Formation BTS SIO sur le matériel actif H3C du 22 février 2012. Support

Formation BTS SIO sur le matériel actif H3C du 22 février 2012 Support Arnaud Andriot Sicep Page 1 sur 38

Table des matières Switch A3600...3 Partie niveau 2...3 Création, affectation des vlan...3 Lien Trunk...3 Agrégation de ports...4 Configuration de ports...4 Filtrage adresses mac...4 Spanning-tree...5 Management du switch...5 Creation de comptes...5 Adresse...6 Passerelle par défaut...6 Prise en main en http...6 Telnet, ssh...8 Les fichiers de configuration...9 Visualisation des fichiers de configuration et sauvegarde...9 Changement du fichier de configuration... 11 Sauvegarde et copie de la configuration sur une station... 12 Configuration SNMP... 13 Synchronisation sur serveur de temps... 13 Visualisation de logs... 14 Mise en place du stack... 17 Exemple d une configuration d un switch A3600... 19 Switch A5800... 28 Partie niveau 2... 28 Mise en place de la route par défaut... 29 Adressage des vlan... 29 Mise en place du vlan de management... 29 Mise en place du proxy arp... 29 Relai DHCP... 29 Les Acls... 29 Interface web... 32 Exemple d une configuration d un switch A5800... 33 Arnaud Andriot Sicep Page 2 sur 38

Partie niveau 2 Création de vlan Configuration A3600 Voir les vlan existants Affectation des vlan sur les ports Voir les affectations des vlan Lien trunk Arnaud Andriot Sicep Page 3 sur 38

Agrégation de ports Configuration de la vitesse d un port (par défaut le port est en auto-négociation) Voir la configuration d un port Filtrage des adresses mac par vlan Arnaud Andriot Sicep Page 4 sur 38

Filtrage des ports par adresse mac Les logs des adresses mac Mise en place du spanning-tree Configuration pour les ports directement reliés à des postes Voir les logs du spanning-tree Management du switch Création d un compte Arnaud Andriot Sicep Page 5 sur 38

Exemple du compte administrateur de niveau «level 3» Exemple du compte operateur de niveau «level 0» Arnaud Andriot Sicep Page 6 sur 38

Affectation d une adresse pour la prise en main à distance Mise en place de la passerelle par défaut Prise en main en http Exemple du compte administrateur de niveau «level 3» Arnaud Andriot Sicep Page 7 sur 38

Exemple du compte operateur de niveau «level 0» Prise en main en telnet Prise en main en ssh (avec suppression de l accès en telnet) Arnaud Andriot Sicep Page 8 sur 38

Les fichiers de configuration 2 types de fichiers de configuration : saved-configuration : fichier contenant la configuration sauvegardée. Mémoire Flash, non volatile. current-configuration : fichier de configuration temporaire, remplacé par le contenu du saved-config lors du redémarrage. Mémoire volatile. Voir la configuration sauvegardée Arnaud Andriot Sicep Page 9 sur 38

Voir la configuration temporaire Sauvegarde en locale de la configuration La configuration est enregistrée sous le nom config.cfg Arnaud Andriot Sicep Page 10 sur 38

Remarque : la configuration peut-être enregistré sous un autre nom Remarque : l astérix indique qu il s agit du fichier de configuration utilisé au démarrage. Changement du fichier de configuration Remarque : un reboot du switch est nécessaire pour prendre en compte le fichier de configuration Arnaud Andriot Sicep Page 11 sur 38

Sauvegarde de la configuration sur une station Il faut une station avec un serveur tftp, connectée au réseau. Le fichier peut alors être travaillé depuis le poste. Copie d une configuration vers le switch Arnaud Andriot Sicep Page 12 sur 38

Remarque : pour que le fichier soit pris en considération, il ne faut pas oublier de taper startup saved-configuration config-switch-modif.cfg main et de rebooter le switch. Mise en place d informations sur le switch Configuration pour des requêtes snmp Configuration d un serveur de temps Arnaud Andriot Sicep Page 13 sur 38

Pour vérifier Quelques logs intéressants La configuration des ports La liste des vlan Arnaud Andriot Sicep Page 14 sur 38

L affectation des vlan Les adresses mac Les personnes connectées au switch Arnaud Andriot Sicep Page 15 sur 38

Les matériels actifs connectés sur le switch Voir la topologie du réseau Arnaud Andriot Sicep Page 16 sur 38

Configuration du stack Switch 2 26 Switch 1 25 Seuls les 4 ports fibres permettent la configuration des switchs dans un stack. Arnaud Andriot Sicep Page 17 sur 38

Sur switch 1 Sur switch 2 Arnaud Andriot Sicep Page 18 sur 38

Pour vérifier : Exemple d une configuration d un switch A3600 Création de 2 vlan (id 10 nom INFO, id 20 nom SECRETARIAT), adresse de prise en main sur 10.121.208.254/24 sur le vlan 10, sécurisation en ssh, mise en place du spanning-tree, création d un lien trunk sur le port 1, affectation du vlan 10 sur les ports 2 à 12 et du vlan 20 sur les ports 13 à 24. <H3C>system-view info générales [H3C]sysname 0210066H-SR250 [0210066H-SR250]snmp-agent sys-info contact Sicep [0210066H-SR250]snmp-agent sys-info location Cétiad-Dijon-bureau Sicep config snmp [0210066H-SR250]snmp-agent sys-info version v2c [0210066H-SR250]snmp-agent community read rectorat config compte local [0210066H-SR250]local-user administrateur [0210066H-SR250-luser-administrateur]password cipher passwd permet l accès du compte en terminal, telnet et ssh avec des droits de super administrateur [0210066H-SR250-luser-administrateur]service-type terminal ssh telnet level 3 [0210066H-SR250-luser-administrateur]quit création d une clé rsa et mise en place ssh [0210066H-SR250]public-key local create rsa [0210066H-SR250]ssh authentication-type default all Arnaud Andriot Sicep Page 19 sur 38

[0210066H-SR250]user-interface 0 12 [0210066H-SR250-ui0-12]authentication-mode scheme [0210066H-SR250]user-interface vty 0 4 suppression de l accès en telnet [0210066H-SR250-ui-vty0-4]protocol inbound ssh [0210066H-SR250-ui-vty0-4]quit création des vlan [0210066H-SR250]vlan 10 [0210066H-SR250-vlan10]name INFO [0210066H-SR250-vlan10]vlan 20 [0210066H-SR250-vlan20]name SECRETARIAT [0210066H-SR250-vlan20]quit affectation d une adresse ip au switch [0210066H-SR250]interface Vlan-interface 10 [0210066H-SR250-Vlan-interface10]ip address 10.121.208.250 24 [0210066H-SR250-Vlan-interface10]quit configuration d un port en mode trunk [0210066H-SR250] port Ethernet 1/0/1 [0210066H-SR250-Ethernet1/0/1]port link-type trunk [0210066H-SR250-Ethernet1/0/1]port trunk permit vlan 10 20 [0210066H-SR250-Ethernet1/0/1]quit affectation d un vlan à des ports [0210066H-SR250]vlan 10 [0210066H-SR250-vlan10]port Ethernet 1/0/2 to Ethernet 1/0/12 [0210066H-SR250-vlan10]vlan 20 [0210066H-SR250-vlan20]port Ethernet 1/0/13 to Ethernet 1/0/24 [0210066H-SR250-vlan20]quit Arnaud Andriot Sicep Page 20 sur 38

mise en place du rapid spanning-tree [0210066H-SR250]stp enable [0210066H-SR250]stp mode rstp [0210066H-SR250]stp interface Ethernet 1/0/2 to Ethernet 1/0/24 edged-port enable [0210066H-SR250]stp bpdu-protection [0210066H-SR250]save Exemple d un fichier de configuration : sysname 0210066H-SR250 link-aggregation group 2 mode static radius scheme system domain system local-user administrateur password cipher K\6L0I"K+"WQ=^Q`MAF4<1!! service-type ssh telnet terminal level 3 stp mode rstp stp enable vlan 1 name INTERCO Arnaud Andriot Sicep Page 21 sur 38

vlan 50 name DMZ vlan 60 name VISIO vlan 100 name ADMIN vlan 110 name GENERAL vlan 1000 name MANAGEMENT interface Vlan-interface1000 ip address 10.121.208.250 255.255.255.128 LOCCFG. MUST NOT DELETE interface Aux1/0/0 interface Ethernet1/0/1 port link-type trunk port trunk permit vlan all lacp enable Arnaud Andriot Sicep Page 22 sur 38

port link-aggregation group 2 interface Ethernet1/0/2 interface Ethernet1/0/3 port access vlan 110 interface Ethernet1/0/4 port access vlan 110 interface Ethernet1/0/5 interface Ethernet1/0/6 interface Ethernet1/0/7 Arnaud Andriot Sicep Page 23 sur 38

interface Ethernet1/0/8 interface Ethernet1/0/9 interface Ethernet1/0/10 interface Ethernet1/0/11 interface Ethernet1/0/12 interface Ethernet1/0/13 interface Ethernet1/0/14 Arnaud Andriot Sicep Page 24 sur 38

interface Ethernet1/0/15 interface Ethernet1/0/16 interface Ethernet1/0/17 interface Ethernet1/0/18 interface Ethernet1/0/19 interface Ethernet1/0/20 interface Ethernet1/0/21 Arnaud Andriot Sicep Page 25 sur 38

interface Ethernet1/0/22 interface Ethernet1/0/23 interface Ethernet1/0/24 interface GigabitEthernet1/1/1 priority trust interface GigabitEthernet1/1/2 interface GigabitEthernet1/1/3 interface GigabitEthernet1/1/4 TOPOLOGYCFG. MUST NOT DELETE fabric-port GigabitEthernet1/1/1 enable irf-fabric authentication-mode simple welcome Arnaud Andriot Sicep Page 26 sur 38

GLBCFG. MUST NOT DELETE interface NULL0 management-vlan 1000 voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 ip route-static 0.0.0.0 0.0.0.0 10.121.208.254 preference 60 snmp-agent snmp-agent local-engineid 800063A23822D6685F006877 snmp-agent community read rectorat snmp-agent sys-info contact 'Sicep de Dijon' snmp-agent sys-info location 'Cétiad-Dijon-bureau Sicep' snmp-agent sys-info version v2c v3 ssh authentication-type default all user-interface aux 0 7 user-interface vty 0 4 authentication-mode scheme protocol inbound ssh return Arnaud Andriot Sicep Page 27 sur 38

Partie niveau 2 Configuration A5800 La configuration de la partie niveau 2 est la même que pour un switch A3600 Agrégation de ports Arnaud Andriot Sicep Page 28 sur 38

Mise en place de la route par défaut Mise en place d adresses ip sur les vlan Définir le vlan de management Mise en place du proxy arp Mise en place du relai DHCP Création d acls 3 types d acls : - basic Acls (sur les adresses ip sources) Arnaud Andriot Sicep Page 29 sur 38

- advanced Acls (sur les adresses ip sources et destination, les protocoles sources et destination, niveau 3/4) - acl trames ethernet (champs de la couche d en-tête 2, tels que la source et la destination des adresses mac, priorité 802.1p et type de protocole de couche de liaison) Exemple d acl : interdiction aux adresses en 10.121.213.0/24 de communiquer avec les adresses en 10.121.209.0/24 et 10.121.210.0/24 Mise en place d une acl sur un vlan ou Remarque : les acls peuvent être mis en filtrage d entrée ou de sortie Arnaud Andriot Sicep Page 30 sur 38

Voir les acls Arnaud Andriot Sicep Page 31 sur 38

Voir sur quelles interfaces sont appliquées les acls Une interface web Arnaud Andriot Sicep Page 32 sur 38

Exemple d une configuration d un switch 5600 Création de vlan : 1 INTERCO (10.121.208.126/25), 50 DMZ, 60 VISIO, 100 ADMIN, 110 GENERAL (10.121.210.254/24), 140 TECHNIQUE (10.121.209.254/24) Mise en place du routage et mise en place de d acl de routage : interdiction aux vlan de communiquer entre eux (pour le vlan 110 et 140) Mise en place d un relai DHCP Exemple de fichier de configuration version 5.20, Release 1211 sysname 0210066h-RGd254 dhcp relay server-group 0 ip 10.121.208.5 irf mac-address persistent timer irf auto-update enable undo irf link-delay domain default enable system telnet server enable management-vlan 1000 Arnaud Andriot Sicep Page 33 sur 38

acl number 3000 name MANAGEMENT rule 0 permit ip source 10.121.208.0 0.0.0.127 rule 1 permit ip source 10.121.208.128 0.0.0.127 rule 2 deny ip acl number 3110 name GENERAL rule 0 deny ip source 10.121.210.0 0.0.0.255 destination 10.121.209.0 0.0.0.255 rule 1 deny ip source 10.121.210.0 0.0.0.255 destination 10.121.208.128 0.0.0.127 rule 3 permit ip source 10.121.210.0 0.0.0.255 acl number 3140 name TECHNIQUE rule 0 deny ip source 10.121.209.0 0.0.0.255 destination 10.121.210.0 0.0.0.255 rule 1 deny ip source 10.121.209.0 0.0.0.255 destination 10.121.208.128 0.0.0.127 rule 3 permit ip source 10.121.209.0 0.0.0.255 vlan 1 name INTERCO vlan 50 name DMZ vlan 60 name VISIO vlan 100 name ADMIN vlan 110 name GENERAL vlan 140 name TECHNIQUE vlan 1000 name MANAGEMENT radius scheme system server-type extended primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system access-limit disable state active idle-cut disable self-service-url disable Arnaud Andriot Sicep Page 34 sur 38

user-group system local-user Sicep21 password cipher 1>U=&-(6F7_Q=^Q`MAF4<1!! authorization-attribute level 3 service-type lan-access service-type ssh telnet terminal stp mode rstp stp instance 0 priority 0 stp enable interface Bridge-Aggregation1 port link-type trunk port trunk permit vlan all link-aggregation mode dynamic interface Bridge-Aggregation2 port link-type trunk port trunk permit vlan all link-aggregation mode dynamic interface NULL0 interface Vlan-interface1 ip address 10.121.208.126 255.255.255.128 proxy-arp enable interface Vlan-interface110 ip address 10.121.210.254 255.255.255.0 dhcp select relay dhcp relay server-select 0 packet-filter name GENERAL inbound interface Vlan-interface140 ip address 10.121.209.254 255.255.255.0 dhcp select relay dhcp relay server-select 0 packet-filter name TECHNIQUE inbound interface Vlan-interface1000 ip address 10.121.208.254 255.255.255.128 packet-filter name MANAGEMENT inbound Arnaud Andriot Sicep Page 35 sur 38

interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan all interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan all interface GigabitEthernet1/0/3 interface GigabitEthernet1/0/4 interface GigabitEthernet1/0/5 interface GigabitEthernet1/0/6 interface GigabitEthernet1/0/7 interface GigabitEthernet1/0/8 interface GigabitEthernet1/0/9 interface GigabitEthernet1/0/10 interface GigabitEthernet1/0/11 port link-type trunk port trunk permit vlan all port link-aggregation group 1 interface GigabitEthernet1/0/12 port link-type trunk port trunk permit vlan all port link-aggregation group 1 Arnaud Andriot Sicep Page 36 sur 38

interface GigabitEthernet1/0/13 interface GigabitEthernet1/0/14 interface GigabitEthernet1/0/15 interface GigabitEthernet1/0/16 interface GigabitEthernet1/0/17 interface GigabitEthernet1/0/18 interface GigabitEthernet1/0/19 port link-type trunk port trunk permit vlan all interface GigabitEthernet1/0/20 interface GigabitEthernet1/0/21 interface GigabitEthernet1/0/22 interface GigabitEthernet1/0/23 port link-type trunk port trunk permit vlan all port link-aggregation group 2 interface GigabitEthernet1/0/24 port link-type trunk port trunk permit vlan all port link-aggregation group 2 Arnaud Andriot Sicep Page 37 sur 38

interface Ten-GigabitEthernet1/0/25 port link-type trunk port trunk permit vlan all interface Ten-GigabitEthernet1/0/26 interface Ten-GigabitEthernet1/0/27 interface Ten-GigabitEthernet1/0/28 ip route-static 0.0.0.0 0.0.0.0 10.121.208.1 snmp-agent snmp-agent local-engineid 800063A2033822D6158307 snmp-agent community read rectorat snmp-agent sys-info version v3 dhcp enable ntp-service authentication enable ntp-service unicast-server 10.121.208.5 ssh server enable load xml-configuration load tr069-configuration user-interface aux 0 authentication-mode scheme user-interface vty 0 user-interface vty 1 15 authentication-mode scheme protocol inbound telnet return Arnaud Andriot Sicep Page 38 sur 38