Catalyst Doc[1]

download Catalyst Doc[1]

of 48

Transcript of Catalyst Doc[1]

Commutateurs Cisco Catalyst

Commutateurs Cisco Catalyst

Centre Rseau Communication

1/48

Commutateurs Cisco Catalyst

Sommaire1.Principes de base sur les rseaux des entits relies Osiris .......................................41.1. Les types de rseaux.............................................................................................................................4 1.2. Transmission des donnes dans un rseau..........................................................................................4 1.3. Principe d'un rseau Ethernet................................................................................................................5 1.4. Concepts de base de la commutation de niveau 2................................................................................7

2. Gnralits sur les commutateurs CISCO......................................................................9 3. Gestion d'un Catalyst....................................................................................................11

3.1. Connexion au commutateur en port console.......................................................................................11 3.2. Navigation et changement de mode....................................................................................................11 3.2.1. Modes de fonctionnement...........................................................................................................12 3.2.2. Visualiser et sauvegarder la configuration d'un commutateur.....................................................13 3.3. Organisation des fichiers sur la flash...................................................................................................14 3.4. Mise jour du systme (IOS)...............................................................................................................15 3.5. Sauvegarde d'une configuration sur un serveur tftp............................................................................16 4.1. Dmarrage d'un commutateur non configur......................................................................................18 4.2. Configuration du nom de l'quipement................................................................................................18 4.3. Configuration du fuseau horaire france et de l'heure d't..................................................................18 4.4. Configuration du client NTP.................................................................................................................18 4.5. Activation de la rsolution de noms.....................................................................................................19 4.6. Adresse IP d'un commutateur.............................................................................................................19 4.7. Authentification des connexions sur le commutateur..........................................................................20 4.7.1. Connexion port console et telnet.................................................................................................20 4.7.2. Connexion port console et ssh....................................................................................................21 4.8. Dsactivation du protocole CDP (Cisco Discover Protocol)................................................................22 4.9. Dsactivation du dmon http de management du commutateur.........................................................22 4.10. Configuration des logs sur le commutateur.......................................................................................22 5.1. Configuration Duplex et vitesse d'une interface FastEthernet............................................................24 5.2. Agrgation de liens 802.3ad.................................................................................................................26

4. Configuration de base recommande par le CRC........................................................18

5. Configuration des interfaces..........................................................................................24 6. Cration de VLAN et de liens trunk...............................................................................27 7. Gestion des Liaisons redondantes niveau 2 : Spanning Tree Protocol.........................317.1. Gnralits...........................................................................................................................................31 7.2. Utilit du Spanning Tree.......................................................................................................................33

6.1. Configuration de VLAN par port .........................................................................................................28 6.2. Configuration d'un lien trunk 802.1q....................................................................................................29

8. Commandes de diagnostic............................................................................................36

8.1. Sessions utilisateur..............................................................................................................................36 8.2. Visualiser les logs.................................................................................................................................36 8.3. Obtenir des renseignements sur le matriel et l'IOS...........................................................................37 8.4. Obtenir des informations sur les interfaces.........................................................................................37 8.5. Obtenir des informations sur les VLAN................................................................................................39 8.6. Obtenir des informations sur les agrgations de liens.........................................................................40 8.7. Obtenir des informations sur le spanning-tree.....................................................................................40 9.1. Exemple de configuration d'usine d'un Cisco Catalyst 2950...............................................................42 9.2. Procdure de rcupration de mot de passe sur un Catalyst 3750.....................................................43 9.3. Procdure de rcupration de mot de passe sur un Catalyst 2950.....................................................47

9. Annexes........................................................................................................................42

2/48

Commutateurs Cisco Catalyst

AuteursNom Laurence Moindrot Sbastien Boggia Position Ingnierie CRC Ingnierie CRC Date 10/05/04 10/05/04

HistoriqueVersion 1.0 1.1 Date 10/05/04 28/05/04 Auteur Laurence Moindrot Sbastien Boggia Sbastien Boggia Raison Version initiale Ajout procdures de rcupration de mot de passe

3/48

Commutateurs Cisco Catalyst

1. Principes de base sur les rseaux des entits relies Osiris1.1. Les types de rseauxIl existe 2 grands types de rseaux :

LAN (Local Area Network) ou bien RLE (Rseaux Locaux d'entreprise). Ces rseaux sont des rseaux privs, c'est dire faisant partie d'une mme entit physique ou juridique. On les utilise essentiellement pour relier des ordinateurs entre eux et des ressources partages (imprimantes, serveurs de fichiers). MAN (Metropolitan Area Network) ou WAN (Wide Area Network). En franais, rseaux mtropolitains ou rseaux longue distance. Ces rseaux sont destins faire la jonction entre plusieurs LAN sur des distances plus ou moins longues.

Dans la pratique, on peut donc classifier Renater comme tant un rseau WAN, Osiris un MAN et les sites raccords Osiris comme des LAN.

1.2. Transmission des donnes dans un rseauIl y a 2 techniques de transmission des donnes.

Le point point, La diffusion.

Le point point consiste transmettre des donnes sur une connexion entre 2 machines uniquement. Un rseau form uniquement de connexions point point pourra faire transiter l'information d'une machine l'autre par plusieurs intermdiaires.

A Transmission donnes

B

Un rseau diffusion (point multipoint) n'a qu'un seul canal de communication que toutes les machines partagent (rseau de type bus). Les paquets envoys par une machine sont reus par toutes les autres. La machine destinataire du paquet l'analyse. Les autres l'ignorent.

Transmission donnes A

B analyse le paquetD'une manire gnrale, les rseau locaux des batiments connects Osiris (LAN) sont des rseaux de diffusion. Les connexions point point sont plutt utilises sur les liaisons Internet grandes distances ou parfois pour les interconnexions entre les LAN et les WAN.

4/48

Commutateurs Cisco Catalyst

1.3. Principe d'un rseau EthernetL'architecture des rseaux locaux des batiments Osiris va nous conduire naturellement se pencher sur Ethernet. Ethernet fonctionne sur des rseaux de diffusion de type bus, appels aussi segments ethernets. Le problme de ce type de rseau est de trouver un mcanisme d'arbitrage pour que la transmission des donnes ne se fasse pas simultanment entre deux machines. Deux paquets mis en mme temps par deux machines provoquent un phnomne de collision. C'est dire que le signal lectrique sur le cble devient incomprhensible. Heureusement, les machines qui sont l'coute de ce qui se passe sur le bus sont capables de dtecter les collisions. Sur Ethernet, une machine peut transmettre quand elle le dsire. C'est le protocole CSMA/CD qui permet de grer le moment o une machine peut mettre sur le bus, de dtecter les collisions et d'y remdier. CSMA signifie : Carrier Sense Multiple Acces. CD signifie : Collision Detection. Principe de base de CSMA/CD : Une machine qui souhaite transmettre sur le rseau coute le cble. Si la voie n'est pas libre, elle attend jusqu' ce que l'autre machine ait fini de transmettre. Si deux machines commencent mettre en mme temps et qu'il y a collision, elles arrtent d'mettre, attendent toutes deux un temps alatoire pour remettre de manire ne plus entrer en collision.1. Les machines A et B mettent en mme temps. 2. Les 2 tramesentrent en collision

A

A

B3. Les machinesdtectent la collision

B4. Les machinesattendent un temps alatoire pour rmettre. Ici B rmet avant A

A

A

B

B

Le protocole Ethernet est inclut dans la sous-couche liaison de donnes MAC (Medium Acces Control) du modle OSI. Il s'agit de la sous-couche de Controle d'accs au Canal. Chaque trame Ethernet contient une en-tte MAC avec les informations ncessaires pour acheminer le trafic. Il y a plusieurs versions d'Ethernet : Ethernet v2, Ethernet IEEE 802.3 ... Ces versions prsentent quelques diffrences au niveau des trames. Voici la reprsentation d'une trame Ethernet v2, utilise dans plus de 90% des cas. 7 octets 1 6 octets Adresse MAC Dst 6 octets 2 octets Adresse MAC Src Type 461500 octets Information couche suprieure 4 octets FCS

Prambule SD

Trame Ethernet v2

5/48

Commutateurs Cisco Catalyst

Description des champs

Prambule SD MAC Dst Address MAC Src Address Type Information FCS

: Ce champ permet l'metteur de la trame et au rcepteur de se synchroniser. : Ce champ de 1 octet permet de dlimiter le dbut rel de la trame. : Adresse MAC de la machine de destination. : Adresse MAC de la machine source. : Protocole rseau encapsul dans la trame Ethernet. 0X800 = IPv4 : Donnes transportes, 1500 octets maximum. : Contrle de l'intgrit de la trame.

La longueur d'une trame Ethernet v2 valide se situe entre 60 et 1514 octets (MAC Src + MAC Dst + Type + Information). Chaque machine mettant sur un rseau Ethernet possde une carte rseau avec un identifiant unique sur 6 octets, c'est l'adresse MAC de la carte. Cette adresse est divise en 2 parties :

Trois premiers octets : Numro du constructeur (exemple: 00-08-20 : Sun, 00-00-C0 : Cisco). Trois derniers octets : Numro de srie de la carte.

Une adresse MAC est rserve pour l'envoie en broadcast c'est dire destination de toutes les machines du rseau. C'est l'adresse FF-FF-FF-FF-FF-FF. Nous venons de prsenter Ethernet de manire bien mettre en vidence ses principes de base et comme il a t pens lors de sa conception. A l'poque, un rseau tait souvent compos d'un cble coaxial (BNC) 10Base5 sur lequel taient connectes les machines. Celles-ci mettaient donc toutes sur le mme lien physique. 10 base 2 / 10 base 51 segment Ethernet 1 domaine de collisions 1 circuit lectrique pour tout le cble BNC

Cette architecture apporte vite des limitations en cas de rupture de lien (le rseau est coup pour toutes les machines) ou lorsque le dbit de transmission et le nombre de machines sur le bus augmentent (on se trouve rapidement en prsence de nombreuses collisions). Le problme de la coupure de lien a t rsolu par l'utillisation d'un rpteur (HUB) et de cbles RJ45. On est pass une architecture en toile. Tout le trafic transite vers le point central qui est le rpteur. L'architecture en toile apporte 2 avantages : Une coupure sur l'un des liens rpteur machine n'affecte pas les autres machines. Le cblage est plus souple, peut utiliser des paires tlphonique dj existantes et n'affecte qu'une machine.

HUB1 segment Ethernet 1 domaine de collisions

1 circuit lectrique pour chaque lien HUB machine

Le probme des collisions de plus en plus frquentes par l'ajout de machines et l'augmentation de trafic peut tre rgl par la diminution de la taille du domaine de collisions. C'est ce que nous allons voir dans la suite.

6/48

Commutateurs Cisco Catalyst

1.4. Concepts de base de la commutation de niveau 2Afin de limiter les problmes de collisions Ethernet, il faut limiter le nombre de machines connectes sur un mme segment et n'y envoyer que les trames destines des machines s'y trouvant. Pour cela on se sert de commutateurs (switches). Voici un bref comparatif entre un Hub (rpteur) et un commutateur. Un hub est un quipement bte :

Il sert ramplifier le signal d'un lien, Il renvoie toutes les trames reues sur tous les ports imdiatement, Il peut permettre de passer d'un mdia un autre. Par exemple du Cuivre vers de la fibre.

Hub

Un commutateur est un quipement intelligent . Le commutateur est le centre de la topologie en toile. A la diffrence du rpteur (hub), qui ne fait que rpter sur tous les ports les donnes qu'il reoit, les commutateurs ont la capacit danalyser le trafic, et ainsi de possder une connaissance des adresses MAC (Medium Access Control) et de construire des tables de commutation.

Commutateur

Le commutateur possde les particularits suivantes :

Apprendre les adresses MAC des matriels attachs ses ports. N'envoie le trafic d'une adresse MAC que sur le port concern, Possde une table de commutation . La grande majorit des commutateurs apporte des fonctionalits supplmentaires comme viter la formation de boucles (Spanning Tree) ou crer des rseaux virtuels (VLAN). Attention! Ces fonctionalits ne sont pas natives aux commutateurs et peuvent ne pas exister sur les bas de game.

Avec un commutateur, le domaine de collision est limit un seul port, rendant les collisions impossibles. De plus la bande passante disponible sur une interface ne sert que pour la machine connecte dessus.

7/48

Commutateurs Cisco Catalyst

ORDINATEUR B avec mac address bbb

Segment 1 Domaine de collision 1Commutateur A

port 2

Table aaa / port 1 bbb / port 2 ccc / port 3 Segment 2 Domaine de collision 2

port 1

Segment 3 Domaine de collision 3

port 3

ORDINATEUR C avec mac address ccc

ORDINATEUR A avec mac address aaa

Lapprentissage des adresses MAC: Au dmarrage du commutateur, la table est vide (1). Lorsque le commutateur doit envoyer une trame,s'il ne trouve pas l'adresse MAC de destination dans sa table la correspondance , il envoie la trame sur tous les ports (2), sauf le port entrant (do provient la trame). Le commutateur va mettre jour, en mmoire, sa table de couples (2) (4) chaque passage dune trame entrante: Il rcupre ladresse MAC source (et non ladresse MAC destination) puis ajoute ou met jour une entre dans la table (port entrant/adresse MAC source). Il existe une dure maximale de prsence dans la table d'une association . Cette dure est appele time-age . Le commutateur ne se souvient donc que des matriels les plus actifs. Le timeage est paramtrable. Il est par dfaut de 5 minutes sur les Cisco Catalyst. On dit que lors de lmission dune trame, il y a commutation vers le bon port si ladresse MAC destinatrice est connue dans la table. Il y a en mme temps regnration de lentre associe ladresse MAC source dans cette table.

1. A veutparler B

Trame requte @MAC src : aaa @MAC dst : bbb

C@MAC : ccc Port 3 Port 1 Port 2

Table de commutationAdresse MAC Port

A@ MAC : aaa

B@ MAC : bbb

2. Le commutateur ne sait pas o A se trouve B. @ MAC : aaa Il fait suivre la trame tous. 3.B rpond A. C ignore la trame et ne A rpond pas. @ MAC : aaa

C@MAC : ccc Port 3 Port 1 Port 2

Trame requte @MAC src : aaa @MAC dst : bbb

Table de commutationAdresse MAC aaa Port 1

B@ MAC : bbb

C@MAC : ccc Port 3 Port 1 Port 2

Trame rponse @MAC src : bbb @MAC dst : aaa

Table de commutationAdresse MAC aaa Port 1

B@ MAC : bbb

Trame rponse A roit la @MAC src : bbb rponse de B. @MAC dst : aaa Le commutateur A connat dans sa table A et B. @ MAC : aaa

4.

C@MAC : ccc Port 3 Port 1 Port 2

Table de commutationAdresse MAC Port 1 2

B@ MAC : bbb

aaa bbb

8/48

Commutateurs Cisco Catalyst

2. Gnralits sur les commutateurs CISCOLes commutateurs CISCO sont tous dots d'un port console (port srie compatible avec celui de votre PC) prvu pour un accs administratif local partir dun terminal ASCII ou dun ordinateur avec mulation de terminal (Hyperterminal pour Windows ou Minicom pour Linux). Ce port console est situ au dos du routeur.

IOS (Internetwork Operating System) est le nom du systme dexploitation excut sur les commutateurs CISCO. CLI (Command Line Interface), est le sigle utilis par Cisco pour dsigner linterface en ligne de commande du terminal pour le systme IOS. Chaque commutateur possde diffrents types de mmoire : la DRAM, la NVRAM, la mmoire Flash, et la ROM.

Mmoire ROM (non volatile)

contient le logiciel minimum utilisable en cas de problme (bootstrap)

Mmoire DRAM (volatile): mmoire de travail

contient l'IOS en cours d'excution contient la configuration en cours d'excution/modification (running-config) contient les logs, statistiques, buffers rseaux, les processus, etc

Mmoire Flash (non volatile)

contient les images IOS compresses

NVRAM (non volatile)

contient le configuration de dmarrage (startup-config)

9/48

Commutateurs Cisco Catalyst

Au dmarrage la squence d'initialisation est la suivante : 1 - Chargement du bootstrap de ROM vers DRAM 2 - Test de la plate-forme 3 - Chargement de l'IOS de Flash vers DRAM 4 - Chargement du fichier de configuration du commutateur de NVRAM vers DRAM Si la mmoire NVRAM est vide le mode Setup est lanc. Le mode Setup demande l'utilisateur s'il veut entrer dans l'assistant de configuration du commutateur. L'assistant permet l'utilisateur de rendre rapidement le commutateur oprationnel et grable distance en lui ajoutant une adresse IP de management puis des mots de passe. Si l'utilisateur ne souhaite pas entrer dans le mode de configuration, le commutateur dmarre avec une configuration minimale lui permettant de commuter.

ROM: bootstrap Flash: Images IOS compresses NVRAM: startup-config vlan.dat DRAM: running-config IOS en cours d'excution process buffers logs

10/48

Commutateurs Cisco Catalyst

3. Gestion d'un Catalyst3.1. Connexion au commutateur en port consoleSe connecter avec un PC sur le port console du commutateur Cisco via un terminal vt100 ou bien une mulation (Hyperterminal Windows ou minicom pour Linux). Paramtrage :

Vitesse taille parit bit d'arret controle de flux

: 9600 bps, : 8 bits, : non, : 1, : non.

Une fois le cble connect, appuyer sur Entre . Le prompt switch> doit apparatre pour un commutateur non configur, ou bien une demande de nom d'utilisateur ou de mot de passe.

3.2. Navigation et changement de modePour dcouvrir les commandes disponibles, taper : ? Le listing avec la description des commandes disponibles apparat. ? permet aussi de complter une commande. Exemple :Switch> WORD ip tag ping ? Ping destination address or hostname IP echo Tag encapsulated IP echo

La compltion des commandes se fait avec le touche . Il est possible galement de taper qu'une partie des commandes pour qu'elles soient reconnues partir du moment ou elles sont uniques. Au cas o la sortie d'une commande dpasse la taille du terminal, la ligne --More-apparat au bas de page. Appuyer sur entre pour faire dfiler la suite ligne par ligne, appuyer sur la barre espace pour faire dfiler la suite page par page.

11/48

Commutateurs Cisco Catalyst

3.2.1. Modes de fonctionnementIl y a diffrents modes de fonctionnement que l'on reconnat grce au prompt :

Mode utilisateur (1). Switch> Permet d'utiliser seulement quelques commandes n'agissant pas sur le fonctionnement de l'quipement. Pour des raisons de scurit, ce mode ne permet pas de voir la configuration. Mode privilgi (15). Switch# Permet d'avoir accs toutes les commandes, voir les configurations, rebooter l'quipement... Permet de passer en mode configuration. Pour entrer en mode privilgi, taper la commande enable .Switch> enable Switch#

Mode Configuration Switch(config)#

Une fois en mode enable , pour passer en mode configuration, taper :Switch# configure terminal

Le prompt Switch(config)# apparat. Les commandes de configuration peuvent maintenant tre entres dans le commutateur. Attention! Toute ligne de configuration entre sur le commutateur est instantanment applique. Le mode configuration possde plusieurs niveaux. Par exemple pour configurer une interface :Switch# configure termninal Switch(config)# interface FastEthernet0/1 Switch(config-if)# description lien vers crc

Les commandes ne s'appliquent qu' l'interface FastEthernet0/1. Une fois ce niveau de l'interface pour la configuration (config-if), toutes les commandes entres ne s'appliqueront qu'au niveau de l'interface. Pour passer du niveau configuration de l'interface au niveau configuration (de config-if config), taper la commande exit .Switch(config-if)# exit Switch(config)# exit Switch#

Pour quitter directement le mode configuration, faire un CONTROL+Z .Switch(config-if)# ^Z Switch#

Enfin pour se dconnecter, taper la commande exit .Switch# exit

12/48

Commutateurs Cisco Catalyst

Pour quitter le mode privilgi, taper la commande disable .Switch# disable Switch>

Le schma ci-dessus rcapitule les diffrents modes et les manires de passer de l'un l'autre.

Sw

Configuration Objet (interface) nom_objet ex :interface FastEthernet0/1 exitCtrl+Z Ctrl+Z

Configuration Modeconf t exit

Priviliged ModeenableTouch enter ou authentification

disable exit exit

User Mode Dconnect

La commande no : Le no permet de supprimer une ligne de configuration. Taper no suivi de la ligne de configuration supprimer. Exemple :Switch(config-if)# no description lien vers crc

Remarque gnrale : Ces commandes sont galement applicables pour les routeurs Cisco.

3.2.2. Visualiser et sauvegarder la configuration d'un commutateurLa configuration d'un commutateur ne peut tre visualise qu'en mode privilgi (enable). Deux types de configurations :

La configuration sauvegarde. C'est la configuration sauvegarde sur la flash.

Switch# show startup-config

La configuration active du commutateur. C'est la configuration en mmoire qui est modifie ds l'ajout d'une commande.

Switch# show running-config

Pour sauvegarder sur la flash une nouvelle configuration, entrer la commande ( faire chaque fois avant de se dconnecter si des modifications ont t appliques) :Switch# copy running-config startup-config

13/48

Commutateurs Cisco Catalyst

3.3. Organisation des fichiers sur la flashCertains fichiers de configuration, ainsi que l'IOS sont stocks sur la flash. Pour visualiser les fichiers, taper la commande :Switch> show flash: Directory of flash:/2 3 4 81 82 83 84 86 -rwx -rwx drwx -rwx -rwx -rwx -rwx -rwx 112 3558032 2432 112 316 5 4243 2896 Mar Mar Mar Mar Mar Mar Mar Mar 01 01 01 01 01 01 01 01 1993 1993 1993 1993 1993 1993 1993 1993 00:02:56 00:04:53 00:06:20 00:06:22 00:00:22 00:01:37 00:04:40 00:08:50 info c2950-i6k2l2q4-mz.121-19.EA1a.bin html info.ver env_vars private-config.text config.text vlan.dat

7741440 bytes total (1175040 bytes free) c2950-i6k2l2q4-mz.121-19.EA1a.bin est le binaire de l'IOS.

Config.text est une copie du fichier de configuration de la NVRAM : startup-config , c'est dire le rsultat d'un show configuration.. On peut le visualiser avec la commande : more flash:/config.text. Il permet de sauvegarder la configuration avant de la modifier. VLAN.dat est un fichier binaire contenant la configuration de toute la partie VLAN et vtp du commutateur. Nous en reparlerons plus tard. Toutes les commandes modifiant la flash doivent tre lances en mode privilgi. Copier un fichier:Switch# copy flash:/config.text flash:/config.origine Destination filename [config.origine]? Copy in progress...CC 4243 bytes copied in 0.080 secs (53038 bytes/sec)

Renommer un fichier:Switch# rename flash:/ flash:/

Supprimer un fichier:Switch# delete flash:/

14/48

Commutateurs Cisco Catalyst

3.4. Mise jour du systme (IOS)La mise jour de l'IOS permet de faire voluer les fonctionnalits d'un commutateur et de corriger les bugs. Il existe chez Cisco une multitude d'IOS diffrents. Il faut mettre jour la version d'IOS en utilisant celle prconise par le CRC, et disponible sur le site tftp du CRC. Catalyst 3750 - tftp://130.79.200.100/ios/3750/c3750-i5k2-mz.121-19.EA1d.bin Catalyst 2970 - tftp://130.79.200.100/ios/2970/c2970-i6k2l2-mz.121-19.EA1d.bin Catalyst 2950 - tftp://130.79.200.100/ios/2950/c2950-i6k2l2q4-mz.121-19.EA1c.bin Attention : La mise jour d'un IOS ncssite qu'une adresse IP de management et une route par dfaut aient t configures. Voir paragraphe 4.6.

Mise jour d'un Cisco Catalyst 2950 (valable pour le 2970)Passer en Mode privilgi (enable). Vrifier que vous pouvez contacter le serveur tftp : Switch# ping 130.79.200.100 Effacer l'IOS courant: switch# dir flash: switch# delete flash:/c2950-********.bin Copier le nouvel IOS: switch# copy tftp://130.79.200.100/ios/2950/c2950-i6k2l2q4-mz.121-20.EA2.bin flash: Vrifier que l'IOS t copi et mettre jour la variable boot system flash : switch# dir flash: switch# configure terminal Cette commande n'est pas obligatoire s'il n'y a qu'un IOS sur la carte flash, car au dmarrage le commutateur cherchera automatiquement une version d'IOS disponible. Cependant, elle permet d'conomiser le temps de recherche, et d'afficher de manire visuelle dans la configuration l'IOS utilis. switch(config)# boot system flash:/c2950-i6k2l2q4-mz.121-19.EA1c.bin switch(config)# exit switch# copy running-config startup-config SI et SEULEMENT SI l'IOS a t copi - Redmarrer le catalyst: switch# reload

Mise jour d'un Cisco catalyst 3750Passer en Mode privilgi (enable). Vrifier que vous pouvez contacter le serveur tftp :

15/48

Commutateurs Cisco Catalyst

Switch# ping 130.79.200.100 Effacer l'IOS courant: switch# dir flash: Attention ! Il est fort probable que l'IOS d'usine prsent sur le 3750 soit dispos sous forme d'arborescence. Ceci permet l'quipement de mettre disposition un serveur Web avec une interface Java pour grer le commutateur. Le CRC ne se sert pas de ces options. Pour cela les IOS prsents sur le serveur tftp du CRC sont sous forme de fichiers binaires. switch# delete /recursive /force flash:/c3750-********.bin Attention ! Sur des versions anciennes de l'IOS, il arrive que l'option /recursive ne fonctionne pas correctement. Si c'est le cas utiliser la commande : switch# erase flash: qui effacera la totalit de la flash. Etre bien sr avant d'excuter la commande que le serveur TFTP rpond correctement. Copier le nouvel IOS: switch# copy tftp://130.79.200.100/ios/3750/c3750-i5k2-mz.121-19.EA1d.bin flash: Vrifier que l'IOS t copi et mettre jour la variable boot system flash : switch# dir flash: switch# configure terminal Cette commande n'est pas obligatoire s'il n'y a qu'un IOS sur la carte flash, car au dmarrage le commutateur cherchera automatiquement une version d'IOS disponible. Cependant, elle permet d'conomiser le temps de recherche, et d'afficher de manire visuelle dans la configuration l'IOS utilis. switch(config)# boot system flash:/c3750-i5k2-mz.121-19.EA1d.bin switch(config)# exit switch# copy running-config startup-config SI et SEULEMENT SI l'IOS a t copi - Redmarrer le catalyst: switch# reload

3.5. Sauvegarde d'une configuration sur un serveur tftpIl est recommand de sauvegarder la configuration de votre Cisco Catalyst sur un serveur tftp. Cettemthode est beaucoup plus sre et rapide qu'un copier/coller dans un fichier texte. Exemple de sauvegarde d'une config: Se connecter sur le catalyst. Passer en mode privilgi. Copier la configuration du commutateur sur votre serveur tftp :

switch# copy running-config tftp: ou switch# copy startup-config tftp: Address or name of remote host []? 130.79.xx.yy Destination filename [Switch-confg]? Accessing tftp://130.79.xx.zz/Switch-confg

16/48

Commutateurs Cisco Catalyst

Rcupration d'une configuration : Se connecter sur le catalyst. Passer en Priviledge Mode. Copier la configuration depuis votre serveur tftp sur la catalyst:switch# copy tftp: startup-config

ouswitch# copy tftp: running-config Address or name of remote host []?130.79.xx.zz Source filename []?sauvegarde-catalyst-cfg Destination filename [running-config]? Accessing tftp://130.79.xx.zz/sauvegarde-catalyst-cfg... Loading sauvegarde-catalyst-cfg from 130.79.xx.zz (via Vlanyy): !!!!!!!!!! [OK - 49977/99328 bytes]

Il existe des serveurs TFTP trs facile installer et configurer, sur un PC portable par exemple. Pour Windows : http://solarwinds.net/downloads/SolarWinds-TFTP-Server.exe Pour Linux : Activer tftpd dans /etc/inet.d (dcommenter la ligne) ou installer atftpd.

17/48

Commutateurs Cisco Catalyst

4. Configuration de base recommande par le CRC 4.1. Dmarrage d'un commutateur non configurUn commutateur non configur va demander au dmarrage si l'utilisateur souhaite entrer en mode de configuration initiale. Cela permet de mettre trs rapidement en service un commutateur en rpondant quelques questions de base (nom du commutateur, adresse de management ...).--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]:

Il est prfrable de rpondre non la question. L'assistant de configuration n'est pas utile lorsque l'on est en prsence de cette documentation. Le commutateur dmarre sur une configuration d'usine. Voir un exemple en Annexe. Toutes les commandes suivantes doivent tre passes en mode configuration.

4.2. Configuration du nom de l'quipementSwitch(config)# hostname bat42 bat42(config)#

4.3. Configuration du fuseau horaire france et de l'heure d'tbat42(config)# clock timezone UTC+1 1

!UTC+1 = nom de la zone (c'est une variable, peut tre n'importe quoi) ! le 1 est le dcalage horaire par rapport GMT.bat42(config)# clock summer-time UTC+1 recurring last Sun Mar 2:00 last Sun Oct 3:00

! On retrouve la variable UTC+1 ! recurring fait allusion l'heure d't commenant le dernier dimanche de mars 2:00, terminant le dernier dimanche d'octobre 3:00

4.4. Configuration du client NTPPour la lecture des logs en cas de problme, il est important d'avoir l'heure exacte en synchronisant l'quipement sur un serveur NTP.bat42(config)# ntp server 130.79.14.177

!mettre l'adresse IP du serveur ntp (ntp.u-strasbg.fr)

18/48

Commutateurs Cisco Catalyst

4.5. Activation de la rsolution de nomsLe commutateur pourra joindre des sites en se servant de leurs noms de domaines (commandes ping et traceroute).bat42(config)# ip domain-lookup

! active la resolution de nom sur le commutateur Attention : cette commande peut tre gnante. En cas de passage d'une commande inconnue, le commutateur lance une rsolution de nom et bloque l'excution de la commande pendant quelques secondes.bat42(config)# ip domain-name u-strasbg.fr

! domaine dans lequel se trouve l'quipement.bat42(config)# ip name-server 130.79.200.1

! adresse IP du serveur DNS du domaine u-strasbg.fr Remarque importante : La dfinition du nom de domaine est indispensable pour la cration d'une cl rsa pour les connexions sur le commutateur en ssh.

4.6. Adresse IP d'un commutateurLes Cisco Catalyst 3750 sont capables de faire du routage de niveau 3. Si le routage de niveau 3 est activ, le commutateur perdra ce qui caractrise un commutateur de niveau 2 (perte d'tanchit des VLAN). Par dfaut le routage de niveau 3 est dsactiv. Mais pour en tre sr, appliquer la commande :bat42(config)# no ip routing

Affecter une adresse IP un commutateur permet de se connecter distance, de rcuprer des syslogs, d'interroger le commutateur en SNMP, de faire des transferts TFTP et de mettre jour l'IOS. Dans une configuration, sans VLAN avec un seul rseau IP, nous affecterons une adresse IP au VLAN par dfaut. Nous verrons par la suite dans le chapitre de gestion des VLAN d'autres mthodes. Le VLAN 1 est le VLAN par dfaut. Il n'est pas possible de le supprimer. Par dfaut il est affect toutes les interfaces. Il faut choisir une adresse de votre rseau IP et l'appliquer au VLAN par dfaut.bat42(config)# interface vlan 1

!en mode configuration, entrer dans l'interface VLAN1 qui est le vlan par dfaut.bat42(config-if)# ip address 130.79.X.X 255.255.Y.Y

!entrer l'adresse IP de managementbat42(config-if)# no shutdown

!activer le VLAN par dfaut. Il est automatiquement affect toutes les interfaces. Si par la suite d'autres VLAN sont crs et que l'adresse de management doit faire partie de l'un de ces nouveaux VLAN, Crer le nouveau VLAN (voir chapitre 6), appliquer l'adresse IP au nouveau VLAN,bat42(config)# interface vlan

puis appliquer les commandes appliques pour le VLAN 1. Le commutateur peut maintenant tre manag par le rseau. Si les stations de gestion ne sont pas dans le mme rseau IP, ou si l'on veut joindre le commutateur depuis n'importe ou sur Internet, ajouter une route par dfaut comme sur n'importe quelle machine de votre rseau :bat42(config)# ip default-gateway 130.79.X.Y

!la passerelle est 130.79.X.Y

19/48

Commutateurs Cisco Catalyst

4.7. Authentification des connexions sur le commutateurIl y a plusieurs faons d'accder aux commandes CLI d'un commutateur :

par le port Console, en telnet, en ssh.

Lorsqu'un commutateur ne possde aucun mot de passe, il n'est possible de se connecter qu'avec le port console. Pour les connexions telnet ou ssh, il faut ajouter une mthode d'authentification. Les mthodes d'authentifications sont trs varies. Nous allons voir alternativement les 2 mthodes d'authentification : connexion en port console et telnet avec demande de mot de passe (dconseille), connexion en port console et ssh avec demande de nom d'utilisateur et mot de passe. (trs fortement conseille). Tout d'abord, pour viter que les mots de passe n'apparaissent en clair dans la configuration, entrer la commande :bat42(config)# service password-encryption

1. Ensuite, appliquer l'une des 2 mthodes qui suit avec bien sr une prfrence pour l'activation de ssh (paragraphe 4.7.2).

4.7.1. Connexion port console et telnetAjout d'un mot de passe sur le port consolebat42(config)# line console 0 bat42(config-line)# password toto bat42(config-line)# login

!le mot de passe est demand au login Configuration pour une connexion en telnet Une connexion en telnet se configure sur le terminal virtuel vty. Ajouter un mot de passe de la mme manire que sur le port console.bat42(config)# line vty 0 4

!vty 0 4 : numros des vty de 0 4.bat42(config-line)# password toto bat42(config-line)# login

Ajout du mot de passe mode privileged (enable) Un mot de passe est maintenant demand pour se connecter en mode User. Par scurit il faut en ajouter un pour le mode privileged (enable).bat42(config)# enable secret motdepasse

Prferer la commande enable secret enable password , le chiffrage est bien meilleur. Il existe des outils qui permettent de dcrypter trs facilement la chaine de caractres suivant un enable password.

20/48

Commutateurs Cisco Catalyst

4.7.2. Connexion port console et sshConfiguration ssh Il faut tout d'abord gnrer une cl de cryptage RSA pour activer ssh. Pour plus de scurit, choisir une cl de 1024 bits. Pour cette manoeuvre, un nom de domaine doit tre dfinit dans la configuration du commutateur (voir chapitre 4.5). La gnration de la cl de cryptage rsa se base sur le nom du commutateur et le nom de domaine.bat42(config)# crypto key generate rsa The name for the keys will be: bat42.u-strasbg.fr Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 Generating RSA keys ... [OK]

Configurer ensuite le dlai d'inactivit sur une connexion, puis le nombre maximum de tentatives possibles pour se connecter.bat42(config)# ip ssh time-out 120 bat42(config)# ip ssh authentication-retries 3

Pour toute connexion ssh, un nom d'utilisateur est indispensable. Pour cela, il faut activer le modle AAA (authentication, autorisation, accounting) puis entrer un nom d'utilisateur.bat42(config)# aaa new-model

!activation du modele AAAbat42(config)# aaa authentication login LOCALAUTH local

!on authentifie un login localement (local). LOCALAUTH est une variable dsignant l'authentification directement sur le commutateur.bat42(config)# aaa authorization exec default local

!Autorisation des commandes du mode privilgi en local.bat42(config)# username admin password

!on entre un utilisateur avec son mot de passe. Il existe des mthodes plus avances pour crer un utilisateur. Exemple, pour se connecter directement en mode privileged (enable):bat42(config)# username admin privilege 15 secret

! privilege 15 signifie que l'on arrive directement en mode enable. Pour des raisons de scurit le mot de passe sera chiffr avec secret , ce qui est un quivalent de la commande enable secret (voir plus bas). Configurer les lignes vty.bat42(config)# line vty 0 4 bat42(config-line)# transport preferred none bat42(config-line)# transport input ssh

Si dans la configuration de base, un line vty 5 15 existe, passer les mmes commandes que pour le line vty 0 4 , cela vitera de pouvoir se connecter en telnet. Configurer le port Console Comme pour les connexions ssh, on se connecte directement en mode privileged (enable).

21/48

Commutateurs Cisco Catalyst

bat42(config)# line console 0 bat42(config-line)# privilege level 15

!connexion mode enablebat42(config-line)# login authentication LOCALAUTH

!utilisation de la mthode d'authentification LOCALAUTH Une astuce. Pour viter les tentatives de rsolutions DNS en cas de passage d'une mauvaise commande, ajouter dans les line vty 0 4 et line con 0 la commande :bat42(config-line)# transport preferred none

Cette commande spcifie le protocole de communication prfr. Lors d'une commande inconnue, par exemple ls , le commutateur lance automatiquement un telnet ls . En passant dans la commande transport preferred l'argument none , le commutateur ne fait donc rien.

4.8. Dsactivation du protocole CDP (Cisco Discover Protocol)CDP permet de rcuprer des informations sur les commutateurs voisins supportant le protocole. Cette option peut nuire la scurit. Des utilisateurs non autoriss peuvent rcuprer des informations simplement en se connectant sur un port du commutateur si celui-ci est mal configur. Le CRC recommande de dsactiver CDP avec la commande :bat42(config)# no cdp run

4.9. Dsactivation du dmon http de management du commutateurIl est possible de grer le commutateur via un navigateur Web. Cependant, il n'est pas possible de tout faire avec et cela utilise des ressources CPU. De plus, il faut activer le protocole CDP, ce que nous venons de dconseiller, il peut faire perdre l'utilisateur l'habitude d'utiliser CLI qui est plus complet, plus rapide et qui permet de faire des diagnostics plus prcis en cas de problmes. Il est conseill de le dsactiver.bat42(config)# no ip http server

4.10. Configuration des logs sur le commutateurIl y a 7 niveaux de criticit des logs : emergencies, alerts, crtitical, errors, warnings, notifications, informational et debugging. Emergencies est le niveau le plus grave (explosion du commutateur), debugging le moins grve et le plus explicite. Par dfaut, un commutateur ne conserve que 4096 octets d'vnements. C'est insuffisant pour avoir un bon historique. Passer la commande suivante pour avoir plus d'historique, au niveau debugging pour plus de dtails dans les logs :

22/48

Commutateurs Cisco Catalyst

bat42(config)# logging buffered 65536 debugging

Pour envoyer tous les logs un serveur syslog (udp/514), ajouter la ligne :bat42(config)# logging

Le CRC, afin de faciliter les diagnostics en cas de problme, vous propose d'envoyer une copie de vos logs vers : 130.79.200.100. La machine s'appelle syslog.u-strasbg.fr ou tftp.u-strasbg.fr Ajouter la commande :bat42(config)# logging 130.79.200.100

23/48

Commutateurs Cisco Catalyst

5. Configuration des interfacesToutes les interfaces sur les Cisco Catalysts sont du FastEthernet ou GigabitEthernet. Comme Ethernet, elles exploitent le protocole CSMA/CD. Voici un aperu des longueurs et du choix du mdia utiliser en fonction de la distance : Distance max. 90 m 220 m 550 m 10 km Type de connexion Module 1000 Base T sur cuivre Module SX sur FO multimode Module LX/LH sur FO multimode Module LX/LH sur FO monomode

Pour les cbles cuivre, prfrer des catgorie 5 ou catgorie 6 (gigabit).

5.1. Configuration Duplex et vitesse d'une interface FastEthernetSur les commutateurs, 3 vitesses sont possibles en fonction des ports :

10 Mbs 100 Mbs 1000 Mbs

Il y a 2 modes de fonctionnement :

Half Duplex : Les missions et les rceptions sur un port arrivent alternativement. C'est le cas lors d'une connexion un Hub. Full Duplex : Les missions et rceptions sur un port se font en mme temps. C'est le mode le plus optimis et le plus couramment utilis sur les commutateurs.

Par dfaut, les autongociations de la vitesse et du duplex sont actives sur les interfaces des commutateurs Cisco. Principe de l'autongociation FLP (Fast Link Pulse qui teste l'intgrit du lien) : Teste le mode de fonctionnement le plus lev vers le plus bas. Exemple pour une interface 100 Mbs. 100 Full Duplex -> 100 Half Duplex -> 10 Full Duplex -> 10 Half Duplex Dans la majorit des cas l'autongociation fonctionne et configure le port de manire optimale. Sur les commutateurs Cisco, un port est indisponible pendant plusieurs dizaines de secondes aprs le branchement. Ceci est d au calcul du Spaning Tree (chapitre 7). Le voyant au dessus du port est orange et aucun trafic rseau ne peut passer. La majorit des problmes se situe au niveau du brochage des cbles ou de leur qualit, d'o le conseil d'utiliser toujours des cbles Ethernet de qualit. Il y a 2 types de cbles Ethernet :

Cble droit : utiliser pour raccorder un commutateur un routeur ou un poste client. Cble crois : utiliser pour raccorder 2 commutateurs, 2 PC ou 2 routeurs. Bref, du matriel de mme nature.

Dans certains cas, on peut rencontrer des problmes, souvent entre des commutateurs de marques diffrentes ou avec une carte rseau d'un poste client configure avec des options pas toujours standards.

24/48

Commutateurs Cisco Catalyst

En cas de problmes avec l'autongociation, il est conseill de forcer la vitesse du port. Attention! Si la vitesse et le duplex sont forcs d'un ct, il faut faire de mme de l'autre ct du lien. Commandes passer (par dfaut, mme si ce n'est pas affich, un port est en autongociation) :switch(config)# interface GigabitEthernet0/2 switch(config-if)# speed 10

!vitesse 10Mbs , ou ...switch(config-if)# speed 100

!vitesse 100Mbs, ou ...switch(config-if)# speed 1000

!vitesse 1000Mbsswitch(config-if)# speed nonegociate

! rajouter pour dsactiver le FLP si on est sur un lien fibre.switch(config-if)# duplex full switch(config-if)# duplex half switch(config-if)# duplex auto switch(config-if)# speed auto

!rglage en autongociation du duplex et de la vitesse. Certains problmes peuvent aussi tre corrigs par la rinitilisation du port. Il peut arriver qu'un port passe en tat error disable , par exemple si trop de collisions ont lieu cause d'un Hub satur. Dans ce cas on peut dsactiver l'interface puis la ractiver.switch(config)# interface GigabitEthernet0/2 switch(config-if)# shutdown

!dsactivation de l'interfaceswitch(config-if)# no shutdown

!re-activation de l'interface Pour des raisons de scurit, il est important de dactiver un port non utilis avec la commande shutdown et de rajouter ces quelques configurations par dfaut dans les interfaces. Pour tre plus rapide, slectionner un range d'interfaces.switch(config)# interface range fastEthernet 0/1 - 24

Dsactiver la dtection automatique des ports trunk (protocole DTP). 2 commutateurs Cisco connects entre eux peuvent dcider de configurer le lien en trunk sans qu'on s'en rende compte. Dsactiver donc le protocole DTP avec la commande :switch(config-if-range)# switchport nonegotiate

Si cela n'a pas t fait de manire globale (voir chapitre 4.8), dsactiver le CDP (Cisco discover protocol).switch(config-if-range)# no cdp enable

!desactivation du cdp sur l'intervalle d'interfaces Selon les versions d'IOS, un port peut tre capble de monter un lien aussi bien avec un cble droit qu'un cble crois. Pour rester fidle au standards et ne pas se trouver en prsence de problmes de cblage lors d'un remplacement de commutateur, il est conseill de dsactiver cette option. De plus l'activation de mdix des 2 cts d'un cble apporte des problmes.switch(config-if-range)# no mdix auto

25/48

Commutateurs Cisco Catalyst

5.2. Agrgation de liens 802.3adL'agrgation de liens, appele Etherchannel, permet plusieurs liens physiques d'tre vus comme un seul. Ceci est utile en cas de saturation ou pour assurer une redondance en cas de coupure de lien.

100 Mbps 100 Mbps 100 Mbps

Lien virtuel 300 Mbps Nous utilisons pour agrger les liens le protocole LACP (Link Aggregate Control Protocol)normalis (IEEE 802.3ad). Cration d'une interface virtuelle Port-channel 1.2950-ce1(config)# interface Port-channel 1

Agrgation d'une plage d'interfaces sur la pseudo-interface Port-channel 1.switch(config)# interface range fastEthernet 0/2 - 3 switch(config-if-range)# channel-protocol lacp switch(config-if-range)# channel-group 1 mode active

Enfin, on applique les configurations propres une interface dans le Port-channel. Celles-ci sont automatiquement rpliques dans la configuration individuelle de chaque interface physique.

26/48

Commutateurs Cisco Catalyst

6. Cration de VLAN et de liens trunkUn VLAN est un rseau commut logique de niveau 2 rassemblant un nombre de machines indpendamment de l'architecture physique. Un commutateur peut grer plusieurs VLAN totalement indpendants les uns par rapport aux autres. Par exemple : Un commutateur sur lequel sont configurs 3 VLAN peut tre vu comme 3 commutateurs indpendants. Pour que les informations transitent d'un VLAN l'autre, il faut faire du routage de niveau 3 l'aide d'un routeur ou d'un firewall.

Domaine de broadcast 1

Domaine de broadcast 2

Quand faut-il utiliser des VLAN ? Quand on veut utiliser un seul commutateur pour plusieurs rseaux totalement indpendants et qui ne doivent pas se mlanger (administratif, recherche, enseignement, rseaux IP ...), Quand on veut apporter plus de scurit au niveau IP. Les machines d'un mme rseau IP ne sont connectes que sur le VLAN qui leur est attribu. Cela permet aux utilisateurs de ne pas introduire leurs machines dans un rseau qui ne leur est pas destin. Si on veut limiter le trafic d des broadcast. En cas d'envoi de broadcast, ceux-ci ne se limitent qu'aux machines du VLAN (DHCP, requettes ARP...). Pratique en cas d'infection d'un rseau par un virus.

Recommandation CRC : Si plusieurs rseaux IP sont connects sur un commutateur, il est important d'affecter chaque rseau un VLAN. Sur la majorit des sites Osiris, 2 types de rseaux sont prsents : le rseau de recherche et le rseau administratif. A la sortie du commutateur Osiris d'entre de btiment, le CRC fournit 2 connexions sur 2 interfaces, une pour chaque rseau. Il y a donc en fonction des moyens 2 configurations possibles : Vlan RechercheCommutateur Osiris

Vlan Administratif

Vlan Recherche Vlan AdministratifCommutateur Osiris

A

B

C

Sur le schma de gauche, le rseau de recherche (commutateur A) est physiquement spar du rseau administratif (commutateur B). La cration de VLAN sur les commutateurs n'est pas ncssaire. Sur le schma de droite, le rseau de recherche est connect sur le mme commutateur (C) que le rseau administratif (c'est souvent le cas). Il faut imprativement les sparer en crant deux VLAN. Le premier pour les machines de la recherche. L'autre pour les machines administratives.

27/48

Commutateurs Cisco Catalyst

6.1. Configuration de VLAN par portChaque port d'un commutateur est affect un VLAN. C'est la configuration la plus utilise. Port-Based

VLAN1 VLAN2 VLAN3

Cration d'un VLANLe VLAN 1 est le VLAN par dfaut sur les commutateurs Cisco. Toutes les interfaces physiques y sont affectes par dfaut. Pour viter toute erreur, il est conseill de numroter les VLAN partir de 2.Switch(config)# vlan 2 Switch(config-vlan)# name "reseau rch"

Remarque : Cette configuration n'apparat pas en faisant un show running-config . La configuration des VLAN est stocke dans le fichier binaire vlan.dat. Pour voir les VLAN crs, taper :Switch(config)# show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Fa0/25, Fa0/26 2 reseau 1 active

Mettre un port physique dans un VLAN :Switch(config)# interface fastEthernet 0/2 Switch(config-if)# switchport mode access

!le lien est un port d'accs standardSwitch(config-if)# switchport nonegotiate

!desactivation de la negociation de type de lien. Cette commande vite au switch de dtecter si il est branch sur un lient trunk ou pas.Switch(config-if)# switchport access vlan 2

!le port appartient au VLAN 2

28/48

Commutateurs Cisco Catalyst

6.2. Configuration d'un lien trunk 802.1qSouvent un mme VLAN doit se trouver gographiquement plusieurs endroits, donc sur plusieurs commutateurs. Au lieu de raccorder les commutateurs avec autant de liens physiques qu'il y a de VLAN, on peut les raccorder l'aide d'un lien trunk qui va transporter tous les VLAN configurs sur les diffrents commutateurs.

Vlan 1

Vlan 2

Lien trunk

Un lien trunk doit faire passer les trames de tous les VLAN sur le mme support physique sans pour autant provoquer une perte d'tanchit de ces derniers. Pour cela, chaque trame Ethernet est tague avec le numro de VLAN qui elle appartient. Voici la reprsentation d'une trame tague :

7 octets

1

6 octets Adresse MAC Dst

6 octets Adresse MAC Src 2 octets TPID = 8100

4 octets 2 octets Type

461500 octets Information couche suprieure

4 octets FCS

Prambule SD

3 bits 1 bit 12 bitsPriorit 0 802.1p 802.1q VLAN ID

4 octets sont insrs entre le champ Adresse MAC source et Type . En voici la description : TPID : Tag Protocol Indentifier. La valeur est de 8100, indiquant que la trame est tague et que sa taille maximale passe de 1518 1522 octets. Priorit 802.1p : Il s'agit d'un champ de priorit : 000 pour la priorit la plus faible, 111 pour la priorit la plus haute. 802.1q VLAN ID : Indique le numro du VLAN qui appartient la trame Ethernet.

29/48

Commutateurs Cisco Catalyst

Configuration d'un port trunkSur certains commutateurs comme les catalysts 3750, la gestion des ports trunk se fait grce au protocole propritaire Cisco ISL. Il est fortement conseill d'utiliser la place le protocole standard IEEE 802.1q. Taper la commande :switch(config)# interface FastEthernet 0/24 switch(config-if)# switchport encapsulation dot1q

!encapsulation 802.1q Le lien trunk en lui-mme configurer sur les 2 commutateurs :switch(config-if)# switchport mode trunk

!passage en mode trunkswitch(config-if)# switchport nonegotiate

!desactivation de la negociation de type de lien (DTP)switch(config-if)# switchport trunk allowed vlan all

!autorisation de transit dans le trunk de tous les VLAN. Remarque: Ne pas oublier de crer les mmes VLAN sur tous les commutateurs.

30/48

Commutateurs Cisco Catalyst

7. Gestion des Liaisons redondantes niveau 2 : Spanning Tree Protocol7.1. GnralitsComme nous avons pu le constater dans le chapitre 1, un commutateur diffuse sur tous ces ports les trames avec pour destination une adresse de broadcast ou une adresse inconnue. En cas de formation de boucle physique volontairement (pour assurer une redondance) ou involontairement (erreur de cablage), le trafic peut exploser ds la premire trame de broadcast ou destination inconnue. Exemple : Voici une architecture o une boucle physique est cre. Machine A

Segment 1commutateur A commutateur B

Segment 2

Une trame de Broadcast est envoye par la machine A. La trame arrive sur le commutateur A, puis est retransmise vers le commutateur B sur le segment 2. Comme il s'agit d'un Broadcast, le commutateur B retransmet la trame sur le port du segment 1 et ainsi de suite. Une boucle infinie est forme. On appelle cela une tempte de broadcasts. Des attaques de ce type existent. Un utilisateur mal intentionn peut envoyer des broadcasts en rafale.

Machine A Segment 1

Machine A Segment 1

commutateur A

Switch A commutateur B

Switch B

Segment 2

Segment 2

31/48

Commutateurs Cisco Catalyst

La solution : Spanning Tree Protocol 802.1d Le Spanning Tree Protocol sert viter la formation de boucles et assurer la redondance dans un rseau de niveau 2. Ce protocole est activ par dfaut sur tous les commutateurs Cisco. Lors du dmarrage d'un commutateur neuf avec sa configuration d'usine, les configurations du spanning tree sont dj actives. STP est un protocole de gestion de couche 2 qui dtermine les chemins redondants (boucles logiques) d'un rseau et les supprime. Il a pour but de crer un arbre de diffusion. Le Spanning Tree s'applique sur chaque VLAN indpendamment des autres sur les commutateurs CISCO.

Port Dsign (Forwarding)

Port Root Non root bridge

Root bridge

SW X

SW Y Port Dsign (Forwarding) Port Non Dsign (Bloqu)

Le protocole STP utilise un algorithme distribu qui slectionne un commutateur (root bridge), comme tant la racine dun arbre associ la topologie courante. Le spanning tree du rseau Osiris est configur de manire ce que le Root Bridge se trouve toujours sur un commutateur de coeur (jamais dans les rseaux des composants). Le spanning Tree assigne des rles aux ports selon la fonction de chacun dans la topologie courante. Chaque port peut prendre 2 tats finaux : Forwarding (les trames transitent par ce port) - Blocking (les trames ne transitent pas par ce port). Il y a aussi 2 types de ports : Port dsign et Port Root. Un port dsign est un port qui ne mne pas vers le Root Bridge. Un port Root est un port qui mne vers le Root Bridge. Root Bridge = Commutateur avec le plus petit BridgeID BridgeID = Bridge priority + adresse MAC Bridge priority par dfaut = 32768 Sur un commutateur Cisco, un port qui est plac en tat Blocking voit sa LED passer en orange. Ne pas confondre avec un problme de ngociation physique.

32/48

Commutateurs Cisco Catalyst

7.2. Utilit du Spanning TreeDans la majorit des installations rseau des batiments sur Osiris, les commutateurs sont branchs en cascade. Commutateur 1

Commutateur d'accs OSIRIS

OsirisCommutateur 2

Commutateur 3

Cependant il est trs facile de crer des boucles sur le rseau souvent de manire accidentelle par l'ajout de HUB de manire non controle ou par un mauvais cblage (rebouclage). Commutateur 1

Commutateur d'accs OSIRIS Cisco 3750

fa0/24

fa0/1 fa0/8 fa0/8

OsirisHUB

fa0/9

Commutateur 2

Boucle 1fa0/9

Commutateur 3

Boucle 2

Boucle Port bloqu

HUB

Dans ces cas l, le spanning Tree va entrer en action et bloquer des ports sur l'un des commutateurs touch par une boucle. Une partie du rseau ne sera plus oprationnelle afin de protger tout le reste. Attention, le Spanning Tree se base sur les priorits appliques aux commutateurs soit par leur configuration ou automatiquement avec les adresses MAC. Le port bloqu dans la boucle 1 peut aussi se trouver sur le lien entre le commutateur 2 et le commutateur 3 (aucunes chances toutefois car un Hub est moins performant qu'un commutateur et ne fait que du half duplex).

33/48

Commutateurs Cisco Catalyst

Voici donc une commande trs utile pour visualiser la configuration du Spanning Tree. commutateur2# show spanning-treeVLAN0010 Spanning tree enabled protocol ieee Root ID Priority 32768 Address 00d0.9529.cfe1 Cost 48 Port 24 (FastEthernet0/24) Hello Time 2 sec Max Age 20 sec Bridge ID (1)

(2)

Forward Delay 15 sec

Priority 33568 (priority 32768 sys-id-ext 10) Address 000d.bc6f.dbc0 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 15 Role ---Desg Desg Desg Root Sts --FWD FWD FWD FWD Cost --------19 19 100 19 Prio.Nbr -------128.1 128.8 128.9 128.24

(3)

Interface ---------------Fa0/1 Fa0/8 Fa0/9 Fa0/24

Type -------------------------------P2p (4) P2p Shr P2p

commutateur3#show spanning-treeVLAN0010 Spanning tree enabled protocol rstp Root ID Priority 32768 Address 00d0.9529.cfe1 Cost 67 Port 8 (FastEthernet1/0/8) Hello Time 2 sec Max Age 20 sec Bridge ID (1)

(5)

Forward Delay 15 sec

Priority 33568 (priority 32768 sys-id-ext 10) Address 000e.83bb.3100 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300

(6)

Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------Fa0/8 Root FWD 19 128.8 P2p Peer(STP) (7) Fa0/9 Altn BLK 100 128.9 Shr Peer(STP)

Cet exemple montre l'tat du spanning tree sur les commutateurs 2 et 3 lorsque l'on cre une boucle avec un HUB (boucle 1). Les numros de ports sont inscrits sur le schma. Le spanning-tree s'applique au VLAN 10 (1) qui peut tre assimil un VLAN d'une entit d'enseignement et recherche. On peut voir l'identifiant du Root Bridge (2) et (5) situ en amont sur le coeur d'Osiris. Il est bien sr le mme sur les 2 commutateurs. A chaque identifiant de Root Bridge est associ un port, qui permet d'attendre le Root Bridge. On trouve l'identifiant du commutateur sur lequel la commande est lance en (3) et (6). Enfin on trouve un listing des interfaces avec leur rle, leur statut et le cout du lien (4) et (7). On constate que l'interface Fa0/24 sur le commutateur 2 est celle qui mne vers la racine (colonne rle) et que l'interface Fa0/9 est connecte au Hub car son cot (100) est beaucoup plus lev et son type est shr (share = lien avec plus de 2 entres, collisions). Enfin sur le commutateur 3 on constate que la racine est joignable par le port Fa0/8 (colonne rle) et que le port bloqu est l'interface fa0/9 (colonne Sts = BLK).

34/48

Commutateurs Cisco Catalyst

Commande optionelle rajouter dans les configurations des interfaces du commutateurUne commande permet la monte plus rapide d'un port sur lequel on branche un PC.switch(config)# interface FastEthernet 0/24 switch(config-if)# spanning-tree portfast

Cette commande permet de spcifier au commutateur qu'il est reli directement un quipement ne faisant pas de Spanning Tree et donc qu'il n'a pas ngocier. Le port monte immdiatement en tat up . Cette commande peut viter des problmes avec certaines configuration DHCP qui n'attendent pas assez longtemps la monte du port.

35/48

Commutateurs Cisco Catalyst

8. Commandes de diagnosticNous allons faire dans cette partie un inventaire des commandes les plus couramment utilises pour les diagnostics. Ces commandes doivent, pour la plupart, tre passes en mode privilgi.

8.1. Sessions utilisateur

show users

Permet de visualiser qui est connect sur le switch.Switch# show users Line User 1 vty 0 admin * 2 vty 1 boggia Interface User Host(s) idle idle Mode Idle Location 20w1d thot.u-strasbg.fr 00:00:00 youkoum.u-strasbg.fr Idle Peer Address

Clear line

Permet de fermer la session d'un utlisateur.Switch# clear line 1 [confirm] [OK]

8.2. Visualiser les logsCette commande lit les vnements qui se sont produits sur le commutateur.

show logging

crc-ce1# show logging Syslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns) Console logging: disabled Monitor logging: level debugging, 178 messages logged Buffer logging: level debugging, 1027 messages logged Exception Logging: size (8192 bytes) Trap logging: level debugging, 1004 message lines logged Logging to 130.79.201.129, 418 message lines logged Log Buffer (65536 bytes): st 00:00:5E:00:01:01 in vlan 801 is flapping between port Gi5/8 and port Gi5/9 Jan 6 19:24:09: %C4K_EBM-4-HOSTFLAPPING: Host 00:00:5E:00:01:01 in vlan 801 is flapping between port Gi5/8 and port Gi5/9 Jan 6 19:24:23: %C4K_EBM-4-HOSTFLAPPING: Host 00:00:5E:00:01:01 in vlan 801 is flapping between port Gi5/8 and port Gi5/9

36/48

Commutateurs Cisco Catalyst

8.3. Obtenir des renseignements sur le matriel et l'IOS

show version

crc-ce1# show version Cisco Internetwork Operating System Software IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-I9K2S-M), Version 12.1(20)EW, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) TAC Support: http://www.cisco.com/tac Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Wed 22-Oct-03 23:03 by kellmill Image text-base: 0x00000000, data-base: 0x0106B818 ROM: 12.1(19r)EW Dagobah Revision 86, Swamp Revision 2 crc-ce1 uptime is 21 weeks, 22 hours, 14 minutes System returned to ROM by reload System restarted at 18:41:12 UTC+1 Thu Dec 4 2003 System image file is "bootflash:cat4000-i9k2s-mz.121-20.EW.bin" cisco WS-C4507R (XPC8245) processor (revision 2) with 262144K bytes of memory. Processor board ID FOX073805NU Last reset from Reload 3 Ethernet/IEEE 802.3 interface(s) 1 FastEthernet/IEEE 802.3 interface(s) 82 Gigabit Ethernet/IEEE 802.3 interface(s) 511K bytes of non-volatile configuration memory. Configuration register is 0x2102

show env all

Cette commande sert obtenir des informations sur la sant du comutateur: Temprature, CPU, alimentation ...

8.4. Obtenir des informations sur les interfacesOn obtient une vision gnrale des interfaces du commutateur et de leur statut.

show interface status

2950-ce1# sh interfaces status Port Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/5 Fa0/6 Fa0/7 Fa0/8 Fa0/9 Fa0/10 Name Status connected notconnect notconnect notconnect notconnect notconnect notconnect connected connected notconnect Vlan 800 1 1 1 1 1 1 800 800 1 Duplex a-full auto auto auto auto auto auto a-full a-half auto Speed a-100 auto auto auto auto auto auto a-100 a-10 auto Type 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX

37/48

Commutateurs Cisco Catalyst

Fa0/11 Fa0/12 Fa0/13 Fa0/14 Fa0/15 Fa0/16 Fa0/17 Fa0/18 Fa0/19 Fa0/20 Fa0/21 Fa0/22 Fa0/23 Fa0/24 Fa0/25 Fa0/26

notconnect notconnect notconnect notconnect notconnect notconnect notconnect notconnect notconnect notconnect notconnect notconnect notconnect connected notconnect notconnect

1 1 1 1 1 1 1 1 1 1 1 1 1 800 1 1

auto auto auto auto auto auto auto auto auto auto auto auto auto a-half full full

auto auto auto auto auto auto auto auto auto auto auto auto auto a-100 100 100

10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 100BaseFX 100BaseFX

show interface

On obtient des informations compltes sur une interface. Son statut, son adresse MAC, sa vitesse, le dbit sur l'interface avec des compteurs d'erreurs.2950-ce1# show interfaces fastEthernet 0/8 FastEthernet0/8 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 000d.bc6f.dbc8 (bia 000d.bc6f.dbc8) MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 03:59:42, output 00:00:01, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 2000 bits/sec, 4 packets/sec 3450 packets input, 221527 bytes, 0 no buffer Received 1327 broadcasts (0 multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 7 multicast, 0 pause input 0 input packets with dribble condition detected 61271 packets output, 4321155 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out

show interfaces counters error

Cette commande permet de visualiser dans un tableau les erreurs dtectes sur toutes les interfaces.

show mac-address-table

Cette commande permet d'obtenir la table de commutation du switch avec toutes les adresses MAC

38/48

Commutateurs Cisco Catalyst

connues dans chaque VLAN.2950-ce1# show mac-address-table Mac Address Table ------------------------------------------Vlan Mac Address Type Ports ------------------------All 000d.bc6f.dbc0 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 800 0000.5e00.0133 DYNAMIC Fa0/24 800 0002.b316.5062 DYNAMIC Fa0/24 800 0002.b316.51ed DYNAMIC Fa0/24 800 0002.b327.5d4c DYNAMIC Fa0/24 800 0002.b327.5ead DYNAMIC Fa0/24 800 0002.b327.5f91 DYNAMIC Fa0/24 800 0002.b398.e0b5 DYNAMIC Fa0/24 800 0002.b3a7.e6a7 DYNAMIC Fa0/24 800 0005.858a.18bc DYNAMIC Fa0/24 800 0005.858a.385d DYNAMIC Fa0/24 800 0008.02dc.6133 DYNAMIC Fa0/1 800 000e.83bb.3108 DYNAMIC Fa0/8 800 000e.83bb.3109 DYNAMIC Fa0/9 800 000e.83bb.3141 DYNAMIC Fa0/8 800 0010.5a66.dd50 DYNAMIC Fa0/24 800 0030.6e2c.cf52 DYNAMIC Fa0/24 800 0050.ba48.0312 DYNAMIC Fa0/24 800 00d0.9539.c129 DYNAMIC Fa0/24 Total Mac Addresses for this criterion: 22

clear counters

Cette commande permet de remettre zro les compteurs sur une interface. Elle est utile si l'ont veut controller l'intgrit de l'interface.

8.5. Obtenir des informations sur les VLAN

show vlan

Cette commande permet d'obtenir des informations sur tous les VLAN avec la liste des interfaces sur lesquelles ils sont actifs.2950-ce1# show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/25, Fa0/26 2 VLAN0002 active 3 externe active 800 VLAN0800 active Fa0/1, Fa0/8, Fa0/9, Fa0/24 1002 fddi-default act/unsup

39/48

Commutateurs Cisco Catalyst

1003 token-ring-default 1004 fddinet-default 1005 trnet-default VLAN ---1 2 3 800 VLAN ---1002 1003 1004 1005 Type ----enet enet enet enet Type ----fddi tr fdnet trnet SAID ---------100001 100002 100003 100800 SAID ---------101002 101003 101004 101005 MTU ----1500 1500 1500 1500 MTU ----1500 1500 1500 1500 Parent -----Parent ------

act/unsup act/unsup act/unsup RingNo -----RingNo -----BridgeNo -------BridgeNo -------Stp ---Stp ---ieee ibm BrdgMode -------BrdgMode -------Trans1 -----0 0 0 0 Trans1 -----0 0 0 0 Trans2 -----0 0 0 0 Trans2 -----0 0 0 0

Remote SPAN VLAN ------------------------------------------------------------------------------

Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------

8.6. Obtenir des informations sur les agrgations de liensCette commande permet d'obtenir des informations sur l'interface virtuelle forme par l'agrgation de plusieurs liens comme, le statut, les compteurs de dbit, d'erreurs ...

show lacp neighborshow lacp neighbor - Device is requesting Slow LACPDUs - Device is requesting Fast LACPDUs - Device is in Active mode P - Device is in Passive mode

2950-ce1# Flags: S F A

Channel group 1 neighbors Partner's information: LACP port Priority Dev ID Age 32768 000e.83bb.3100 16s 32768 000e.83bb.3100 2s Oper Key 0x1 0x1 Port Number 0x3 0x4 Port State 0x3D 0x3D

Port Fa0/2 Fa0/3

Flags SA SA

Cette commande permet d'obtenir des informations sur les ensembles de liens agrgs.

show interface port-channel

8.7. Obtenir des informations sur le spanning-tree

show spanning tree

Cette commande dj t dcrite dans le chapitre 7.

40/48

Commutateurs Cisco Catalyst

show spanning tree summary

Cette commande permet d'obtenir une information rapide sur toutes les instances spanning tree d'un commutateur.2950-ce1# show spanning-tree Switch is in pvst mode Root bridge for: none EtherChannel misconfig guard Extended system ID Portfast Default PortFast BPDU Guard Default Portfast BPDU Filter Default Loopguard Default UplinkFast BackboneFast Pathcost method used summary

is is is is is is is is is

enabled enabled disabled disabled disabled disabled disabled disabled short

Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------VLAN0800 0 0 0 4 4 ---------------------- -------- --------- -------- ---------- ---------1 vlan 0 0 0 4 4

41/48

Commutateurs Cisco Catalyst

9. Annexes 9.1. Exemple de configuration d'usine d'un Cisco Catalyst 2950Switch# sh running-config Building configuration... Current configuration : 1567 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! ! ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! interface FastEthernet0/1 no ip address ! interface FastEthernet0/2 no ip address ! ! ! interface FastEthernet0/26 no ip address ! interface Vlan1 no ip address no ip route-cache shutdown ! ip http server ! ! line con 0 line vty 5 15 ! end

42/48

Commutateurs Cisco Catalyst

9.2. Procdure de rcupration de mot de passe sur un Catalyst 3750The default configuration for the switch allows an end user with physical access to the switch to recover from a lost password by interrupting the boot process during power-on and by entering a new password. These recovery procedures require that you have physical access to the switch. . Note: On these switches, a system administrator can disable some of the functionality of this feature by allowing an end user to reset a password only by agreeing to return to the default configuration. If you are an end user trying to reset a password when password recovery has been disabled, a status message shows this during the recovery process. This section describes how to recover a forgotten or lost switch password. It provides two solutions: Procedure with Password Recovery Enabled Procedure with Password Recovery Disabled You enable or disable password recovery by using the service password-recovery global configuration command. When you enter the service password-recovery or no service password-recovery command on the stack master, it is propagated throughout the stack and applied to all switches in the stack. Follow the steps in this procedure if you have forgotten or lost the switch password. 1 Connect a terminal or PC with terminal-emulation software to the switch console port. If you are recovering the password to a switch stack, connect to the console port of the stack master. 2 Set the line speed on the emulation software to 9600 baud. 3 Power off the standalone switch or the entire switch stack. 4 Press the Mode button, and at the same time, reconnect the power cord to the standalone switch or the stack master. You can release the Mode button a second or two after the LED above port 1 turns off. Several lines of information about the software appear with instructions, informing you if the password recovery procedure has been disabled or not. If you see a message that begins with this: The system has been interrupted prior to initializing the flash file system. The following commands will initialize the flash file system. proceed to the Procedure with Password Recovery Enabled section, and follow the steps. If you see a message that begins with this: The password-recovery mechanism has been triggered, but is currently disabled. proceed to the Procedure with Password Recovery Disabled section, and follow the steps.

5 After recovering the password, reload the standalone switch or the stack master: Switch> reload slot Proceed with reload? [confirm] y 6 Power on the rest of the switch stack. Procedure with Password Recovery Enabled If the password-recovery mechanism is enabled, this message appears: The system has been interrupted prior to initializing the flash file system. The following commands will initialize the flash file system, and finish loading the operating system software: flash_init load_helper boot Step 1 Initialize the flash file system: switch: flash_init

43/48

Commutateurs Cisco Catalyst

Step 2 If you had set the console port speed to anything other than 9600, it has been reset to that particular speed. Change the emulation software line speed to match that of the switch console port. Step 3 Load any helper files: switch: load_helper Step 4 Display the contents of flash memory: switch: dir flash: The switch file system appears: Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c3750-i5-mz-121-1.0 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456 bytes free) Step 5 Rename the configuration file to config.text.old. This file contains the password definition. switch: rename flash:config.text flash:config.text.old Step 6 Boot the system: switch: boot You are prompted to start the setup program. Enter N at the prompt: Continue with the configuration dialog? [yes/no]: N Step 7 At the switch prompt, enter privileged EXEC mode: Switch> enable Step 8 Rename the configuration file to its original name: Switch# rename flash:config.text.old flash:config.text Note Before continuing to Step 9, power on any connected stack members and wait until they have completely initialized. Step 9 Copy the configuration file into memory: Switch# copy flash:config.text system:running-config Source filename [config.text]? Destination filename [running-config]? Press Return in response to the confirmation prompts. The configuration file is now reloaded, and you can change the password. Step 10 Enter global configuration mode: Switch# configure terminal Step 11 Change the password: Switch (config)# enable secret password The secret password can be from 1 to 25 alphanumeric characters, can start with a number, is case sensitive, and allows spaces but ignores leading spaces. Step 12 Return to privileged EXEC mode: Switch (config)# exit Switch# Step 13 Write the running configuration to the startup configuration file: Switch# copy running-config startup-config The new password is now in the startup configuration.

44/48

Commutateurs Cisco Catalyst

Note This procedure is likely to leave your switch virtual interface in a shutdown state. You can see which interface is in this state by entering the show running-config privileged EXEC command. To reenable the interface, enter the interface vlan vlan-id global configuration command, and specify the VLAN ID of the shutdown interface. With the switch in interface configuration mode, enter the no shutdown command. Step 14 Reload the switch stack: Switch# reload Procedure with Password Recovery Disabled If the password-recovery mechanism is disabled, this message appears: The password-recovery mechanism has been triggered, but is currently disabled. Access to the boot loader prompt through the password-recovery mechanism is disallowed at this point. However, if you agree to let the system be reset back to the default system configuration, access to the boot loader prompt can still be allowed. Would you like to reset the system back to the default configuration (y/n)? Caution Returning the switch to the default configuration results in the loss of all existing configurations. We recommend that you contact your system administrator to verify if there are backup switch and VLAN configuration files. you cannot access the boot loader prompt, and you cannot enter a new password. You see the message: Press Enter to continue........ If you enter y (yes), the configuration file in flash memory and the VLAN database file are deleted. If you enter n (no), the normal boot process continues as if the Mode button had not been pressed;

When the default configuration loads, you can reset the password.

Step 1 Elect to continue with password recovery and lose the existing configuration: Would you like to reset the system back to the default configuration (y/n)? Y Step 2 Load any helper files: Switch: load_helper Step 3 Display the contents of flash memory: switch: dir flash: The switch file system appears: Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c3750-i5-mz-121-1.0 16128000 bytes total (10003456 bytes free) Step 4 Boot the system: Switch: boot You are prompted to start the setup program. To continue with password recovery, enter N at the prompt: Continue with the configuration dialog? [yes/no]: N Step 5 At the switch prompt, enter privileged EXEC mode: Switch> enable

45/48

Commutateurs Cisco Catalyst

Step 6 Enter global configuration mode: Switch# configure terminal Step 7 Change the password: Switch (config)# enable secret password The secret password can be from 1 to 25 alphanumeric characters, can start with a number, is case sensitive, and allows spaces but ignores leading spaces. Step 8 Return to privileged EXEC mode: Switch (config)# exit Switch# Note Before continuing to Step 9, power on any connected stack members and wait until they have completely initialized. Step 9 Write the running configuration to the startup configuration file: Switch# copy running-config startup-config The new password is now in the startup configuration. Note This procedure is likely to leave your switch virtual interface in a shutdown state. You can see which interface is in this state by entering the show running-config privileged EXEC command. To reenable the interface, enter the interface vlan vlan-id global configuration command, and specify the VLAN ID of the shutdown interface. With the switch in interface configuration mode, enter the no shutdown command. Step 10 You must now reconfigure the switch. If the system administrator has the backup switch and VLAN configuration files available, you should use those.

46/48

Commutateurs Cisco Catalyst

9.3. Procdure de rcupration de mot de passe sur un Catalyst 2950Follow these steps if you have forgotten or lost the switch password. Step 1 Connect a terminal or PC with terminal emulation software to the console port. For more information, refer to the switch hardware installation guide. Step 2 Set the line speed on the emulation software to 9600 baud. Step 3 Unplug the switch power cord. Step 4 Press the Mode button, and at the same time, reconnect the power cord to the switch. You can release the Mode button a second or two after the LED above port 1X goes off. Several lines of information about the software appear, as do instructions: The system has been interrupted prior to initializing the flash file system. These commands will initialize the flash file system, and finish loading the operating system software: flash_init load_helper boot Step 5 Initialize the Flash file system: switch# flash_init Step 6 If you had set the console port speed to anything other than 9600, it has been reset to that particular speed. Change the emulation software line speed to match that of the switch console port. Step 7 Load any helper files: switch# load_helper Step 8 Display the contents of Flash memory as in this example: switch# dir flash: The switch file system is displayed: Directory of flash:/ 3 drwx 10176 Mar 01 2001 00:04:34 html 6 -rwx 2343 Mar 01 2001 03:18:16 config.text 171 -rwx 1667997 Mar 01 2001 00:02:39 c2950-i6q412-mz.121-9.EA1.bin 7 -rwx 3060 Mar 01 2001 00:14:20 vlan.dat 172 -rwx 100 Mar 01 2001 00:02:54 env_vars 7741440 bytes total (3884509 bytes free) Step 9 Rename the configuration file to config.text.old. This file contains the password definition. switch# rename flash:config.text flash:config.text.old Step 10 Boot the system: switch# boot You are prompted to start the setup program. Enter N at the prompt: Continue with the configuration dialog? [yes/no]: N Step 11 At the switch prompt, change to privileged EXEC mode: switch> enable

47/48

Commutateurs Cisco Catalyst

Step 12 Rename the configuration file to its original name: switch# rename flash:config.text.old flash:config.text Step 13 Copy the configuration file into memory: switch# copy flash:config.textsystem:running-config Source filename [config.text]? Destination filename [running-config]? Press Return in response to the confirmation prompts. The configuration file is now reloaded, and you can use the following normal commands to change the password. Step 14 Enter global configuration mode: switch# config terminal Step 15 Change the password: switch(config)# enable secret or switch(config)# enable password Step 16 Return to privileged EXEC mode: switch(config)# exit switch# Step 17 Write the running configuration to the startup configuration file: switch# copy running-config startup-config The new password is now included in the startup configuration.

48/48