navigation
Home
admin
|
Cisco
October 18th, 2016
|
| Table des matières |  |
Installation d'un switch 2960G
Prolific USB-to-serial on debian wheezy
Les ACL
Suppression des logs
Configuration d'une interface
Enregistrement de la config
Liaison de deux switchs
Divers
| Installation d'un switch 2960G | |
 Connexion au switch (cf Prolific USB-to-serial on debian wheezy et première config en suivant les indications)
Création du vlan de management au niveau 2
swpf#conf t
Enter configuration commands, one per line. End with CNTL/Z.
swpf(config)#vlan 10
swpf(config-vlan)#name management
swpf(config-vlan)#no shut
swpf(config-vlan)#no shutdown
%VLAN 10 is not shutdown.
swpf(config-vlan)#end
swpf# |
Vérification
swpf#sho vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi0/1, Gi0/2, Gi0/3, Gi0/4
Gi0/5, Gi0/6, Gi0/7, Gi0/8
Gi0/9, Gi0/10, Gi0/11, Gi0/12
Gi0/13, Gi0/14, Gi0/15, Gi0/16
Gi0/17, Gi0/18, Gi0/19, Gi0/20
Gi0/21, Gi0/22, Gi0/23, Gi0/24
10 management active
[...] |
swpf#sho vlan id 10
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
10 management active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
10 enet 10010 1500 - - - - - 0 0
Remote SPAN VLAN
----------------
Disabled
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------ |
Configuration du vlan de management
swpf(config)#interface vlan 10
swpf(config-if)#ip address 192.168.10.200 255.255.255.0
swpf(config-if)#no shutdown
swpf(config-if)#end |
Configuration de l'interface en mode trunk
swpf(config)#interface GigabitEthernet 0/1
swpf(config-if)#switchport mode trunk
swpf(config-if)#ip dhcp snooping trust
swpf(config-if)#ex |
 VTP
Configuration du VTP en mode client
swpf#conf t
swpf(config)#vtp version 2
swpf(config)#vtp password xxxx
Setting device VTP password to xxxx
swpf(config)#vtp domain abcd
Changing VTP domain name from NULL to abcd
swpf(config)#vtp mode client
Setting device to VTP Client mode for VLANS.
swpf(config)#ex |
 Si vous avez perdu le mot de passe VTP et que vous disposez d'un switch déjà configuré, la commande suivant peut vous aider :
Vérification du VTP
swpf#sho vtp status
VTP Version capable : 1 to 3
VTP version running : 2
VTP Domain Name : abcd
VTP Pruning Mode : Enabled
VTP Traps Generation : Disabled
Device ID : b4a4.e348.8a80
Configuration last modified by ...
Feature VLAN:
--------------
VTP Operating Mode : Client
Maximum VLANs supported locally : 255
Number of existing VLANs : 22
Configuration Revision : 44
MD5 digest : xxxx
swpf# |
Activation du SSH
Nom de domaine et clé
swpf# conf t
swpf(config)#ip domain-name abcd
swpf(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: swpf.abcd
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK] |
SSH version
swpf(config)#ip ssh version 2 |
Suppression du telnet et autorisation du SSH
swpf(config)#line vty 0 15
swpf(config-line)#login local
swpf(config-line)#transport input ssh
swpf(config-line)#exit |
Ajout d'un utilisateur
swpf#conf t
swpf(config)#username admin secret xxxxxxx
swpf(config)#ex |
Vérification
| Prolific USB-to-serial on debian | |
Pour me connecter directement sur un switch cisco 2960G, j'utilise un adaptateur USB de chez Prolific.
Les logs lors du branchement :
tail -f /var/log/messages
Oct 22 09:46:06 n-04 kernel: [391249.510119] usb 3-1: Product: USB-Serial Controller
Oct 22 09:46:06 n-04 kernel: [391249.510122] usb 3-1: Manufacturer: Prolific Technology Inc.
Oct 22 09:46:06 n-04 kernel: [391249.510620] pl2303 3-1:1.0: pl2303 converter detected
Oct 22 09:46:06 n-04 kernel: [391249.511539] usb 3-1: pl2303 converter now attached to ttyUSB0 |
J'utilise ensuite cu :
cu -s 9600 -l /dev/ttyUSB0 |
L'utilisateur qui lance la commande "cu" doit faire partie du groupe dialout :
usermod -a -G dialout bruno |
et pour basculer immédiatement dans le nouveau groupe :
Source : http://www.kuncar.net/blog/prolific-usb-to-serial-on-debian-sid-howto/2011/
| Les ACL | |
Divers
« Une access list comprend l'expression implicite "deny all" en derniere commande... ce qui veut dire qu'une access list est faire pour autoriser certaine chose et refuser tout le reste... !!! c'est une base de la sécurité »
Toutes les machines du réseau 192.168.3.0/24 : 192.168.3.0 0.0.0.255
host 10.1.1.2 0.0.0.0 is the same as host 10.1.1.2. => on contrôle les bits du masque inverse (Wildcard) qui sont à 0.
« Un masque générique est un masque de filtrage. Quand un bit aura une valeur de 0 dans le masque, il y aura vérification de ce bit sur l'adresse IP de référence. Lorsque le bit aura une valeur de 1, il n'en y aura pas. >>
Source : http://cisco.goffinet.org/s2/acl_resume#.UkE4OtK8C5A
L'ACL étendue filtre sur les adresses source et destination, sur le protocole et le numéro de port.
Elle est de la forme:
access-list numéro de la liste {deny|permit} protocole source masque-source [operateur [port destination masque-destination [operateur [port[established][log]
Le mot "any" remplace le 0.0.0.0 255.255.255.255, autrement dit toute adresse IP
Le mot "host" remplace le masque 0.0.0.0, par exemple, 10.1.1.1 0.0.0.0 peut être remplacé par "host 10.1.1.1"
Concrètement, on pourra généraliser de la manière suivante. Le masque générique à utiliser est l'inverse du masque de réseau pour un réseau à filtrer. Par exemple, pour filter sur 192.168.1.0/24 (255.255.255.0), on prendra un masque générique 0.0.0.255. Autre exemple aussi, pour filter sur 192.168.1.0/27 (255.255.255.224), on prendra un masque générique 0.0.0.31.
Exemple
permit ip host 10.165.100.25 any |
host 10.165.100.25 <=> 10.165.100.25 0.0.0.0 : source masque-source
any <=> 0.0.0.0 255.255.255.255 : destination masque-destination
Sources
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml#proacl
http://www.tomsguide.fr/forum/id-412533/wildcard-mask-liste-acces-cisco.html
http://routeur.clemanet.com/acl-cisco.php
Liste d'accès IP nommée
Vous pouvez employer des listes d'accès IP nommée pour retirer des entrées d'une liste d'accès spécifique, ce qui permet de modifier une liste d'accès sans le détruire et de pouvoir le reconfigurer. Les listes d'accés nommées sont utilisées lorsque :
- Vous souhaitez identifier une liste d'accès en utilisant un nom alphanumérique.
- Vous disposez de plus de 99 listes d'accès simples ou de plus de 100 listes d'accès étendues à configurer pour un protocole donné.
Voici la commande :
Router(config)#ip access-list standard nom
Router(config-ext-nacl)#permit|deny
|
Exemple :
Router(config)# ip access-list extended filtrage
Router(config-ext-nacl)#permit tcp any 192.168.0.0 0.255.255.255 lt 1024
Router(config-ext-nacl)#deny udp any 192.168.0.0 0.255.255.255 eq 8080
Router(config)#ip access-list extended nom
Router(config-ext-nacl)#permit|deny
|
Diagnostic
On emploie la commande show pour des raisons de diagnostic comme c'est illustré dans l'exemple suivant :
Router#show ip interface [type numéro]
Router#show access-lists [numéro-liste-accès|nom-liste-accès]
Router#show ip access-list [numéro-liste-accès|nom-liste-accès]
Router#show access-lists
Standard IP access list 0
Extended IP access list filtrage
permit tcp any 192.168.0.0 0.255.255.255 lt 1024(0 matches)
deny udp any 192.168.0.0 0.255.255.255 eq 8080 (0 matches)
Router#show ip access-list filtrage
... |
Source : http://www.technologuepro.com/reseaux/Configuration-des-ACLs/les-ACLs.html
Note sur le in et le out des VLAN
Source : http://www.judoclubfirminy.fr/_CV/cisco/simulation_ACL.php#creation_acl
Modification des ACL d'un VLAN
conf t
int vlan 1
ip access-group <nom_liste_acces> out |
Vérification :
Suppression d'une liste d'accès
no ip access-list extended <nom_liste_acces> |
Vérification d'une liste d'accès
show access-list <nom_liste_acces> |
Méthode de modification d'une liste d'accès associée à un VLAN lorsqu'on ne peut la modifier ligne par ligne
créer une nouvelle liste d'accès
modifier la config des vlan pour qu'ils pointent vers cette nouvelle liste
supprimer l'ancienne liste
recréer l'ancienne liste
modifier la config des vlan pour qu'ils pointent vers cette dernière
| Suppression des logs | |
conf t
no logging console |
Pour les remettre :
| Configuration d'une interface | |
en
conf t
interface gig 0/8
[...] |
Vérification du status des interfaces
Vérification d'une interface
show running-config interface gig 0/8 |
Activer une interface
en
conf t
interface gig 0/8
no shutdown |
Une doc intéressante : http://www.clemanet.com/cisco-port-switch.php
Supprimer la config d'une interface
en
configure terminal
default interface gig 0/8
end |
Voir la config d'une interface
show running-config interface GigabitEthernet 0/22 |
Voir l'état d'une interface
show interface GigabitEthernet 0/22 |
| Enregistrement de la config | |
Sur le switch pour être effective après un redémarrage
Sur un serveur tftp
copy running-config tftp: |
| Liaison de deux switchs | |
switch père CISCO :
interface GigabitEthernet5/45
description vers switch fils
switchport trunk encapsulation dot1q
switchport mode trunk
! |
switch fils CISCO :
interface GigabitEthernet1/0/48
description vers switch père
switchport mode trunk
! |
switch fils DELL :
interface GigabitEthernet1/0/48
description vers switch père
switchport trunk allowed vlan add 8,9
! |
| Divers | |
What is command to reboot cisco 2950 ?
copy running-config startup-config (copies changes made since last reboot)
wr mem (writes changes to memory)
reload (restarts switch)
reload will prompt you with [confirm] just hit enter to confirm you want to restart.
Reloading the switch will clear your current configuration unless you have saved your changes; thats why I included the commands to do so in my answer.
These are actually standard IOS commands, they work on almost any cisco device running IOS. I do not think it is possible to restart the device from the WebGUI. You need to do it from CLI, and preferably from the console, in case the reboot fails; you can troubleshoot it.
Source : https://answers.yahoo.com/question/index?qid=20090403064702AAJ2xeJ
what are the vty lines?
"They are logical "connection points" to the router, that are used by Telnet as well as SSH to remotely access your router."
Source : https://learningnetwork.cisco.com/thread/13484
Properly set a Cisco router's clock and time zone
Voir l'heure et la date :
Définir l'heure et la date :
clock set 10:50:00 Oct 26 2006 |
Définir des serveurs NTP :
ntp server <IP> prefer
ntp server <IP> |
Source : http://www.techrepublic.com/article/properly-set-a-cisco-routers-clock-and-time-zone/
Les logs de la console en ssh
#terminal monitor ---> to start logging
#terminal no monitor ----> to stop logging |
Les adresses MAC qui circulent sur le switch
|
|
Contact
|
|---|
Pour m'envoyer un mail,
Pour me laisser un commentaire :richard.brunooo
chez
gmail.com |  |
|
|