Accueil CCNP Route CCNP Switch CCNP Tshoot CCNA Voice Asterisk Sécurité

Guides de Configuration À Propos

Accueil › Guides de Configuration › Cisco › Switch › Guide de Configuration – Cisco – Switch

Guide de Configuration – Cisco –

Switch
Posté le 4 novembre 2015 par Valentin Weber — 2 commentaires ↓

Dans cet article, vous retrouverez une liste de commande de configuration des Switchs Cisco.

Quelques rapides explications seront données.

Configuration de base

Entrer et sortir du mode de configuration

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#

Switch(config)#exit
Switch#

Sauvegarder la configuration
Switch#copy running-config startup-config

Ou
Switch#write memory

Afficher la configuration
Switch#show running-config

Redémarrer
Switch#reload ?
LINE Reason for reload
at Reload at a specific time/date
cancel Cancel pending reload
in Reload after a time interval
<cr>

Hostname
Switch(config)#hostname <hostname>

Utilisateur et mot de passe

Switch(config)#username <utilisateur> privilege 15 secret <MDP>

SSH / Telnet
Switch(config)#ip domain-name [Link]

Switch(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024

Switch(config)#ip ssh version 2

Switch(config)#ip ssh authentication-retries 3
Switch(config)#ip ssh time-out 120
 Switch(config)#line vty 0 15
Switch(config-line)#transport input none
Switch(config-line)#transport input ssh

L’activation du Telnet se fait comme ceci :

Switch(config-line)#transport input telnet

Switch#show ip ssh

Accès distant
Switch(config)#line vty 0 15
Switch(config-line)#login local
Switch(config-line)#password <MDP>
Switch(config-line)#login
Switch(config-line)#session-timeout 5

Accès console
Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#password <MDP>
Switch(config-line)#login
Switch(config-line)#session-timeout 5
Switch(config-line)#speed 9600

Accès WEB
Switch(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024

Switch(config)#ip http secure server

Switch(config)#no ip http server
Switch(config)#ip http authentication local
Switch(config)#ip http timeout-policy idle 600
 Switch#show ip http server all
Switch#show ip http client all

FTP
Les équipements Cisco peuvent agir en client FTP.

Switch#copy ftp:<URL source> flash:<répertoire de déstination>

Address or name of remote host []? <IP>
Destination filename [[Link]]?

Bannière
Il existe deux types de bannière :

La banner MOTD
La banner Login

La banner MOTD est affichée à chaque connexion à l’équipement (SSH, Telnet, Console). La banner Login est
affichée si un identifiant est demandé.

Switch(config)#banner motd #
***************************************************
* NL Domain *
* Unauthorized Access Prohibited! *
***************************************************
#

Switch(config)#banner login #
***************************************************
* NL Domain *
* Unauthorized Access Prohibited! *
***************************************************
#

AAA Radius

Activation du AAA
 Switch(config)#aaa new-model

Configuration de l’IP du serveur Radius.

Switch(config)#radius-server host <IP_Serveur_Radius> auth-port 1812 acct-port 1813 key

<MDP>

Création d’un mode nommé Default qui utilise d’abord le Radius et sinon l’authentification locale.

Switch(config)#aaa authentication login default group radius local

Activation du mode Default pour les connexions distantes.

Switch(config)#line vty 0 15
Switch(config-line)#login authentication default

Vérifications.

Switch#show aaa servers

Switch#show radius statistics

AAA TACACS+

Activation du AAA.

Switch(config)#aaa new-model

Configuration de l’IP du serveur TACACS+.

Switch(config)#tacacs-server host <IP_serveur_TACACS> key <MDP>

Création d’un mode nommé Default qui utilise d’abord le TACACS+ et sinon l’authentification locale.
 Switch(config)#aaa authentication login default group tacacs+

Activation du mode Default pour les connexions distantes.

Switch(config)#line vty 0 15
Switch(config-line)#login authentication default

Vérifications.

Switch#show tacacs

Configuration d’un port

Activation / Désactivation
Switch(config)#interface GigabitEthernet 1/0/1
Switch(config-if)#no shutdown
Switch(config-if)#shutdown

Description
Switch(config)#interface GigabitEthernet 1/0/1
Switch(config-if)#description Vers Switch 2

Vitesse et Duplex
Switch(config)#interface GigabitEthernet 1/0/1
Switch(config-if)#speed auto
Switch(config-if)#duplex auto

Storm Control
Le Storm Control est une fonctionnalité qui permet de limiter les tempêtes.
Le Storm Control peut s’appliquer au trafic de Broadcast, Multicast et Unicast.

On peut définir un seuil haut et un seuil bas qui définissent un taux maximum et minimum de paquet par seconde
pour le port donné.

On peut définir deux actions : bloquer le port ou bloquer le type de trafic.

Quand le seuil Max-Packet est dépassé pour le type de trafic choisi, l’action définie est appliquée. Quand le taux
de trafic repasse sous la barre du Min-Packet, l’action est annulée.

Exemple pour la configuration suivante :

Max-Packet : 30%
Min-Packet : 5%
Type de trafic : broadcast
Action : block

Si le taux de broadcast sur le port dépasse 30% de la capacité du port, le trafic de broadcast est bloqué tant que
le taux ne repasse pas sous les 5%.

Switch(config-if)#storm-control broadcast level 20 15

Switch(config-if)#storm-control multicast level 20 15

Par défaut, quand le seuil haut est dépassé, le trafic en question est dropé jusqu’à ce que le taux de trafic
repasse sous le seuil bas.

Sinon, il est possible de configurer le switch pour qu’il mette le port en err-disable le temps de la tempête ou qu’il
envoie une trap.

Switch(config-if)#storm-control action [shutdown / trap]

Sécurité de port

Article sur la sécurité de niveau 2 :

[Link]

Activation
La sécurité de port est un mécanisme très simple, mais qui peut éviter bien des problèmes.
Elle permet de limiter le nombre d’adresse Mac derrière un port.

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Nombre maximum d’adresse MAC

Switch(config-if)#switchport port-security maximum 10

Il est important de bien choisir le nombre maximum d’adresses Mac autorisées.

Ni trop, ni pas assez.

Mode de gestion des adresses

Il y a trois options de gestion des adresses MAC :

Dynamic
Static
Sticky

En mode Static, nous définissons nous même les adresses Mac autorisées. Cette solution n’est pas très
évolutive, et peut être longue à configurer. L’avantage est que les adresses définies sont stockées dans la
configuration. Elles sont donc conservées en permanence.

En mode Dynamic, le switch apprend automatiquement les adresses. Il se base sur les frames reçues. Les Mac
autorisées seront donc les premières apprises. Par contre, les adresses Mac ne sont pas conservées dans la
configuration.

C’est pour cela qu’il y a l’option Sticky. Elle permet au mode Dynamic d’enregistrer les adresses. Nous les
retrouvons alors dans la configuration comme si elles avaient été configurées en Static.

Configuration Static.

Switch(config-if)#switchport port-security mac-address [Link]

Configuration Sticky.

Switch(config-if)#switchport port-security mac-address sticky

Action en cas de violation
Il existe trois modes de violation :

Shutdown: coupure du port en cas de violation, une Trap SNMP est envoyée, un log est généré et le
compteur de violation augmente
Protect: les adresses MAC en trop sont ignorées
Restrict: pareil que Protect, mais en plus une Trap SNMP est envoyée, un log est généré et le compteur
de violation augmente

La configuration se fait comme ceci :

Switch(config-if)#switchport port-security violation [shutdown / prtotect / restrict]

Recovery
Pour que le port remonte automatiquement après un shutdown, il faut ajouter l’option Errdisable Recovery.

Switch(config)#errdisable recovery cause security-violation

Switch(config)#errdisable recovery interval 60

Vieillissement des adresses MAC

Switch(config-if)#switchport port-security aging type [absolute | inactivity]
switch(config)#mac address-table aging-time 500

Il est possible de configurer le switch pour qu’il oublie les adresses MAC apprises dynamiquement au bout d’un
certain temps.

En mode Absolute, le switch oublie les adresses apprise dynamiquement une fois le timer (aging-time) écoulé.
Le mode Inactivity, fonctionne de la même manière, sauf qu’il oublie les adresses que si elles sont inactives.

Affichage des adresses MAC

Switch#show mac address-table dynamic
Switch#show mac address-table interfaces
Switch#show mac address-table static
Switch#show mac address-table
VLAN

Articles sur les VLANs :

[Link]

Création d’un VLAN

Avant de configurer des Vlans sur un switch, il faut en créer.

Switch(config)#vlan 10
Switch(config-vlan)#name Finance

Suppression d’un VLAN

Switch(config)#no vlan 10

Pour supprimer tous les Vlans, il est possible de supprimer directement le fichier qui les contient.

Il faut ensuite redémarrer le switch pour que les Vlans soient oubliés.

Switch#delete flash:[Link]

Port Access
Le passage d’un port en mode Access se fait comme ceci.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

Par défaut le port est dans le Vlan 1.

Port Trunk
En mode Trunk, il faut choisir le Vlan natif et les Vlans autorisés.

Switch(config)#interface fastEthernet 0/10

Switch(config-if)#switchport mode trunk
 Switch(config-if)#switchport trunk native vlan 666
Switch(config-if)#switchport trunk allowed vlan none
Switch(config-if)#switchport trunk allowed vlan add 10
Switch(config-if)#switchport trunk allowed vlan add 20

Il est aussi possible de choisir le mode d’encapsulation (qui souvent est en auto par défaut).

Switch(config-if)#switchport trunk encapsulation [dot1q / isl]

La bonne pratique est de désactiver le DTP sur tous les ports d’un switch.

Switch(config-if)#switchport nonegotiate

Vous perdez alors le côté Plug And Play, mais vous gagnez en sécurité.

Voice VLAN
Switch(config-if)#switchport voice vlan 20

Vérification
Switch#show vlan ?
brief VTP all VLAN status in brief
id VTP VLAN status by VLAN id
name VTP VLAN status by VLAN name
private-vlan Private VLAN information
summary VLAN summary information
<cr>

VTP – VLAN Trunking Protocol

Article sur VTP :

[Link]
Le VTP est un protocole qui peut vous faciliter la vie, comme vous faire tomber un réseau d’un seul coup.

Nous ne reviderons pas sur ses avantages et inconvénients ici.

La configuration de base est la suivante :

Switch(config)#vtp password cisco

Switch(config)#vtp mode [server / client / transparent]
Switch(config)#vtp version 2
Switch(config)#vtp domain NetworkLab

Le VTP Pruning peut être bon pour économiser de la bande passante.

Switch(config)#vtp pruning

Configuration IP

Interface VLAN
Switch(config)#interface vlan 10
Switch(config-if)#ip address [Link] [Link]

Passerelle par défaut

Switch(config)#ip default-gateway [Link]

DNS
Switch(config)#ip name-server [Link]
Switch(config)#ip domain-name [Link]
Switch(config)#ip domain-lookup
Spanning Tree

Articles sur le Spanning Tree

[Link]

Activation du Spanning Tree

Sur les switchs Cisco, le Spanning Tree est activé par défaut.

Raid-PVST
Le Rapid-PVST est un protocole Cisco qui propose de créer plusieurs instances Spanning Tree en fonction des
VLANs.

Switch(config)#spanning-tree mode rapid-pvst

Switch(config)#spanning-tree vlan 10 root primary

Switch(config)#spanning-tree vlan 20 root secondary

MSTP
Le MSTP se configure d’une manière un peu spéciale.

Switch(config)#spanning-tree mode mst

Switch(config)#spanning-tree mst configuration

Comme en STP, nous pouvons faire plusieurs instances.

Switch(config-mst)#instance 1 vlan 1 2 3 4 5
Switch(config-mst)#instance 2 vlan 6 7 8 9 10

Il est possible d’influencer l’élection du Root Bridge.

Switch(config)#spanning-tree mst 1 root primary

Port d’accès (Portfast)
Afin que les ports Access montent plus rapidement, il faut activer le mode Portfast.

Ceci n’est pas à faire que sur des ports faisant face à un switch.

Switch(config)#interface fastEthernet 0/3

Switch(config-if)#spanning-tree portfast

Coût et priorité
Switch(config)# interface GigabitEthernet 1/0/5
Switch(config-if)#spanning-tree cost <coût>
Switch(config-if)#spanning-tree vlan 10 cost <coût>
Switch(config-if)#spanning-tree vlan 10 port-priority <priorité>

Root-Guard
Switch(config)# interface GigabitEthernet 1/0/5
Switch(config-if)# spanning-tree guard root

BPDU Guard
Switch(config)# interface GigabitEthernet 1/0/5
Switch(config-if)#spanning-tree bpduguard enable

Switch(config)#errdisable recovery cause bpduguard

Switch(config)#errdisable recovery interval 400

BPDU Filter
Le BPDU Filter permet de désactiver l’envoie de BPDU sur ce port.

Par contre, si un BPDU est reçu sur ce même port, le port fera à nouveau partie du processus Spanning Tree
(Portfast sera aussi désactivé).

Switch(config)#interface fastEthernet 0/4

Switch(config-if)#spanning-tree bpdufilter enable
Loop Protection
Activation par port

Switch(config)#interface fastEthernet 0/5

Switch(config-if)# spanning-tree guard loop

Activation globale

Switch(config)# spanning-tree loopguard default

Vérification
Switch#show spanning-tree ?
active Report on active interfaces only
detail Detailed information
inconsistentports Show inconsistent ports
interface Spanning Tree interface status and configuration
mst Multiple spanning trees
summary Summary of port states
vlan VLAN Switch Spanning Trees
<cr>

Agrégation de lien

Article sur l’Etherchannel :

[Link]

L’Eterchannel ou agrégation de lien permet de combiner plusieurs liens.

Cela apporte de meilleures performances, mais aussi de la redondance.

Nous avons le choix d’utiliser PAGP, LACP, ou de se passer de la négociation.

En mode On
Sans négociation il s’agit du mode ON.
 Switch-1(config)#interface range fastEthernet 0/1 – 2
Switch-1(config-if-range)#channel-group 1 mode on

Switch-2(config)#interface range fastEthernet 0/1 - 2

Switch-2(config-if-range)#channel-group 1 mode on

En LACP
Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#channel-protocol lacp
Switch-1(config-if-range)#channel-group 1 mode [active / passive]

Switch-2(config)#interface range fastEthernet 0/1 - 2

Switch-2(config-if-range)#channel-protocol lacp
Switch-2(config-if-range)#channel-group 1 mode [active / passive]

En PAGP
Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#channel-protocol pagp
Switch-1(config-if-range)#channel-group 1 mode [desirable / auto]

Switch-2(config)#interface range fastEthernet 0/1 - 2

Switch-2(config-if-range)#channel-protocol pagp
Switch-2(config-if-range)#channel-group 1 mode [desirable / auto]

Passive correspond au mode Auto de PAGP : création d’une agrégation si le port en face est en Active.

Active correspond au mode Desirable de PAGP : création d’une agrégation si le port d’en face est en Passive
ou Active.

Etherchannel L3
Pour une agrégation de niveau 3, il faut modifier un peu la configuration précédente.

Switch-1(config)#interface range fastEthernet 0/1 - 2

Switch-1(config-if-range)#no switchport

Switch-1(config)#interface port-channel 1
Switch-1(config-if)#no switchport
Switch-1(config-if)#ip address [Link] [Link]
 Switch#show interfaces etherchannel

Redondance de passerelle (VRRP / HSRP /

GLBP)

Articles sur le Gateway Redundancy :

[Link]

HSRP
HSRP est propriétaire Cisco.

Le HSRP permet d’associer 2 routeurs, de manière à fournir de la redondance sur la passerelle.

Le deuxième routeur prendra le relai en cas de panne du premier.

Si l’on ajoute plus de routeurs au processus, ils seront en mode Listen.

La configuration se fait comme ceci.

Switch(config)#interface vlan 10
Switch(config-if)#ip address [Link] [Link]
Switch(config-if)#standby 1 ip [Link]
Switch(config-if)#standby 1 priority 150
Switch(config-if)#standby 1 preempt
Switch(config-if)#standby 1 timers msec 150 msec 600
Switch(config-if)#standby 1 authentication md5 key-string NetworkLab

Le routeur avec la priorité la plus haute gagne l’élection du routeur Active, sinon c’est la plus haute IP.

L’option Preempt permet à un routeur de reprendre son rôle quand il revient en ligne après une panne.

Il est possible de personnaliser les Timers pour plus ou moins de réactivité.

Il faut faire une configuration équivalente sur un autre routeur.

VRRP
VRRP est similaire, mais il est standard.

Il peut y avoir deux routeurs ensemble.

La configuration est de ce type :

Routeur(config)#interface vlan 10
Routeur(config-if)#ip address [Link] [Link]
Routeur(config-if)#vrrp 1 ip [Link]
Routeur(config-if)#vrrp 1 priority 150
Routeur(config-if)#vrrp 1 preempt
Routeur(config-if)#vrrp 1 timers advertise msec 150

GLBP
Le GLBP est propriétaire Cisco.

Il permet de répartir la charge.

La configuration se fait comme ceci :

Routeur(config)#interface vlan 10
Routeur(config-if)#ip address [Link] [Link]
Routeur(config-if)#glbp 1 ip [Link]
Routeur(config-if)#glbp 1 priority 150
Routeur(config-if)#glbp 1 preempt
Routeur(config-if)#glbp 1 load-balancing round-robin

La priorité permet d’influencer l’élection de l’AVG.

C’est le routeur chargé de répondre aux requêtes ARP.

La priorité ne rentre pas en ligne de compte pour la répartition de la charge.

Il suffit d’avoir une configuration de ce type (hors priorité).

La charge peut être répartie sur 4 routeurs maximum.

Access-List

ACL standard : 1-99 et 1300-1999

ACL étendue : 100 – 199 et 2000-2699

Les ACL peuvent aussi être nommées.

Switch(config)#ip access-list standard 10

Switch(config-std-nacl)#permit [Link] [Link]

Switch(config)#ip access-list extended 100

Switch(config-ext-nacl)#permit ip [Link] [Link] [Link] [Link]

Switch#show ip access-lists

NTP

Client NTP
L’option priority permet de spécifier le serveur favori.

Switch(config)#ntp server [Link] prefer

Switch(config)#ntp server [Link]
Switch(config)#clock timezone GMT+1 1
Switch(config)#ntp update-calendar

Avec authentification
Switch(config)#ntp authentication-key 1 md5 NLkey
Switch(config)#ntp authenticate
Switch(config)#ntp trusted-key 1
Vérification
Switch#show ntp status
Switch#show ntp associations
Switch#show ntp information
Switch#show ntp packets

SNMP

SNMP V1 et V2
Paramétrage des communautés.

Switch(config)#snmp-server community public ro

Switch(config)#snmp-server community private rw

Paramétrage des renseignements de l’équipement.

Switch(config)#snmp-server location IT-Room

Switch(config)#snmp-server contact Admin

Envoie des traps vers un serveur.

Switch(config)#snmp-server host <IP_serveur_SNMP> version 2c private

Switch(config)#snmp-server enable traps
Switch(config)#snmp-server source-interface traps vlan 10

Vérification

Switch#show snmp

SNMP V3
Il existe 3 niveaux de sécurité :

noAuthNoPriv : l’authentification se fait simplement sur le nom d’utilisateur (pas de mot de passe, pas
de chiffrement)
 authNoPriv : l’authentification se fait sur l(utilisateur et le mot de passe (pas de chiffrement)
authPriv : similaire à authNoPriv mas avec chiffrement

noAuthNoPriv

Switch(config)#snmp-server group NLgrp v3 noauth

Switch(config)#snmp-server user NLadmin NLgrp v3

Switch(config)#snmp-server host [Link] version 3 noauth NLadmin

authNoPriv

Switch(config)#snmp-server group NLgrp v3 auth

Switch(config)#snmp-server user NLadmin NLgrp v3 auth sha NLpassword

Switch(config)#snmp-server host [Link] version 3 auth NLadmin

authPriv

Switch(config)#snmp-server group NLgrp v3 priv

Switch(config)#snmp-server user NLadmin NLgrp v3 auth sha NLpassword priv des56
NLpassword

Switch(config)#snmp-server host [Link] version 3 priv NLadmin

Syslog

Switch(config)#logging [Link]
Switch(config)#service timestamps log datetime localtime
Switch(config)#logging trap 3
Switch(config)#logging on

Afficher les logs dans la console.

Switch(config)#logging console
Vérification.

Switch#show logging
Switch#show logging history

DHCP Snooping

Le DHCP Snooping est une fonctionnalité permettant de filtrer des messages DHCP sur un switch. Il est possible
de configurer les ports en mode Trusted (un serveur DHCP peut se trouver derrière et faires des DHCP-ACK et
DHCP-OFFER) ou en mode UnTrusted (un serveur DHCP ne peut pas se trouver derrière le port.

Cela évite qu’un intrus se fasse passer pour un serveur DHCP. De plus, le switch garde en mémoire les adresses
IP attribuées aux différentes adresses MAC.

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 10

Switch(config)#interface fa 0/1
Switch(config-if)#ip dhcp snooping trust

Switch#show ip dhcp snooping

Switch#show ip dhcp snooping database
Switch#show ip dhcp snooping statistics
Switch#show ip dhcp snooping statistics detail

Port Mirroring

Choix du ou des ports à mirrorer. Le mot clé « both » permet de capturer le trafic dans les deux sens.

Switch(config)# monitor session 1 source interface fa 0/1 both

Choix du port sur lequel répliquer le traffic.

Switch(config)# monitor session 1 destination interface fastEthernet0/10 encapsulation

dot1q
Remote Port Mirroring

Switch avec trafic intéressent

Switch(config)#vlan 999
Switch(config-vlan)#remote-span

Switch(config)#interface fa 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport trunk allowed vlan 999
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport nonegotiate

Switch(config)# monitor session 1 source interface fa /1

Switch(config)# monitor session 1 destination remote vlan 999

Switch de destination
Switch(config)#vlan 999
Switch(config-vlan)#remote-span

Switch(config)#interface f0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport trunk allowed vlan 999
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport nonegotiate

Switch(config)#monitor session 1 source remote vlan 999

Switch(config)#monitor session 1 destination interface fa 0/5 encapsulation replicate

Vérification
Switch#show monitor
Switch#show monitor session 1 detail

LLDP

Switch(config)#lldp run
 Switch(config)#interface fa 0/1
Switch(config-if)#no lldp transmit

Switch#show lldp neighbors

Switch#show lldp neighbors fa 0/1

CDP

Switch(config)#cdp run

Switch(config)#interface fa 0/1
Switch(config-if)#no cdp enable

Switch#show cdp
Switch#show cdp neighbors
Switch#show cdp neighbors f0/3

POE

Le POE est activé par défaut.

Switch(config)#interface fa 0/1
Switch(config-if)#power inline never
Switch(config-if)#power inline auto

Switch#show power inline

Switch#show power inline fa 0/1

802.1X Ethernet
Le 802.1X permet de forcer les utilisateurs à s’authentifier sur le réseau (un peu comme lors de la connexion à
un réseau wifi).

Premièrement, il faut activer le AAA.

Switch(config)#aaa new-model

Ensuite, il nous faut spécifier l’adresse et la clé du serveur RADIUS.

Switch(config)#radius-server host [Link] key NetworkLab

Il faut ensuite dire au switch d’utiliser Radius pour l’authentification.

Switch(config)#aaa authentication dot1x default group radius

Il faut ensuite activer 802.1X.

Switch(config)#dot1x system-auth-control

A présent, nous pouvons configurer les ports.

Switch(config)#interface fastEthernet 0/5

Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto

Il existe trois modes d’authentification :

Le mode Auto permet l’authentification.

Le mode Force-authorized ne demande pas d’authentification. Le port est mis à l’état autorisé. Cette
configuration est utile pour les ports sur lesquels des serveurs sont connectés. C’est le mode par défaut
sur les ports.
Le mode Force-unauthorized met automatiquement le port en mode non autorisé. Les hôtes qui s’y
connectent n’auront pas accès au réseau, ou alors simplement au VLAN invité.

Il est possible de mettre un nombre maximum d’authentification.

 Switch(config-if)#dot1x max-reauth-req 3

Ensuite, nous pouvons définir un Vlan Guest.

C’est dans ce Vlan que seront placées les machines qui ne sont pas compatibles 802.1X.

Switch(config-if)#dot1x guest-vlan 50

Enfin, il est possible de configurer un auth-fail vlan.

C’est dans ce Vlan que sont placées les machines qui ne sont pas parvenues à s’authentifier.

Switch(config-if)#dot1x auth-fail vlan 99

Vérification

Switch#show dot1x all summary

DHCP Relay

Switch(config)#interface vlan 10
Switch(config-if)#ip helper-address [Link]

Switch#show ip dhcp relay information trusted-sources

Private Vlan

Les Private Vlan permettent une segmentation au niveau 2.

Il est possible d’empêcher des machines d’un même Vlan de communiquer.

PVLAN se compose d’une association de VLAN :

Un VLAN Primary
Un ou plusieurs VLAN Secondary

Le VLAN Secondary peut être de deux types :

Isolated: les membres de ce VLAN ne peuvent pas communiquer entre eux

Community: les membres de ce VLAN peuvent communiquer entre eux

Enfin, le port d’un switch peut fonctionner dans l’un des deux modes suivants :

Host: Le port à un comportement qui découle du type de PVLAN auquel il est associé (Isolated ou
Community)
Promiscuous: le port peut communiquer avec les ports membres du même VLAN (surtout utilisé pour le
lien vers la Gateway)

Tout d’abord, il faut que le switch soit en mode VTP Transparent.

Switch(config)#vtp mode transparent

Il faut ensuite créer les Vlans.

Switch(config)#vlan 201
Switch(config-vlan)#private-vlan community

Switch(config)#vlan 202
Switch(config-vlan)#private-vlan isolated

Switch(config)#vlan 200
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association 201,202

Enfin, nous pouvons configurer les ports.

Switch(config)#int fa 0/1
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 200 201,202

Switch(config)#int fa0/2
Switch(config-if)#switchport mode private-vlan host
Switch(config-if#switchport private-vlan host-association 200 201
 Switch(config)#int fa0/3
Switch(config-if)#switchport mode private-vlan host
Switch(config-if#switchport private-vlan host-association 200 202

VACL

Les VACL permettent de filtrer le trafic au sein d’un VLAN.

Voici un exemple pour bloquer l’ICMP dans un VLAN.

Premièrement, on fait une ACL qui capture le trafic voulu.

Switch(config)#ip access-list extended 100

Switch(config-ext-nacl)#permit icmp [Link] [Link] [Link] [Link]

Ensuite, nous créons la VACL, nous faisons référence à l’ACL, et nous choisissons l’action.

Switch(config)#vlan access-map NOICMP 10

Switch(config-access-map)#match ip address 100
Switch(config-access-map)#action drop

Puis nous autorisons le reste.

Switch(config)#vlan access-map NOICMP 20

Switch(config-access-map)#action forward

Puis nous appliquons la VACL au Vlan voulu.

Switch(config)#vlan filter NOICMP vlan-list 10

Routage InterVlan et Switch L3

Article sur le routage inter-vlan :

Routage Inter-VLAN et Switch L3

Router On a Stick
Pour une configuration Router On a Stick, le routeur se configure comme ceci.

Router(config)#interface fastEthernet 0/1

Router(config-if)#no shutdown

Router(config)#interface fastEthernet 0/1.10

Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address [Link] [Link]

Router(config)#interface fastEthernet 0/1.20

Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address [Link] [Link]

Router(config)#interface fastEthernet 0/0.666

Router(config-subif)#encapsulation dot1Q 666 native

Le switch se configure de manière classique.

Switch L3
Quant au switch L3, il faut commencer par créer les Vlan et les interfaces Vlan.

Switch(config)#vlan 10
Switch(config)#vlan 20

Switch(config)#interface vlan 10
Switch(config-if)#ip address [Link] [Link]

Switch(config)#interface vlan 20
Switch(config-if)#ip address [Link] [Link]

Bien entendu, il faut appliquer les Vlan sur des interfaces (Access ou Trunk).
Il faut ensuite activer le routage.

Switch(config)#ip routing

Il est aussi possible de configurer des interfaces de manière classique.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#no switchport
Switch(config-if)#ip address [Link] [Link]

Enfin, il est possible d’activer un protocole de routage.

Switchconfig)#router eigrp 1
Switch(config-router)#no auto-summary
Switch(config-router)# network [Link] [Link]

Il est aussi possible de réaliser d’autres configurations basiques (route statique, passive interface, redistribution,
etc…).

RIP

Switch(config)#router rip
Switch(config-router)#network [Link]
Switch(config-router)#version 2

Switch#show ip rip database

Switch#show ip route

OSPF

Pour plus d’information, consulter l’article résumé dédié au routage Cisco.

 Guide de Configuration – Cisco – Routeur

Switch(config)#router ospf 1
Switch(config-router)#router-id [Link]
Switch(config-router)#network [Link] [Link] area 0

Switch#show ip ospf
Switch#show ip ospf interface
Switch#show ip ospf neighbor

‹ Guide de Configuration – HP Procurve – Switch Cisco Unified Solutions ›

Tagués avec : Configuration Switch Cisco, Guide de configuration switch Cisco, Switch Cisco
Publié dans Switch

2 commentaires pour “Guide de Configuration – Cisco – Switch”

meklat karim dit :

12 juillet 2019 à 1 h 11 min

merci bcp…vraiment très utile .. ça m’a vraiment aidé.

Répondre

AMAR dit :
29 janvier 2020 à 21 h 25 min

très bien expliqué.

simple et beau.

Répondre

Laisser un commentaire
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire *