from a TFTP network host
 terminal  Configure from the terminal

Nous avons la possibilité de consulter les commandes que nous avons déjà introduites.

switch # sh history
term mon
sh debugging

Par défaut, il conserve 10 lignes, mais nous pouvons l'étendre.

switch (config) # terminal history size 250

Et jouer avec le curseur pour qu’il réécrive les dernières commandes tapées.

Maintenant, nous allons enregistrer un petit historique, très utile au cas où il serait nécessaire de vérifier ce qui se passe.

switch (config)#logging buffered 64000
switch (config)#logging history size 250

Lorsque nous voudrons supprimer une configuration, le mot no sera utilisé. Si dans ce cas, par exemple, nous ne souhaitons pas utiliser les paramètres définis à niveau historique.

switch # terminal no history

Très important que "no" car c’est ce que nous allons proposer chaque fois que nous voudrons supprimer une partie de la configuration.

La combinaison de touches Ctrl-A nous permettra de passer au début de ce que nous aurons tapé, ainsi qu'en appuyant sur Ctrl-E, nous nous déplacerons à la fin de la ligne.

Une autre commande très importante est la commande show (sh) pour afficher les éléments de la configuration, et je vous promets que nous allons l’utiliser ad nauseam.

Eh bien, commençons à faire certaines choses. Mettons-nous en mode de configuration et nous allons commencer par changer le nom courrant de l’appareil.

switch (config) # hostname Mi_Switch

Et maintenant, nous allons mettre quelques mots de passe, ceux de la connexion telnet par exemple:

Mi_Switch (config) # line vty 0 4
Mi_Switch (config) # password nueva_pass

Maintenant, nous modifions ceux qui sont demandés lors de la connexion par console

Mi_Switch (config) #line console 0
Mi_Switch (config) #login
Mi_Switch (config) #password nueva_pass

Et enfin le plus important, celui d’entrée en mode privilégié, et nous le générons sous forme cryptée.

Mi_Switch (config) #enable secret new_password 

Plus tard, dans ce même document, nous verrons comment activer ssh.
Maintenant, nous quittons le mode de configuration et nous allons voir quelques données internes du périphérique auquel nous sommes connectés

Mi_Switch # show ver

Cisco IOS Software, C3750 Software (C3750-IPBASE-M), Version 1X.X(XX)SE5,
 RELEASE SOFTWARE (fc1)
 Copyright (c) 1986-2007 by Cisco Systems, Inc.
 Compiled Thu 19-Jul-07 19:15 by nachen
 Image text-base: 0x00003000, data-base: 0x01080000
 ROM: Bootstrap program is C3750 boot loader
 BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 1X.x(xxr), RELEASE
 SOFTWARE (fc1)
 name-Sp uptime is 0 weeks, 0 days, 1 hours, 5 minutes
 System returned to ROM by power-on
 System image file is
 ..........

Comme vous pouvez le constater, cela nous donne beaucoup d'informations sur l'IOS chargé, le temps écoulé depuis là ...

Nous lançons donc notre premier diagnostic:

Mi_Switch # sh diagnostic post

Stored system POST messages:

Switch 1
 ---------

POST: CPU MIC register Tests : Begin
 POST: CPU MIC register Tests : End, Status Passed
 POST: PortASIC Memory Tests : Begin
 POST: PortASIC Memory Tests : End, Status Passed
 POST: CPU MIC interface Loopback Tests : Begin
 POST: CPU MIC interface Loopback Tests : End, Status Passed
 POST: PortASIC RingLoopback Tests : Begin
 POST: PortASIC RingLoopback Tests : End, Status Passed
 POST: PortASIC CAM Subsystem Tests : Begin
 POST: PortASIC CAM Subsystem Tests : End, Status Passed
 POST: PortASIC Port Loopback Tests : Begin
 POST: PortASIC Port Loopback Tests : End, Status Passed

Mais nous pouvons préparer un diagnostic:

Mi_Switch # diagnostic start switch 1 test 1

Et plus tard pour voir les informations qu'il nous retourne:

Mi_Switch # sh diagnostic result switch 1

Switch 1:   SerialNo : YUULLDX0

Overall diagnostic result: UNTESTED

Test results: (. = Pass, F = Fail, U = Untested)

1) TestPortAsicStackPortLoopback ---> U
 2) TestPortAsicLoopback ------------> U
 3) TestPortAsicCam -----------------> U
 4) TestPortAsicRingLoopback --------> U
 5) TestMicRingLoopback -------------> U
 6) TestPortAsicMem -----------------> U

Nous voyons les diagnostics que nous avons lancés:

Mi_Switch # sh diagnostic status

<BU> - Bootup Diagnostics, <HM> - Health Monitoring Diagnostics,
 <OD> - OnDemand Diagnostics, <SCH> - Scheduled Diagnostics

====== ================================= =============================== ======
 Card   Description                       Current Running Test            Run by
 ------ --------------------------------- ------------------------------- ------
 1                                        N/A                             N/A

2                                        N/A                             N/A

====== ================================= =============================== ======

Nous continuons à regarder. Nous devons maintenant vérifier l’état du CPU.

Mi_Switch # show processes cpu

CPU utilization for five seconds: 6%/0%; one minute: 7%; five minutes: 7%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 1          34       574         59  0.00%  0.00%  0.00%   0 Chunk Manager
 2        1891   2281851          0  0.00%  0.00%  0.00%   0 Load Meter
 3           0         5          0  0.00%  0.00%  0.00%   0 CEF RP IPC Backg
 4    12095866   1352065       8946  0.00%  0.10%  0.06%   0 Check heaps
 5        5985      2376       2518  0.00%  0.00%  0.00%   0 Pool Manager
 ...................

Ou même voir un historique de l'utilisation du processeur CPU :

Mi_Switch # show processes cpu history

7776666677777666668888888888777776666666666666667777788888
 100
 90
 80
 70
 60
 50
 40
 30
 20
 10 **********************************************************
 0....5....1....1....2....2....3....3....4....4....5....5....
 0    5    0    5    0    5    0    5    0    5
 CPU% per second (last 60 seconds)

1   44             43             32             4
 8998919982688898988878872888888889987899599888888889986888
 100
 90
 80
 70
 60
 50           *                                           *
 40          **             **             *              *
 30          **             **             **             *
 20          #*             #*             #*             #
 10 ##########################################################
 0....5....1....1....2....2....3....3....4....4....5....5....
 0    5    0    5    0    5    0    5    0    5
 CPU% per minute (last 60 minutes)
 * = maximum CPU%   # = average CPU%

4444444444544444444444444446311141111114111141111113111131111114111141
 6842642755774623535755361420911120112123011042120214110171111116101101
 100
 90
 80
 70
 60           *                *
 50 **  *  ***** *  * **** *   *                                   *
 40 *****************************   *      *    *           *      *    *
 30 *****************************   *      *    *      *    *      *    *
 20 *****************************   *      *    *      *    *      *    *
 10 ######################################################################
 0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
 0    5    0    5    0    5    0    5    0    5    0    5    0
 CPU% per hour (last 72 hours)
 * = maximum CPU%   # = average CPU%

Voyons maintenant ce que nous pouvons apprendre sur l’état de la mémoire:

Mi_Switch # show memory
Head    Total(b)     Used(b)     Free(b)   Lowest(b)  Largest(b)
 Processor    1D0AA50    91547056    29022824    62524232    60725268    61665840
 I/O    7400000    12574720     8449564     4125156     3885316     3989576

.....

Mi_Switch #show processes memory
Processor Pool Total:   91547056 Used:   29021980 Free:   62525076
 I/O Pool Total:   12574720 Used:    8449404 Free:    4125316

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
 0   0   46510528   13495924   30791388          0          0 *Init*
 0   0      13876    2062240      13876          0          0 *Sched*
 0   0  121256380  120012788     552792   11687216    3583592 *Dead*
 1   0     835100     818240      39208          0          0 Chunk Manager
 2   0        180        180       3908          0          0 Load Meter
 ...........

Une chose que nous allons beaucoup utiliser est la vérification et visualisation de la configuration en cours de la machine (RAM).

Mi_Switch # sh running

Current configuration : 6682 bytes
 !
 version 1X.X
 no service pad
 service timestamps debug datetime localtime
 service timestamps log datetime localtime
 !
 hostname Mi_Switch
 !
 ...........................

Ceci est très important car nous pouvons voir la configuration actuelle en cours d'exécution sur le périphérique. Si nous apportons un type de modification à la machine, c’est ici que les modifications seront reflétées. Mais celles-ci sont stockées dans la RAM et sont volatiles. Autrement dit, si nous ne les sauvegardons pas et que nous éteignons l’interrupteur, elles seront perdues et nous pourrons tirer nos cheveux! Pour cette raison, il est nécessaire de les conserver dans ce que l’on appelle le NVRAM.

Mi_Switch # copy running-config startup-config

Ou simplement

Mi_Switch # wr

Nous pouvons également effectuer l’étape inverse qui consiste à recharger ce que nous avons stocké dans la NVRAM sur RAM au cas où les modifications ne seraient pas correctes.

Comme vous constatez, nous pouvons voir ce qui est en cours d’exécution, ainsi que vérifier ce qui est stocké dans la NVRam et qui sera exécuté lors du redémarrage de notre Catalyst, afin de pouvoir comparer les modifications par exemple.

Mi_Switch # sh startup-config
Current configuration : 6682 bytes
 !
 version 1X.X
 no service pad
 service timestamps debug datetime localtime
 service timestamps log datetime localtime
 !
 hostname Mi_Switch
 !

La commande show nous permet également de filtrer les informations à afficher, en les exécutant de la manière suivante:

Mi_Switch # show running-config | include Lo_que_buscamos
Mi_Switch # show ip interfaces brief | exclude Lo_que excluimos

Même arriver à montrer la configuration de la première ligne qui trébuche:

Mi_Switch # show running-config | begin interface

Il est vrai que nous pouvons redémarrer le commutateur à distance, même en appliquant un intervalle pour le redémarrage. A quoi cela peut-il nous servir? Par exemple, si nous nous sommes connectés à distance et que nous n’avons pas d’autre accès, en cas d’erreur de configuration qui nous laisse sans accès au commutateur. Si nous l'avons configuré pour redémarrer dans X minutes au moins, nous serons couverts. Mais méfiez-vous, si nous n'avons pas enregistré les modifications et qu'il est réinitialisé.

Mi_Switch # reload ?
LINE         Reason for reload
 at           Reload at a specific time/date
 cancel       Cancel pending reload
 in           Reload after a time interval
 slot         Slot number card
 standby-cpu  Standby RP
 <cr>

Si nous voulons vérifier l'heure:

Mi_Switch # sh clock
 *20:39:01.773 GMT Sat Feb 4 2012

Voyons maintenant que les utilisateurs sont connectés:

Mi_Switch # sh users
Line       User       Host(s)              Idle       Location
 *  1 vty 0                idle                 00:00:00 172.100.10.1

A niveau informatif, nous pouvons mettre une bannière d’avertissement qui peut toujours être utile.

Mi_Switch # banner login
Solo se permite acceder a este equipo a personal autorizado

Si nous avons une infrastructure montée avec différents périphériques Cisco, nous pouvons utiliser le protocole CDP qui nous permettra de connaître les relations entre les machines.

Vérifions que nous l'ayons activé:

Mi_Switch # sh cdp
Global CDP information:
 Sending CDP packets every 60 seconds
 Sending a holdtime value of 180 seconds
 Sending CDPv2 advertisements is  enabled

Et maintenant, nous demandons aux voisins autour de vous ce que vous ayez connectés:

Mi_Switch # sh cdp neighbors
 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
 S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
 2960_00
 Gig 1/0/29        156           S I      WS-C2960- Fas 0/48
 2960_00
 Gig 2/0/29        147           S I      WS-C2960- Fas 0/47
 ........

Voyons sur quelles interfaces ça marche:

Mi_Switch #sh cdp interface
GigabitEthernet1/0/1 is up, line protocol is up
 Encapsulation ARPA
 Sending CDP packets every 60 seconds
 Holdtime is 180 seconds
 GigabitEthernet1/0/2 is up, line protocol is up
 Encapsulation ARPA
 Sending CDP packets every 60 seconds
 Holdtime is 180 seconds
 GigabitEthernet1/0/3 is up, line protocol is up
 Encapsulation ARPA
 Sending CDP packets every 60 seconds
 Holdtime is 180 seconds
 ....................

Et en détail, l’information de l’un de nos voisins:

Mi_Switch #sh cdp entry C500
-------------------------
Device ID: C500
 Entry address(es):
 IP address: 10.100.10.243
 Platform: cisco WS-CE500-24PC,  Capabilities: Switch IGMP
 Interface: GigabitEthernet2/0/5,  Port ID (outgoing port): GigabitEthernet2
 Holdtime : 158 sec

Version :
 Cisco IOS Software, CE500 Software (CE500-LANBASE-M), Version 1X.X(25)SEG4,
 RELEASE SOFTWARE (fc1)
 Copyright (c) 1986-2007 by Cisco Systems, Inc.
 Compiled Mon 13-Aug-07 17:34 by yenanh
 .............................

Voyons maintenant l'état des interfaces, ces entrées où nous connectons les câbles réseau, avec des lumières qui nous informent de leur statut.

Mi_Switch #sh ip interface brief

Interface              IP-Address      OK? Method Status                Protocol
 Vlan1                  unassigned      YES NVRAM  administratively down down
 Vlan20                 10.100.5.254    YES NVRAM  up                    up
 Vlan30                 unassigned      YES manual up                    up
 GigabitEthernet1/0/1   unassigned      YES unset  up                    up
 GigabitEthernet1/0/2   unassigned      YES unset  up                    up
 GigabitEthernet1/0/3   unassigned      YES unset  up                    up
 ........
 GigabitEthernet1/0/17   unassigned      YES unset  up                    up
 .........

Nous obtenons des compteurs à partir des interfaces:

Mi_Switch # show interfaces counters

Port            InOctets   InUcastPkts   InMcastPkts   InBcastPkts
 Gi1/0/1      16284332242      75167733         33892             0
 Gi1/0/2       4277636363      22038607        356595        119795
 Gi1/0/3       2439260549      12111995       1273524         37134
 Gi1/0/4      29124384600      66011692       1349831        253620

Et vérifions s'ils ont une sorte d'erreur:

Mi_Switch #sh interfaces counters errors

Port        Align-Err    FCS-Err   Xmit-Err    Rcv-Err UnderSize
 Gi1/0/1             0          0          0          0         0
 Gi1/0/2             0          0          0          0         0
 Gi1/0/3             0          0          0          0         0
 Gi1/0/4             0          0          0          0         0

Nous pouvons filtrer les informations sur une seule interface:

#show interfaces gigabitEthernet 1/0/17 counters

Port            InOctets   InUcastPkts   InMcastPkts   InBcastPkts
 Gi1/0/17       284708285        585828       1962163        216197

Port           OutOctets  OutUcastPkts  OutMcastPkts  OutBcastPkts
 Gi1/0/17       184472676        584727         98765        813516

Mi_switch# sh interfaces gigabitEthernet 1/0/17 counters errors

Port        Align-Err    FCS-Err   Xmit-Err    Rcv-Err UnderSize
 Gi1/0/17            0          0          0          0         0

Port      Single-Col Multi-Col  Late-Col Excess-Col Carri-Sen     Runts
 Giants
 Gi1/0/17           0         0         0          0         0         0
 0

Nous mettons les compteurs à 0 pour voir si les erreurs continuent à être reproduites.

Mi_Switch #clear counters

Parfois, il sera très intéressant de connaître le Mac connecté à chacune des entrées

Mi_Switch #sh mac-address-table

Mac Address Table
 -------------------------------------------

Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
 1    001e.14b9.c201    DYNAMIC     Gi1/0/3
 1    001e.14b9.c881    DYNAMIC     Gi1/0/2
 1    001e.14b9.ca02    DYNAMIC     Gi2/0/4
 1    001e.14b9.e282    DYNAMIC     Gi2/0/2
 1    001e.4974.692f    DYNAMIC     Gi2/0/29
 1    001e.4974.6930    DYNAMIC     Gi1/0/29

Nous pouvons également limiter les informations à une seule interface ou à un VLAN (nous le verrons plus tard):

Mi_switch# sh mac-address-table interface gigabitEthernet 1/0/17

Mi_switch# show mac address-table dynamic vlan 30
Mac Address Table
 -------------------------------------------

Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
 30    0007.e92f.1d63    DYNAMIC     Gi1/0/36
 30    0009.0f09.0c06    DYNAMIC     Gi1/0/31
 30    000c.295d.a9f2    DYNAMIC     Gi2/0/39
 30    000c.7617.aec9    DYNAMIC     Gi1/0/35
 30    0012.793a.25cb    DYNAMIC     Gi1/0/34
 30    0013.211d.4079    DYNAMIC     Gi2/0/35
 30    0019.bb38.bed6    DYNAMIC     Gi2/0/34
 30    001a.4bdc.32fa    DYNAMIC     Gi2/0/33
 Mac Address Table

Total Mac Addresses for this criterion: 8

Maintenant, nous allons entrer plus en détail dans certaines des interfaces pour voir les informations telles qu’elles sont en hausse, le MTU, la vitesse à laquelle il négocie, le trafic qu'il déplace, les erreurs ...

Si nous voulons voir ce que le fichier de configuration nous dit à propos de l'interface sans avoir à l'exécuter complètement.

Mi_switch#sh running-config interface gigabitEthernet 1/0/17

Building configuration...

Current configuration : 203 bytes
 !
 interface GigabitEthernet1/0/17
 description Conexion-VLAN10-DMZ
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 38
 switchport trunk allowed vlan 10,38
 switchport mode trunk
 end

Et connaître l'état d'une certaine interface:

Mi_switch# sh interfaces gigabitEthernet 1/0/17 status

Port      Name               Status       Vlan       Duplex  Speed Type
 Gi1/0/17  Conexion-VLAN10-DM connected    trunk      a-full  a-100
 10/100/1000BaseTX

Mi_Switch #sh interfaces gi 1/0/17 capabilities

GigabitEthernet1/0/17
 Model:                 WS-C3750G-48TS
 Type:                  10/100/1000BaseTX
 Speed:                 10,100,1000,auto
 Duplex:                half,full,auto
 Trunk encap. type:     802.1Q,ISL
 Trunk mode:            on,off,desirable,nonegotiate
 Channel:               yes
 Broadcast suppression: percentage(0-100)
 Flowcontrol:           rx-(off,on,desired),tx-(none)
 Fast Start:            yes
 QoS scheduling:        rx-(not configurable on per port basis),tx-(4q2t)
 CoS rewrite:           yes
 ToS rewrite:           yes
 UDLD:                  yes
 Inline power:          no
 SPAN:                  source/destination
 PortSecure:            yes
 Dot1x:                 yes

Mi_Switch #sh interfaces gigabitEthernet 1/0/17 switchport
Name: Gi1/0/17
 Switchport: Enabled
 Administrative Mode: trunk
 Operational Mode: trunk
 Administrative Trunking Encapsulation: dot1q
 Operational Trunking Encapsulation: dot1q
 Negotiation of Trunking: On
 Access Mode VLAN: 1 (default)
 Trunking Native Mode VLAN: 35 (Server)
 Administrative Native VLAN tagging: enabled
 Voice VLAN: none
 Administrative private-vlan host-association: none
 Administrative private-vlan mapping: none
 Administrative private-vlan trunk native VLAN: none
 Administrative private-vlan trunk Native VLAN tagging: enabled
 Administrative private-vlan trunk encapsulation: dot1q
 Administrative private-vlan trunk normal VLANs: none
 Administrative private-vlan trunk private VLANs: none
 Operational private-vlan: none
 Trunking VLANs Enabled: 10,35
 Pruning VLANs Enabled: 2-1001
 Capture Mode Disabled
 Capture VLANs Allowed: ALL

Mi_Switch #sh interfaces gigabitEthernet 1/0/17

GigabitEthernet1/0/17 is up, line protocol is up (connected)
 Hardware is Gigabit Ethernet, address is 001d.15ad.b291 (bia 001d.15ad.b291)
 Description: Conexion-VLAN10
 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
 reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 Keepalive set (10 sec)
 Full-duplex, 100Mb/s, media type is 10/100/1000BaseTX
 input flow-control is off, output flow-control is unsupported
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input 00:00:00, output 00:00:03, output hang never
 Last clearing of "show interface" counters 3w0d
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 1000 bits/sec, 1 packets/sec
 5 minute output rate 1000 bits/sec, 1 packets/sec
 2758473 packets input, 284092943 bytes, 0 no buffer
 Received 2174449 broadcasts (0 multicasts)
 0 runts, 0 giants, 0 throttles
 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
 0 watchdog, 1958590 multicast, 0 pause input
 0 input packets with dribble condition detected
 1493558 packets output, 184046439 bytes, 0 underruns
 0 output errors, 0 collisions, 0 interface resets
 0 babbles, 0 late collision, 0 deferred
 0 lost carrier, 0 no carrier, 0 PAUSE output
 0 output buffer failures, 0 output buffers swapped out

Mi_Switch #sh controllers ethernet-controller gigabitEthernet 1/0/17

Transmit GigabitEthernet1/0/17           Receive
 184901883 Bytes                        284244290 Bytes
 587326 Unicast frames                  584175 Unicast frames
 98841 Multicast frames               1959251 Multicast frames
 811732 Broadcast frames                215803 Broadcast frames
 0 Too old frames               110978897 Unicast bytes
 0 Deferred frames              146977335 Multicast bytes
 0 MTU exceeded frames           20946961 Broadcast bytes
 0 1 collision frames                   0 Alignment errors
 0 2 collision frames                   1 FCS errors
 0 3 collision frames                   0 Oversize frames
 0 4 collision frames                   0 Undersize frames
 0 5 collision frames                   0 Collision fragments
 0 6 collision frames
 0 7 collision frames              420565 Minimum size frames
 0 8 collision frames             1968394 65 to 127 byte frames
 0 9 collision frames              145235 128 to 255 byte frames
 0 10 collision frames             224548 256 to 511 byte frames
 0 11 collision frames                248 512 to 1023 byte frames
 0 12 collision frames                240 1024 to 1518 byte frames
 0 13 collision frames                  0 Overrun frames
 0 14 collision frames                  0 Pause frames
 0 15 collision frames
 0 Excessive collisions                 0 Symbol error frames
 0 Late collisions                      0 Invalid frames, too large
 0 VLAN discard frames                  0 Valid frames, too large
 0 Excess defer frames                  0 Invalid frames, too small
 744191 64 byte frames                       0 Valid frames, too small
 433315 127 byte frames
 106126 255 byte frames                      0 Too old frames
 213518 511 byte frames                      0 Valid oversize frames
 570 1023 byte frames                     0 System FCS error frames
 179 1518 byte frames                     0 RxPortFifoFull drop frame
 0 Too large frames
 0 Good (1 coll) frames
 0 Good (>1 coll) frames

Nous vérifions si nous avons activé le protocole Spanning Tree, très important et intéressant pour éviter les boucles au sein de notre réseau, contrôlant la dégradation ou même dans le pire des cas la chute complète.

Mi_Switch #sh spanning-tree summary

Switch is in rapid-pvst mode
 Root bridge for: VLAN0001, VLAN0020
 Extended system ID           is enabled
 Portfast Default             is disabled
 PortFast BPDU Guard Default  is disabled
 Portfast BPDU Filter Default is disabled
 Loopguard Default            is disabled
 EtherChannel misconfig guard is enabled
 UplinkFast                   is disabled
 Stack port is StackPort1
 BackboneFast                 is disabled
 Configured Pathcost method used is short

Name                   Blocking Listening Learning Forwarding STP Active
 ---------------------- -------- --------- -------- ---------- ----------
 VLAN0001                     0         0        0         12         12
 VLAN0020                     0         0        0         21         21
 ...........................

Ici nous devons nous arrêter un instant pour en savoir un peu plus sur ce que sont les VLANs. C'est un concept qui nous permettra de séparer logiquement les réseaux au sein du même commutateur physique. Est-ce que nous nous souvenons des domaines de diffusion? Cela nous permettra de les séparer avec l'avantage de contribuer non seulement au trafic non généré, mais également de séparer complètement les réseaux avec les avantages de contrôle que cela implique.

Lorsque nous définissons des interfaces dans un VLAN, nous n’auront que de la visibilité entre elles. Mais voici le concept du mode trunk, dans lequel une interface configurée sous ce mode pourra transporter plusieurs VLANs. Dans un port défini de cette manière, nous seront en mesure de définir s'il y aura une visibilité sur tous les VLANs que nous avons définies dans le commutateur, ou uniquement sur celles qui nous intéressent, en plus d'indiquer laquelle fonctionne de manière native .

Si nous avons plusieurs commutateurs connectés les uns aux autres, nous pouvons utiliser le protocole VTP (VLAN Trunking Protocol) qui nous permettra de gérer efficacement les VLANs.

Pour commenter de manière résumée cette partie du VTP, on peut dire qu’elle pourra travailler sous 3 modes différents: serveur, client et transparent.

Nous devrons donc les configurer sur le même domaine et nous aurons toujours au moins un serveur qui gérera le noyau. Si nous apportons des modifications aux VLANs, celles-ci sont distribuées au reste des commutateurs situés dans le même domaine.

Ensuite, nous aurons des commutateurs avec VTP en mode client qui collecteront automatiquement toutes les modifications et sur lesquelles aucun changement ne peut être apporté.

Et enfin, le mode transparent, dans lequel vous ne pouvez pas créer ou modifier de VLANs affectant le reste de l’électronique mais pouvant générer des VLANs localement.

VTP peut fonctionner sans mot de passe, il est donc facile de comettre une erreur, c'est pourquoi il est fortement recommandé d'attribuer un mot de passe.

Voyons maintenant si nous l'avons activé:

Mi_switch# sh vtp status
VTP Version                     : 2
 Configuration Revision          : 35
 Maximum VLANs supported locally : 1005
 Number of existing VLANs        : 23
 VTP Operating Mode              : Server
 VTP Domain Name                 : Nuestro_Dominio
 VTP Pruning Mode                : Disabled
 VTP V2 Mode                     : Disabled
 VTP Traps Generation            : Disabled
 MD5 digest                      : 0x87 0xD0 0xAF 0x7A 0xC8 0xBA 0x5C 0x69
 Configuration last modified by 10.100.X.2 at 5-12-11 23:47:10
 Local updater ID is 10.100.X.253 on interface Vl10 (lowest numbered VLAN
 interface found)

Si nous voulons configurer le VTP:

Mi_switch#vlan database
 Mi_switch#vtp domain nombre_dominio
 Mi_switch#vtp (client | server | transparent)
 Mi_switch#exit

Otra forma de hacer lo mismo prodría ser :

Mi_switch# vtp ?
domain     Set the name of the VTP administrative domain.
 file       Configure IFS filesystem file where VTP configuration is stored.
 interface  Configure interface as the preferred source for the VTP IP updater
 address.
 mode       Configure VTP device mode
 password   Set the password for the VTP administrative domain
 pruning    Set the adminstrative domain to permit pruning
 version    Set the adminstrative domain to VTP version

Voyons maintenant les VLANs que nous avons définies et les ports attribués pour chacune d’elles:

Mi_switch# sh vlan

VLAN Name                             Status    Ports
 ---- -------------------------------- --------- -------------------------------
 1    default                          active    Gi1/0/49, Gi1/0/50
 10   Gestion                          active    Gi1/0/14, Gi1/0/21, Gi1/0/41

Entrons dans le détail d'une des VLANs:

#sh vlan id 10

VLAN Name                             Status    Ports
 ---- -------------------------------- --------- -------------------------------
 10   Gestion                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
 10   enet  100010     1500  -      -      -        -    -        0      0

Remote SPAN VLAN
 ----------------
 Disabled

Primary Secondary Type              Ports
 ------- --------- ----------------- ------------------------------------------

Si maintenant nous voulons voir tous les ports définis en mode trunk:

Mi_Switch#sh interfaces trunk

Port        Mode         Encapsulation  Status        Native vlan
 Gi1/0/2     on           802.1q         trunking      1
 Gi1/0/3     on           802.1q         trunking      1
 Gi1/0/4     on           802.1q         trunking      1
 .................
 Port        Vlans allowed on trunk
 Gi1/0/2     1-4094
 Gi1/0/3     1-4094
 ...................
 Port        Vlans allowed and active in management domain
 Gi1/0/2     1,10,30-33,37-42
 Gi1/0/3     1,10,100-101,104
 ...................

Nous voyons que pour le trunking nous utilisons le protocole IEEE 802.1Q, également connu comme dot1Q.

Voyons la configuration trunk définie dans l'une des interfaces

Mi_Switch# sh interfaces gigabitEthernet 1/0/17 trunk

Port        Mode         Encapsulation  Status        Native vlan
 Gi1/0/17    on           802.1q         trunking      38

Port        Vlans allowed on trunk
 Gi1/0/17    10,38

Port        Vlans allowed and active in management domain
 Gi1/0/17    10,38

Port        Vlans in spanning tree forwarding state and not pruned
 Gi1/0/17    10,38

Maintenant que nous savons plus sur les VLANs, mettons tout en place et jouons un peu avec les interfaces et les VLANs.

Nous allons générer un VLAN de départ, puis nous assignerons une interface ou un rang entre elles.

Nous pouvons le faire à l'ancienne, et grâce au message affiché nous constatons déjà que ce n’est pas recommandé.

Mi_Switch#vlan database
% Warning: It is recommended to configure VLAN from config mode,
 as VLAN database mode is being deprecated. Please consult user
 documentation for configuring VTP/VLAN in config mode.

Mi_Switch(vlan)#vlan 2 name gestion
Mi_Switch(vlan)#exit
APPLY completed.
 Exiting....

Ou en mode de configuration, c'est ce qui est mieux recommandé.

Mi_Switch#configure terminal
Mi_Switch(config)#interface vlan 2
Mi_Switch(config)#exit

Nous pouvons utiliser cette VLAN comme celle de gestion et attribuer une adresse pour pouvoir nous connecter à une session à distance.

Nous configurons le LP dans la VLAN:

Mi_Switch#configure terminal
Mi_Switch(config)#interface Vlan10
Mi_Switch(config)#ip address 10.100.5.250 255.255.255.0
Mi_Switch(config)#no ip route-cache
Mi_Switch(config)#exit
Mi_Switch#

Maintenant, vérifions ce que nous avons fait:

Mi_Switch#show ip interface brief
Interface              IP-Address     OK? Method Status                Protocol
 .........
 Vlan10                 10.100.5.250   YES NVRAM  up                    up
 ......

Ou de la même manière:

Mi_Switch#show running-config interface vlan 10

Building configuration...

Current configuration : 89 bytes
 !
 interface Vlan10
 description VLAN Gestion
 ip address 10.100.5.250 255.255.255.0
 end

Si nous extrayons maintenant la liste des VLANs, nous avons généré:

Mi_Switch#sh vlan

VLAN Name                             Status    Ports
 ---- -------------------------------- --------- -------------------------------
 10   Gestion                          active

Mi_Switch#sh protocols
Global values:
 Internet Protocol routing is enabled
 Vlan10 is up, line protocol is up

Ceci dit, nous allons maintenant mettre une interface ou une série d'interfaces dans cette VLAN.

Mi_Switch#configure t

Choisissons une seule interface:

Mi_Switch (config)#interface gigabitEthernet 1/0/1

Ou un rang d'elles:

Mi_Switch#interface range gigabitEthernet 1/0/1-5

Et au sein de la VLAN...

Mi_Switch (config-if)#description Gestion
 Mi_Switch (config-if)#switchport access vlan 10
 Mi_Switch (config-if)#switchport mode access

Si nous récuperons le détail de la VLAN:

Mi_Switch#sh vlan id 10

VLAN Name                             Status    Ports
 ---- -------------------------------- --------- -------------------------------
 10   Gestion                          active    Gi1/0/1

Nous voyons que nous avons une interface associée à cette VLAN.

Définissons maintenant une interface en mode trunk:

Mi_Switch# configure terminal
 Mi_Switch (config-if)#description Conexion SW_01 (Gi 0/1)
 Mi_Switch (config-if)#switchport trunk encapsulation dot1q
 Mi_Switch (config-if)#switchport mode trunk
 Mi_Switch (config-if)#exit
 Mi_Switch#

Comme nous l'avons déjà mentionné, au cas où nous voudrions annuler ce que nous venons de faire, nous plaçons le mot "no" dans la même configuration.

Mi_Switch# configure terminal
Mi_Switch (config-if)#no description Conexion SW_01 (Gi 0/1)
Mi_Switch (config-if)#no switchport trunk encapsulation dot1q
Mi_Switch (config-if)#no switchport mode trunk
Mi_Switch (config-if)#exit

Mi_Switch#sh interfaces gigabitEthernet 1/0/1 trunk

Port        Mode         Encapsulation  Status        Native vlan
 Gi1/0/1     on           802.1q         trunking      1

Désactivons maintenant l'une des interfaces:

Mi_Switch# configure terminal
Mi_Switch (config-if)#shutdown

Et pour la remettre en marche :

Mi_Switch (config-if)#no shutdown

Nous avons discuté que les VLANs ne vont pas se voir entre elles, mais si nous avons un commutateur qui fonctionne dans la couche 3, nous pouvons également jouer avec cela. Normalement nous élevons le Trunk sur un routeur ou un pare-feu et nous jouons à ce point là, mais nous pouvons aussi le faire sur le commutateur lui-même.

Générons une règle:

Mi_Switch#configure terminal
Mi_Switch#(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 172.10.1.0 0.0.0.255
Mi_Switch#(config)#access-list 101 permit ip 172.16.1.0 0.0.0.255 any

Et on l'applique à la VLAN :

Mi_Switch#configure terminal
Mi_Switch (config)#interface vlan 10
Mi_Switch (config-if)#ip access-group 101 in
Mi_Switch (config-if)#exit

Nous pouvons même vérifier quand les VLANs ont été modifiées pour la dernière fois en vérifiant la date du fichier suivant:

Mi_Switch#sh flash

Directory of flash:/

3  -rwx       15726  Jul 12 1993 04:58:18 +02:00  config.text
 4  -rwx        1636  May 13 2010 01:47:10 +02:00  vlan.dat
 ......

Profitons que nous avons appris d'autres choses pour voir comment la configuration de notre Cisco Catalyst affecte la configuration d'un Team (rassembler des cartes réseau).

Nous pourrions par exemple avoir un serveur avec 2 cartes réseau avec lequel générer un Team, mais en mode actif-passif, avec lequel nous voulons seulement fournir une redondance à l'équipe en cas de chute d'une des cartes. Dans ce cas, il n’est pas nécessaire d’effectuer un quelconque type de configuration dans le commutateur, car nous allons seulement avoir une seule carte surélevée qui envoie sur le MAC.

Mais si, en plus de cette redondance, nous voulons ajouter de la capacité, alors nous pouvons effectuer ce que l’on appelle une agrégation de ports (Lynk Agregation) avec laquelle on additionne la vitesse de chacune des cartes. En rassamblant les deux cartes, un seul Mac est affecté à ce groupe, de telle sorte que si nous ne disons rien au commutateur, il obtiendra le même MAC via 2 ports différents.

Voyons voir comment nous arrangeons cela.

Tout d'abord, nous configurons EtherChannel:

Mi_Switch# conf t
 Mi_Switch (config)#interface Port-channel1
 Mi_Switch (config-if)# description Etherchannel Team Servidor1
 Mi_Switch (config-if)# switchport access vlan 12
 Mi_Switch (config-if)# switchport trunk encapsulation dot1q
 Mi_Switch (config-if)# switchport trunk native vlan 12
 Mi_Switch (config-if)# switchport trunk allowed vlan 12
 Mi_Switch (config-if)# switchport mode trunk
 Mi_Switch (config-if)# spanning-tree portfast
 Mi_Switch (config-if)# spanning-tree bpduguard enable
 Mi_Switch (config-if)#end
 Mi_Switch#

Et maintenant nous configurons les 2 ports qui participeront à l'agrégation:

Mi_Switch# conf t
 Mi_Switch (config)#interface GigabitEthernet1/0/1
 Mi_Switch (config-if)# description Servidor tarjeta 1
 Mi_Switch (config-if)# switchport access vlan 12
 Mi_Switch (config-if)# switchport trunk encapsulation dot1q
 Mi_Switch (config-if)# switchport trunk native vlan 12
 Mi_Switch (config-if)# switchport trunk allowed vlan 12
 Mi_Switch (config-if)# switchport mode trunk
 Mi_Switch (config-if)# channel-group 1 mode active
 Mi_Switch (config-if)# end
 Mi_Switch #

Mi_Switch# conf t
 Mi_Switch (config)#interface GigabitEthernet1/0/2
 Mi_Switch (config-if)# description Servidor tarjeta 2
 Mi_Switch (config-if)# switchport access vlan 12
 Mi_Switch (config-if)# switchport trunk encapsulation dot1q
 Mi_Switch (config-if)# switchport trunk native vlan 12
 Mi_Switch (config-if)# switchport trunk allowed vlan 12
 Mi_Switch (config-if)# switchport mode trunk
 Mi_Switch (config-if)# channel-group 1 mode active
 Mi_Switch (config-if)# end
 Mi_Switch #

Nous aurions pu forcer les vitesses des ports de la manière suivante:

Mi_Switch (config-if)# speed 1000
Mi_Switch (config-if)# duplex full

Et maintenant, nous vérifions ce que nous avons fait:

Mi_Switch #show etherchannel 1 summary

Flags:  D - down        P - in port-channel
 I - stand-alone s - suspended
 H - Hot-standby (LACP only)
 R - Layer3      S - Layer2
 U - in use      f - failed to allocate aggregator
 u - unsuitable for bundling
 w - waiting to be aggregated
 d - default port

Number of channel-groups in use: 2
 Number of aggregators:           2

Group  Port-channel  Protocol    Ports
 ------+-------------+-----------+-----------------------------------------------
 1      Po2(SU)         LACP      Gi1/0/1(P) Gi2/0/2(P)

Maintenant, nous allons voir comment nous pouvons faire un peu de débogage et de surveillance pour garder notre Catalyseur aussi lbre d'erreurs que possible.

Si nous sommes connectés via une session telnet ou ssh, nous souhaitons que vous nous montriez les messages qui par défaut sont transmis via la console:

Mi_Switch#term mon

Pour le désactiver :

Mi_Switch#term no mon

Nous pouvons vérifier si nous avons un débogage activé:

Mi_Switch#sh debugging

Condition 1: interface Gi1/0/14 (1 flags triggered)
 Flags: Gi1/0/14

Et nous pouvons l'activer si nous voulons voir en détail ou bien fournir une solution à un problème:

Mi_Switch#debug ?
aaa                 AAA Authentication, Authorization and Accounting
 adjacency           adjacency
 all                 Enable all debugging
 archive             debug archive commands
 arp                 IP ARP and HP Probe transactions
 auto                Debug Automation
 backup              Switch Backup Interface debugging
 ...........

Si nous voulons désactiver tous les débogage appliqués:

Mi_Switch#no debug all

En tant que surveillance, il peut être intéressant d'activer le protocole snmp afin de se connecter à un système de surveillance à distance qui transmettra certaines informations telles que l'état des interfaces, la consommation, etc.

Nous ne l'activerons qu'en mode lecture seulement.

Mi_Switch#snmp-server community password_aqui RO

En outre à des fins de surveillance, il est intéressant d'activer le syslog pour signaler certains événements à un foyer syslog, de sorte que vous pouvez afficher des informations d'une manière simple et centralisée.

Mi_Switch#Logging on
Mi_Switch#logging trap warnings (o loq ue queramos)
Mi_Switch#Logging Facility Local7
Mi_Switch#Logging IP_Syslog_server

Voyons la configuration:

Mi_Switch#sh logging
Syslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes,
 0 overruns, xml disabled, filtering disabled)
 Console logging: level debugging, 641452 messages logged, xml disabled,
 filtering disabled
 Monitor logging: level debugging, 175 messages logged, xml disabled,
 filtering disabled
 Logging to: vty1(0)
 Buffer logging: level debugging, 641452 messages logged, xml disabled,
 filtering disabled
 Exception Logging: size (4096 bytes)
 Count and timestamp logging messages: disabled
 File logging: disabled
 Trap logging: level informational, 641462 message lines logged
 Logging to 10.100.1.10, 5305 message lines logged, xml disabled,
 filtering disabled

Log Buffer (64000 bytes):

Si vous voulez voir la table de routage:

Mi_Switch#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
 E1 - OSPF external type 1, E2 - OSPF external type 2
 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
 ia - IS-IS inter area, * - candidate default, U - per-user static route
 o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.200.6.254 to network 0.0.0.0

172.39.0.0/24 is subnetted, 2 subnets
 C       172.31.100.0 is directly connected, Vlan100
 C       172.31.104.0 is directly connected, Vlan104
 10.0.0.0/24 is subnetted, 2 subnets
 C       10.200.6.0 is directly connected, Vlan10
 C       10.200.4.0 is directly connected, Vlan33
 S*   0.0.0.0/0 [1/0] via 10.100.5.1 Asignar una ruta por defecto: 

Nous pouvons définir la route par défaut:

Mi_Switch#ip default-gateway 172.20.139.129

Ou la table ARP :

Mi_Switch#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
 Internet  100.30.104.219         11   002e.4562.908f  ARPA   Vlan20
 Internet  100.30.104.223          8   002e.4562.a948  ARPA   Vlan20
 Internet  100.30.104.222          0   002e.4562.7a7e  ARPA   Vlan20
 Internet  100.30.104.221         13   002e.4562.94e6  ARPA   Vlan20 Y para borrar la tabla arp : 
Mi_Switch#clear arp

Remarquez que dans les réseaux commutés, "vous ne pouvez pas" placer gaiement un Sniffer. Si nous avons accès au commutateur, nous pouvons faire de la mise en miroir des ports pour envoyer une copie de tout ce qui passe par un certain port, une plage ou un vlan vers un autre port et rester à l'écoute.

Mi_Switch (config)# monitor session 1 source interface Gi1/0/1
 Mi_Switch (config)# monitor session 1 destination interface Gi1/0/24

Mi_Swtich#show monitor detail

Session 1
 ---------
 Type              : Local Session
 Source Ports      :
 RX Only       : Non
 ................

our vérifier les erreurs en cas de chute du commutateur et voir ce qui aurait pu se passer, nous avons également l'option:

Mi_Switch# sh stacks

Interrupt level stacks:
Level    Called Unused/Size  Name
 4  2394549592   8332/9000  NETWORK INTERFACE CHIP
 5           0   9000/9000  SUPERVISOR EXCEPTIONS
 6  2759114589   8908/9000  NS16550 VECTOR
 ..............................

Nous pouvons même activer un serveur DHCP:

My_Switch(config)#service dhcp
My_Switch(config)#ip dhcp excluded-address 10.100.1.1 10.100.1.10
My_Switch(config)#ip dhcp pool LAN_To
My_Switch(DHCP-config)#network 10.100.1.0 255.255.255.0
My_Switch(DHCP-config)#default-router 10.100.1.1
My_Switch(DHCP-config)#lease 10
My_Switch(DHCP-config)#dns-server 10.100.1.2

En ce qui concerne la sécurité des ports, nous pouvons utiliser le Port-Security, par exemple pour contrôler les équipements pouvant être connectés à certains ports.

Mi_Switch(config-if)#switchport port-security ?
aging        Port-security aging commands
 mac-address  Secure mac address
 maximum      Max secure addresses
 violation    Security violation mode
 <cr>

Nous l'activons sur une certaine interface:

Mi_Switch(config-if)#switchport port-security

Désormais, seul le MAC connecté peut être joint via ce port, mais nous pourrions lui indiquer de nouveaux MACs.

Mi_Switch(config-if)#switchport port-security mac-address

Et déterminer l'action qui sera prise en cas de violation

Mi_Switch(config-if)#switchport port-security violation [shutdown restrict protect]

Et enfin, vérifier si nous l’avons appliqué dans n’importe quel port:

Mi_Switch# sh port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
 (Count)       (Count)          (Count)
---------------------------------------------------------------------------
 ---------------------------------------------------------------------------
 Total Addresses in System (excluding one mac per port)     : 0
 Max Addresses limit in System (excluding one mac per port) : 6144

Voyons maintenant comment activer l'accès via ssh que nous avons précédemment commenté.

Si l'IOS installé ne supporte pas le cryto, pour nous connecter par ssh:

Mi_Switch#show ip ssh
^
% Invalid input detected at '^' marker.

Nous devons rechercher une IOS mise à jour qui correspond à notre modèle et à l'assistance pour actualiser notre commutateur.

Tout d’abord, nous devons vérifier si nous avons 2 commutateurs en mode stack, car nous devons mettre à jour les deux commutateurs.

Mi_Switch #sh switch
Switch/Stack Mac Address : 001e.14xx.b280
H/W   Current
Switch#  Role   Mac Address     Priority Version  State
----------------------------------------------------------
*1       Master 001e.14xx.b280     15     0       Ready
2       Member 001e.14bb.5f80     1      0       Ready

Et faire une copie des fichiers que nous avons actuellement et qui nous intéressent.

Nous pouvons utiliser les commandes suivantes pour obtenir cette information:

Mi_Switch# sh boot
BOOT path-list : flash:c3560-ipbase-mz.122-35.SE5/c3560-ipbase-mz.122-35.SE5.bin
Config file : flash:/config.text
Private Config file : flash:/private-config.text
Enable Break : no
Manual Boot : no
HELPER path-list :
Auto upgrade : yes
Auto upgrade path :

Mi_Switch#show flash

Directory of flash:/

    2  -rwx        1636  Jun 18 1993 04:13:23 +02:00  vlan.dat
    3  -rwx           5  Jul 14 1993 20:16:30 +02:00  private-config.text
    5  drwx         192   Mar 1 1993 01:07:18 +01:00  c3560-ipbase-mz.122-35.SE5
  463  -rwx        7289  Jul 14 1993 20:16:30 +02:00  config.text

32514048 bytes total (23451136 bytes free)

dir flash1:

Comme nous devons copier cette information, il est intéressant de vérifier les différentes options pour pouvoir le faire. Il est intéressant d’avoir un serveur TFTP installé sur notre ordinateur pour effectuer ce processus:

 Mi_Switch#copy flash:c3560-ipbase-mz.122-35.SE5 ?
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  http:           Copy to http: file system
  null:           Copy to null: file system
  nvram:          Copy to nvram: file system
  rcp:            Copy to rcp: file system
  running-config  Update (merge with) current system configuration
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system
  vb:             Copy to vb: file system

Mi_Switch#copy flash:c3560-ipbase-mz.122-35.SE5 tftp
Mi_Switch#copy flash:config.text tftp

Vérifions la quantité de mémoire flash disponible:

Mi_Switch# sh flash

..32514048 bytes total (23451136 bytes free)

Si nous avons des problèmes d'espace pour charger le nouvel IOS, nous devons supprimer l'ancien.

Mi_Switch#delete /r/f flash:c3560-ipbase-mz.122-35.SE5

On copie le nouvel IOS:

# copy tftp flash1
>Address or name of remote host? 192.168.1.10
>source filename? c3750-ipbasek9-mz-122-55.SE1.bin
>Destination filename? c3750-ipbasek9-mz-122-55.SE1.bin

Si au lieu d'un fichier bin, nous travaillons avec un tar, nous pouvons le faire de la manière suivante:

Mi_Switch#archive tar /xtract tftp://10.100.1.10/c3560-ixqXXX-tar.XXX-XXEAXXa.tar flash:

Et maintenant, vous devez vérifier la copie pour vous assurer de qu'elle a été téléchargée correctement.

Mi_Switch#verify /md5 flash1:c3750-ipbasek9-mz-122-55.SE1.bin

Il est maintenant temps de lui dire quelle est l’IOS avec laquelle il doit démarrer notre Catalyst.

Mi_Switch#show boot
BOOT path-list : flash:c3750-ipbase-mz.122-35.XXX/c3750-ipbase-mz.122-35.XX5.bin
 Config file : flash:/config.text
 Private Config file : flash:/private-config.text
 Enable Break : no
 Manual Boot : no
 HELPER path-list :
 Auto upgrade : yes
 Auto upgrade path :
 -------------------
 Switch 2
 -------------------
 BOOT path-list : flash:c3750-ipbase-mz.122-35.XXX/c3750-ipbase-mz.122-35.XXX.bin
 Config file : flash:/config.text
 Private Config file : flash:/private-config.text
 Enable Break : no
 Manual Boot : no
 HELPER path-list :

Auto upgrade : no
 Auto upgrade path :

Mi_Switch#boot system switch all flash:c3750-ipbasek9-mz-122-55.SE1.bin

Et enfin, il est temps de redémarrer et de croiser les doigts en attendant que la chance soit de votre côté.

Mi_Switch#reload

Une fois redémarré, il ne reste plus qu'à vérifier que la version a été correctement chargée.

Mi_Switch#sh version

Une fois que nous avons installé les nouveaux IOS qui supporte le Crypto, nous pouvons procéder à configurer le ssh:

Mi_Switch(config)#hostname nombre_host 
Mi_Switch(config)#ip domain-name dominio.com 
Mi_Switch(config)#crypto key generate rsa

The name for the keys will be: nombre_host.dominio.com Choose the size of the
key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing
a key modulus greater than 512 may take a few minutes. How many bits in the
modulus [2048]: % Generating 2048 bit RSA keys ...[OK]

Mi_Switch(config)#ip ssh time-out 20 
Mi_Switch(config)#ip ssh authentication-retries 3 
Mi_Switch(config)#username root password password

Avant de fermer l’entrée à ssh uniquement, nous la permettons toujours par telnet de vérifier que nous pouvons nous connecter.

Mi_Switch(config)#line vty 0 4
Mi_Switch(config-line)#transport input all
Mi_Switch(config-line)#login local

Et une fois vérifié que la connexion via ssh fonctionne correctement, nous la forçons uniquement via un client ssh:

Mi_Switch(config)#line vty 0 4
Mi_Switch(config-line)#transport input ssh

Pour pouvoir vérifier les paramètres:

Mi_Switch#show ip ssh

Si vous souhaitez déconnecter un utilisateur connecté par ssh:

Mi_Switch#disconnect ssh

Et enfin pour activer ssh dans la version 2

Mi_Switch(config)#ip ssh version 2

Si quelque chose ne va pas, nous avons toujours la possibilité de déboguer

Mi_Switch#debug ip ssh

Au revoir, en remerciant à tous les lecteurs et en espérant que le document n'aie pas été trop lourd.

Merci à tous.

 

Publié par: Igor Urraza / Version originale en espagnol

Commentaires
RandallMarvin
Beginner
Beginner

The Cisco IOS command-line interface CLI is the primary user interface used for configuring, monitoring, and maintaining Cisco devices. this user interface allows you to directly and simply execute Cisco IOS commands, whether using a router console or terminal, or using remote access.

 

MyLifeTouch Login

Jimena Saez
Community Manager
Community Manager

Thanks for your comment @RandallMarvin ! Welcome to the Cisco Community

Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :

Reconnaître d'autres membres