Catalyst 2950/ Administrer le Commutateur

Slides:



Advertisements
Présentations similaires
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Advertisements

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)
Catalyst Configurer les macros Smartports
Catalyst Configuration SNMP.
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
OSPF - Comment OSPF génère les routes par défaut
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Configuration - Diagnostics en ligne
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Catalyst Configurer les macros Smartports
basé sur le port - Catalyst 3550
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
Réseau informatique Sorenza Laplume 1.
Configuration des suites de Chiffrement et WEP
Cisco Catalyst 3550 Configuration IGMP Snooping & MVR
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
Configuration Routeur SOHO77
Hot Standby Router Protocol standby preempt et standby track
Préparation de mise à jour
Configuration de LLDP et
Routage S 7 - Questionnaire N°1
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Commande show ip eigrp topology
Intégration de NAT avec les VPNs MPLS
Routage S 5 - Questionnaire N°1
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
Sécurité - Configuration de -
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
trois réseaux internes
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
OSPF - Routage Inter-Area
Commande show vtp ccnp_cch ccnp_cch.
entre trois routeurs utilisant des
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
(Switch Database Management)
QoS - Configuration Fragmentation
Windows Server 2012 Objectifs
Configuration NAT Dynamique
Les protocoles de la couche application Chapitre 7.
Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

Catalyst 2950/2955 - Administrer le Commutateur ccnp_cch

Sommaire - Comprendre l'horloge système ● Introduction ● Gérer la date et l'heure du système - Comprendre l'horloge système - Comprendre NTP (Network Time Protocol) - Configurer NTP - Configurer la date et l'heure manuellement ● Configurer le nom du système et le prompt - Configuration par défaut du nom du système et du prompt - Configurer le nom du système - Configurer le prompt système - Comprendre le DNS ● Créer une bannière - Configuration de la bannière par défaut - Configuration de la bannière de login Message-of-the-Day - Configuration d'une bannière de login ● Gérer la table d'adresses MAC - Construction de la table d'adresses - Adresses MAC et VLANs - Configuration par défaut de la table d'adresses MAC - Changer la durée de validité d'une adresse - Retirer les entrées d'adresses dynamiques - Configurer les notifications de traps adresse MAC - Ajouter et retirer des entrées d'adresses statiques - Configurer le filtrage d'adresses MAC unicast - Afficher les entrées de la table d'adresses ● Gérer la table ARP ccnp_cch

Gérer la date et l'heure du système Introduction Ce document décrit comment réaliser les opérations de configuration de base pour ad- ministrer votre commutateur Catalyst 2950 ou Catalyst 2955. Ce document comprend les sections suivantes: ● Gérer la date et l'heure du système ● Configurer le nom du système et le prompt ● Créer une bannière ● Gérer la table d'adresses MAC ● Gérer la table ARP Gérer la date et l'heure du système Vous pouvez gérer la date et l'heure du système sur votre commutateur en utilisant des méthodes de configuration automatiques telle que NTP (Network Time Protocol) ou manuelles. Cette section contient les informations de configuration suivantes: ● Comprendre l'horloge système ● Comprendre NTP (Network Time Protocol) ● Configurer NTP ● Configurer la date et l'heure manuellement Comprendre l'horloge système Le cœur du service de temps est le système d'horloge. Cette horloge opère dès que le système démarre et garde trace de la date et de l'heure. L'horloge système peut être configurée par deux sources : ● NTP (Network Time Protocol) ● Configuration manuelle L'horloge système peut fournir l'heure et la date à ces services : ● A l'utilisateur des commandes show ● Aux messages de logging et de debugging L'horloge système garde trace du temps de manière interne sur la base de l'UTC ( Uni- versal Time Coordinated) connu également comme GMT (Greenwich Mean Time). Vous pouvez configurer l'information de zone locale de temps et le passage à l'heure d'été et d'hiver pour que la date et l'heure apparaissent correctement pour la zone locale de temps. ccnp_cch

L'horloge système garde en mémoire si le temps fait autorité ou non ( ce qui signifie, si l'horloge a été configurée par une source considérée comme une autorité). Si elle n'est pas issue d'une autorité, le temps est disponible uniquement pour affichage et n'est pas redistribué. Comprendre NTP (Network Time Protocol) NTP est conçu pour synchroniser le temps dans un réseau d'équipements. NTP opère au dessus de UDP (User Datagram Protocol) qui opère au-dessus d'IP. NTP est docu- menté dans le RFC 1305. Un réseau avec NTP récupère la date et l'heure d'une source de temps qui fait autorité telle qu'une horloge radio ou une horloge atomique attachée à un serveur. NTP ensuite distribue ce temps à travers le réseau. NTP est très efficace; pas plus d'un paquet par minute est nécessaire pour synchroniser deux équipements avec un écart d'une milli- seconde l'un par rapport à l'autre. NTP utilise le concept de strate pour décrire de combien de sauts un équipement NTP est éloigné de la source de temps autorité. Un serveur de temps "Stratum 1" a une hor- loge radio ou atomique directement attachée, un serveur de temps "stratum 2" reçoit son temps au travers d'un serveur NTP "stratum 1" et ainsi de suite. Un équipement opérant avec NTP choisit automatiquement comme source de temps l'équipement avec le numéro de strate le plus bas avec lequel il communique au travers de NTP. Cette stratégie construit un arbre auto-organisé de "parleurs" NTP. NTP évite la synchronisation avec un équipement dont le temps n'est pas fiable en ne se synchronisant jamais avec un équipement qui n'est pas déjà synchronisé. NTP com- pare également le temps annoncé par différents équipements et ne se synchronise pas avec un équipement dont les temps est très différent des autres même si sa strate est la plus basse. Les communications entre équipements opérant avec NTP ( connues comme associa- tions) sont usuellement configurées de manière statique; chaque équipement possède les adresses IP de tous les équipements avec lesquels il doit former des associations. Le maintien d'un temps fiable est possible en échangeant des messages NTP entre cha- que paire d'équipements avec une association. Cependant dans un environnement LAN , NTP peut être configuré pour utiliser des messages de broadcast IP. Cette alternative réduit la complexité de configuration car chaque équipement peut être simplement con- figuré pour émettre et recevoir des messages broadcast. Toutefois dans ce cas le flux d'information est à sens unique. Le temps gardé sur un équipement est une ressource critique; vous devez utiliser les fonctionnalités de sécurité NTP pour éviter un paramétrage accidentel ou malintention- né d'un temps incorrect. Deux mécanismes sont disponibles: un système de restriction basé sur liste d'accès et un mécanisme d'authentification par cryptage. L'implémentation Cisco de NTP ne supporte pas le service "Stratum 1"; il n'est pas pos- sible de connecter une horloge radio ou atomique. Nous recommandons que le service de temps soit relié aux serveurs NTP publics disponibles sur Internet. ccnp_cch

La figure suivante montre un exemple typique de réseau utilisant NTP La figure suivante montre un exemple typique de réseau utilisant NTP. Le commuta- teur A est le serveur NTP maître avec les commutateurs B,C et D configurés en mode serveur NTP en association avec le commutateur A. Le commutateur E est configuré comme voisin NTP pour les commutateurs amont et aval (commutateurs B et F). Commutateur A Commutateur B Commutateur C Commutateur D Commutateur E Stations de travail Commutateur F Stations de travail Si le réseau est isolé d'Internet, l'implémentation Cisco autorise un équipement à agir comme s'il était synchronisé par NTP quand il a en fait déterminé le temps par d'autres moyens. Les autres équipements se synchronisent avec cet équipement par NTP. Quand plusieurs sources de temps sont disponibles, NTP est considéré comme celle faisant autorité. Le temps NTP remplace le temps fixé par tout autre méthode. Plusieurs constructeurs ont inclus un logiciel NTP dans les systèmes des hosts et une version publique fonctionnant sous UNIX et différentes variantes sont également dispo- nibles. Ces logiciels permettent à des systèmes de host d'être synchronisés avec le temps. ccnp_cch

ccnp_cch Configurer NTP Le commutateur n'a pas d'horloge hardware et ne peut pas fonctionner comme une horloge NTP maître sur laquelle les voisins peuvent se synchroniser quand une source NTP externe n'est pas disponible. Le commutateur n'a pas de support hardware pour un calendrier. Par conséquent les commandes ntp update-calendar et ntp master en mode de configuration global ne sont pas disponibles. Cette section contient les informations de configuration suivantes: ● Configuration NTP par défaut ● Configuration de l'authentification NTP ● Configuration des associations NTP ● Configuration du service broadcast NTP ● Configuration des restrictions d'accès NTP ● Configuration de l'adresse IP source pour les paquets IP ● Affichage de la configuration NTP Configuration NTP par défaut Le tableau suivant montre la configuration NTP par défaut. Fonctionnalité Configuration par défaut Authentification NTP Dévalidée. Pas de clé d'authentification spécifiée. Voisin NTP ou associations serveur Aucun configuré. Service broadcast NTP Dévalidé; aucune interface ne reçoit ni n'émet de paquets broadcast NTP. Restrictions d'accès NTP Aucun contrôle d'accès spécifié. Adresse IP source des paquets NTP L'adresse source est déterminée par l'interface de sortie. Configuration de l'authentification NTP Cette procédure doit être coordonnée avec l'administrateur du serveur NTP, l'informa- tion que vous configurez dans cette procédure doit correspondre avec les serveurs uti- lisés par le commutateur pour synchroniser son temps avec le serveur NTP. En débutant en mode EXEC privilégié, suivez ces tapes pour authentifier les associa- tions (communications entre équipements utilisant NTP pour fournir un temps précis) avec d'autres équipements pour des besoins de sécurité. Commande But configure terminal Entre en mode de configuration global. ntp authenticate Valide la fonctionnalité d'authentification NTP qui est dévalidée par défaut. ccnp_cch

Commande But ntp authentication-key number md5 value Définit les clés d'authentification. Par défaut, aucune n'est définie. • Pour number, spécifiez un numéro de clé. L'intervalle va de 1 à 4294967295. • md5 spécifie que le support de message d'authen- tification est fourni par l'utilisation de l'algorithme MD5. • Pour value, entrez une chaîne arbitraire jusqu'à 8 caractères pour la clé. Le commutateur ne se synchronise pas avec un équipement sauf si les deux ont une de ces clés d'authentification et le numéro de clé est spécifié par la commande ntp trusted-key key-number . ntp trusted-key key-number Spécifie un ou plusieurs numéros de clé (définis à l'étape précédente) qu'un équipement NTP voisin doit fournir dans ses paquets NTP pour que ce com- mutateur se synchronise avec lui. Par défaut, aucune clés de confiance n'est fournie. Pour key-number, spécifiez la clé définie à la troi- sième étape. Cette commande fournit une protection contre la synchronisation accidentelle du commutateur avec un équipement non autorisé. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour dévalider l'authentification NTP, utilisez la commande no ntp authentication. Pour retire la clé d'authentification de d'un équipement, utilisez la commande no ntp authentication-key key-number en mode de configuration global. Pour dévalider l'au- thentification de l'identité d'un équipement, utilisez la commande no ntp trusted-key key-number en mode de configuration global. Cet exemple montre comment configurer le commutateur pour qu'il se synchronise uni- quement avec les équipements qui fournissent la clé d'authentification key 42 dans les paquets NTP de ces équipements. Switch(config)# ntp authenticate Switch(config)# ntp authentication-key 42 md5 aNiceKey Switch(config)# ntp trusted-key 42 ccnp_cch

Configuration des associations NTP Une association NTP peut être une association de voisin ( ce commutateur peut se syn- chroniser avec une autre équipement ou autoriser un autre équipement à se synchro- niser sur lui. (ce qui veut dire seul ce commutateur se synchronise avec un autre équi- pement et pas par un autre moyen). En débutant en mode EXEC privilégié, suivre ces étapes pour former une association NTP avec un autre équipement. Commande But configure terminal Entrée en mode de configuration global. ntp peer ip-address [version number] [key keyid] [source interface] [prefer] or ntp server ip-address [version Configure l'horloge système du commutateur pour qu'elle synchronise un voisin ou qu'elle soit synchroni- sée par un voisin (peer association). ou qu'elle soit synchronisée par un serveur de temps (server association). Aucune association serveur ou voisin n'est définie par défaut. • Pour ip-address dans l'association de voisin, spécifiez soit l'adresse IP du voisin fournisseur ou devant être fourni par l'horloge de synchronisation. Pour une as- sociation serveur, spécifiez l'adresse IP du serveur de temps fournissant l'horloge de synchronisation. • (Optionnel) Pour number, spécifiez le numéro de ver- sion NTP. L'intervalle va de 1 à 3. Par défaut la vers- sion 3 est sélectionnée. • (Optionnel) Pour keyid, entrez la clé d'authentification définie avec la commande ntp authentication-key en mode de configuration global. • (Optionnel) Pour interface, spécifiez l'interface à partir de laquelle il faut prendre l'adresse source. Par défaut l'adresse IP source est prise sur l'interface de sortie. • (Optionnel) Entrez le mot-clé prefer faire de ce voisin ou de ce serveur celui préféré pour la synchronisa- tion. Ce mot-clé réduit les commutations va et vient entre voisins et serveurs. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

Vous avez besoin de configurer une seule extrémité d'une association; l'autre équipe- ment peut établir automatiquement l'association. Si vous utilisez la version NTP par défaut (version 3) et que la synchronisation ne se produit pas, essayez d'utiliser NTP version 2. plusieurs serveurs NTP sur Internet opèrent ave la version 2. Pour retirer une association de voisin ou de serveur, utilisez la commande no ntp peer ip-address ou no ntp server ip-address en mode de configuration global. Cet exemple montre comment configurer le commutateur pour synchroniser son systè- me d'horloge avec l'horloge du voisin à l'adresse IP 172.16.22.44 en utilisant la version 2 de NTP. Switch(config)# ntp server 172.16.22.44 version 2 Configuration du service broadcast NTP Les communications entre équipements avec NTP opérationnel ( connus comme asso- ciations) sont usuellement configurées de manière statique; chaque équipement a l'a- dresse IP de tous les équipements avec lesquels il doit former des associations. La ges- tion précise du temps est possible en échangeant des messages NTP entre chaque pai- re d'équipements avec une association. Toutefois dans un environnement LAN, NTP peut être configuré pour utiliser des messages de broadcast IP. Cette alternative réduit la complexité de configuration car chaque équipement peut être simplement configuré pour émettre ou recevoir des messages de broadcast. Cependant le flux d'informations est à sens unique. Le commutateur peut transmettre ou recevoir des paquets de broadcast NTP interface par interface s'il y a un serveur NTP broadcast, tel un routeur diffusant l'information de temps dans le réseau. Le commutateur peut transmettre des paquets NTP broadcast vers un voisin ainsi le voisin peut se synchroniser avec lui. Cette section montre les procédures utilisées pour transmettre et recevoir des paquets NTP broadcast. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer le commuta- teur et transmettre des paquets NTP broadcast à des voisins pour qu'ils synchronisent leur horloge de temps avec le commutateur Commande But configure terminal Entrée en mode de configuration global. interface interface-id Spécifie l'interface pour transmettre les paquets NTP broadcast et entre en mode de configuration interface. ccnp_cch

Commande But ntp broadcast [version number] [key keyid][destination-address] Valide l'interface pour transmettre les paquets NTP broadcast vers un voisin. Par défaut cette fonctionnalité est dévalidée sur toutes les interfaces. • (Optionnel) Pour number, spécifiez le numéro de version NTP. L'intervalle est compris de 1 à 3. Si vous ne spécifiez pas de version, la version 3 est utilisée. • (Optionnel) Pour keyid, spécifiez la clé d'authentifi- cation à utiliser quand les paquets NTP sont trans- mis au voisin. • (Optionnel) Pour destination-address, spécifiez l'adresse IP du voisin qui synchronise son horloge avec ce commutateur. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Configurez les voisins connectés pour qu'ils reçoivent des paquets NTP broadcast comme cela est décrit dans la procédure suivante. Pour dévalider l'interface afin qu'elle ne transmette plus de paquets NTP broadcast, uti- lisez la commande no ntp broadcast en mode de configuration interface. Cet exemple montre comment configurer un port pour transmettre des paquets NTP version 2. Switch(config)# interface gigabitethernet0/1 Switch(config-if)# ntp broadcast version 2 En débutant en mode EXEC privilégié, suivez ces étapes pour configurer le commuta- teur pour qu'il reçoive des paquets NTP broadcast des voisins connectés Commande But configure terminal Entrée en mode de configuration global. interface interface-id Spécifie l'interface pour recevoir les paquets NTP broadcast et entre en mode de configuration interface. ntp broadcast client Valide la réception de paquets NTP broadcast sur l'interface. Par défaut aucune interface ne reçoit de paquets NTP broadcast. exit Retour en mode de configuration global. ccnp_cch

Commande But ntp broadcastdelay microseconds (Optionnel) Change le délai aller-retour estimé entre le commutateur et le serveur NTP broadcast. La valeur par défaut est de 3000 microsecondes. L'intervalle va de 1 à 999999. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour dévalider une interface afin qu'elle ne reçoive plus de paquets NTP broadcast, uti- lisez la commande no ntp broadcast client en mode de configuration interface. Pour changer le temps aller-retour estimé à sa valeur par défaut, utilisez la commande no ntp broadcastdelay en mode de configuration global. Cet exemple montre comment configurer un port pour qu'il reçoive des paquets NTP broadcast. Switch(config)# interface gigabitethernet0/1 Switch(config-if)# ntp broadcast client Configuration des restrictions d'accès NTP Vous pouvez contrôler l'accès NTP sur deux niveaux comme cela est décrit dans ces sections : ● Création d'un "Access Group" et affectation à la liste d'accès IP de base. ● Dévalider le service NTP sur une interface donnée. Création d'un "Access Group" et affectation à la liste d'accès IP de base. En débutant en mode EXEC privilégié, suivez ces étapes pour contrôler l'accès au ser- vice NTP en utilisant les listes d'accès. ccnp_cch

ccnp_cch Commande But configure terminal Entrée en mode de configuration global. ntp access-group {query-only | serve-only | serve | peer} access-list-number Crée un "access group" et applique une liste d'accès IP de base. Les mots-clés ont ces significations: • query-only— Autorise uniquement les requêtes de contrôle NTP. • serve-only— Autorise uniquement les requêtes de temps. • serve— Autorise les requêtes de temps et les requê- tes de contrôle NTP mais n'autorise pas le commuta- teur à se synchroniser l'équipement distant. • peer— Autorise les requêtes de temps et les requêtes de contrôle NTP et autorise le commutateur à se synchroniser sur l'équipement Pour access-list-number, entrez un numéro de liste d'accès IP standard de 1 à 99. access-list access-list-number permit source [source-wildcard] Crée la liste d'accès. • Pour access-list-number, entrez le numéro spécifié dans l'étape précédente. • Entrez le mot-clé permit pour permettre l'accès si les conditions sont rencontrées. • Pour source, entrez l'adresse IP address de l'équipe- ment qui est autorisé à accéder au commutateur. • (Optionnel) Pour source-wildcard, entrez le masque générique à appliquer à la source. Note: Quand vous créer une liste d'accès, rappelez- vous que par défaut, la fin de la liste d'accès contient une instruction deny implicite pour tout si aucune correspondance n'a été trouvée avant la fin de la liste d'accès. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

Les mot-clés access-group sont balayés dans cet ordre, du moins restrictif au plus restrictif. 1. peer - Autorise les requêtes de temps et les requêtes de contrôle NTP et autorise le commutateur à se synchroniser avec un équipement dont l'adresse correspond aux critères de la liste d'accès 2. serve - Autorise les requêtes de temps et les requêtes de contrôle NTP mais n'au- torise pas le commutateur à se synchroniser sur un équipement dont l'adresse correspond aux critères de la liste d'accès. 3. serve-only - Autorise uniquement les requêtes de temps dont l'adresse corres- pond aux critères de la liste d'accès. 4. query-only - Autorise uniquement les requêtes de contrôle NTP dont l'adresse correspond aux critères de la liste d'accès. Si l'adresse IP source correspond aux listes d'accès pour plus d'un type d'accès, le premier type est accepté. Si aucun "access-group" n'est spécifié, seuls les types d'ac- cès spécifiés sont autorisés. Pour retirer le contrôle d'accès au service NTP du commutateur, utilisez la commande no ntp access-group {query-only|serve-only|serve|peer} en mode de configuration global. Cet exemple montre comment configurer le commutateur pour lui permettre de se syn- chroniser avec un voisin à partir de la liste d'accès 99. Toutefois le commutateur res- treint l'accès pour permettre uniquement les requêtes de temps à partir de la liste d'accès 42 : Switch# configure terminal Switch(config)# ntp access-group peer 99 Switch(config)# ntp access-group serve-only 42 Switch(config)# access-list 99 permit 172.20.130.5 Switch(config)# access list 42 permit 172.20.130.6 Dévalider le service NTP sur une interface spécifique Le service NTP est validé par défaut sur toute les interfaces. En débutant en mode EXEC privilégié, suivez ces étapes pour dévalider la réception de paquets NTP sur une interface. Commande But configure terminal Entrée en mode de configuration global. interface interface-id Spécifie l'interface et entre en mode de configuration interface. ccnp_cch

Commande But ntp disable Dévalide la réception de paquets NTP sur l'interface Par défaut, toutes les interfaces reçoivent des paquets NTP. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour revalider la réception de paquets NTP sur une interface, utilisez la commande no ntp disable en mode de configuration interface. Configurer l'adresse IP source des paquets NTP Quand le commutateur transmet un paquet NTP, l'adresse IP source est normalement fixée à l'adresse de l'interface au travers de laquelle les paquets NTP sont transmis. Utilisez la commande ntp source en mode de configuration global quand vous voulez utiliser une adresse IP source particulière pour tous les paquets NTP. L'adresse prise est celle de l'interface spécifiée. Cette commande est très utile si l'adresse d'une inter- face ne peut pas être utilisée comme adresse de destination pour des paquets NTP de réponse. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer une interface spécifique à partir de laquelle l'adresse IP source doit être utilisée. Commande But configure terminal Entrée en mode de configuration global. ntp source type number Spécifie le type d'interface et le numéro à partir de laquelle l'adresse IP source est prise. Par défaut, l'adresse source est déterminée par l'inter- face de sortie. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. L'interface spécifiée est utilisée comme adresse source pour tous les paquets émis vers toutes les destinations. Si une adresse source doit être utilisée pour une association particulière, utilisez le mot-clé source dans la commande ntp peer ou ntp server en mode de configuration global. ccnp_cch

ccnp_cch Affichage de la configuration NTP Vous pouvez utiliser deux commandes en mode EXEC privilégié pour afficher les infor- mations concernant NTP. ● show ntp associations [detail] ● show ntp status Configuration manuelle de la date et de l'heure Si aucune autre source de temps n'est disponible, vous pouvez configurer manuelle- ment la date et l'heure une fois que le système est redémarré. Le temps reste précis jus- qu'au prochain redémarrage du système. Il est recommandé d'utiliser la configuration manuelle en dernier recours. Si vous avez une source externe sur laquelle le commu- tateur peut se synchroniser, vous n'avez pas besoin de paramétrer l'horloge manuelle- ment. Cette section contient les informations de configuration suivantes: ● Paramétrer l'horloge système ● Afficher la configuration de la date et de l'heure ● Configurer la zone de temps (fuseau horaire) ● Configurer l'heure d'été, l'heure d'hiver Paramétrer l'horloge système Si vous avez une source externe sur le réseau qui fournit des services de temps tel un serveur NTP, vous n'avez pas besoin de configurer manuellement l'horloge système. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer l'horloge sys- tème. Commande But clock set hh:mm:ss day month year ou clock set hh:mm:ss month day year Paramètre l'horloge système en utilisant un de ces formats. • Pour hh:mm:ss, spécifiez le temps en heures (format heure - 24), minutes et secondes. Le temps spécifié est relatif à la zone de temps configurée. • Pour day, spécifiez le numéro du jour dans le mois. • Pour month, spécifiez le nom du mois. • Pour year, spécifiez l'année (pas d'abréviation). show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

Cet exemple montre comment paramétrer manuellement l'horloge système à 13h 32 pour le 23 Juillet 2007. Switch# clock set 13:32:00 23 July 2007 Afficher la configuration de la date et de l'heure Pour afficher la configuration de la date et de l'heure, utilisez la commande show clock [detail] en mode EXEC privilégié. L'horloge système garde un drapeau "authoritative" qui montre si le temps fait autorité ( on pense qu'il est précis). Si l'horloge système a été fixée en utilisant une source telle que NTP, le drapeau est positionné. Si le temps ne fait pas autorité, il utilisé unique- ment pour des besoins d'affichage. Tant que l'horloge fait autorité et que le drapeau est positionné, le drapeau empêche les voisins de se synchroniser avec l'horloge si le temps des voisins est invalide. Le symbole qui précède l'affichage de la sortie de la commande show clock a les signi- fications suivantes : ● * - Le temps ne fait pas autorité. ● (blanc) - Le temps fait autorité. ● . - Le temps fait autorité, mais NTP n'est pas synchronisé. Configurer la zone de temps (fuseau horaire) En débutant en mode EXEC privilégié, suivez ces étapes pour configurer manuelle- ment la zone de temps (fuseau horaire). Commande But configure terminal Entrée en mode de configuration global. clock timezone zone hours-offset [minutes-offset] Configure la zone de temps. Le commutateur garde le temps interne UTC (Univer- sal time coordinated), aussi cette commande est utilisée uniquement pour des besoins d'affichage et quand le temps est configuré manuellement. • Pour zone, entrez le nom de la temps devant être affichée quand le temps standard est actif. La valeur par défaut est UTC. • Pour hours-offset, entrez les heures de décalage à partir de UTC. • (Optionnel) Pour minutes-offset, entrez les minutes de décalage à partir de UTC. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

La variable minutes-offset dans la commande de configuration globale clock timezone est disponible dans le cas d'une zone de temps locale ou une zone locale de temps est un pourcentage différent d'une heure UTC. Par exemple, la zone de temps pour certai- nes sections de Atlantic Canada (AST) est UTC 3,5 dans laquelle 3 signifie 3 heures et 5 signifie 50 pourcent. Dans ce cas la commande nécessaire est clock timezone AST -3 30. Pour configurer le temps UTC, utilisez la commande no clock timezone en mode de configuration global. Configurer l'heure d'été et l'heure d'hiver En débutant en mode EXEC privilégié, suivez ces étapes pour configurer l'heure d'été et l'heure d'hiver dans les zones où elles commencent et se terminent un jour particu- lier de la semaine chaque année. Commande But configure terminal Entrée en mode de configuration global. clock summer-time zone recurring [week day month hh:mm week day month hh:mm [offset]] Configure l'heure d'été pour qu'elle commence et se termine à des jours précis chaque année. L'heure d'été est dévalidée par défaut. Si vous spéci- fiez clock summer-time zone recurring sans para- mètres, l'heure d'été par défaut sera celle des Etats- Unis. • Pour zone, spécifiez le nom de la zone de temps (par exemple PDT) devant être affichée quand l'heure d'été est effective. • (Optionnel) Pour week, spécifiez la semaine du mois (1 à 5 ou last). • (Optionnel) Pour day, spécifiez le jour de la semaine (Sunday, Monday...). • (Optionnel) Pour month, spécifiez le mois (January, February...). • (Optionnel) Pour hh:mm, spécifiez le temps (format heure - 24) en heures et minutes. • (Optionnel) Pour offset, spécifiez le nombre de minutes à ajouter durant l'heure d'été. La valeur par défaut est 60. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

La première partie de la commande clock summer-time en mode de configuration global spécifie quand l'heutre d'été commence et la seconde partie quand celle-ci se termine. Tous les temps sont relatifs à la zone de temps local. L'heure de début est relative au temps standard. L'heure de fin est relative à l'heure d'été. Cet exemple montre comment spécifier que l'heure d'été débute le premier dimanche d'avril à 02 H 00 du matin et se termine le dernier dimanche d'octobre à 02 H 00 du matin. Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00 En débutant en mode EXEC privilégié, suivez ces étapes si l'heure d'été dans votre zo- ne ne suit pas un motif récurrent (configurez la date et l'heure exactes du prochain évènement heure d'été). Commande But configure terminal Entrée en mode de configuration global. clock summer-time zone date [month date year hh:mm month date year hh:mm [offset]] ou clock summer-time zone date [date month year hh:mm date month year Configure l'heure d'été pour qu'elle commence et se termine à des jours précis chaque année. L'heure d'été est dévalidée par défaut. Si vous spéci- fiez clock summer-time zone recurring sans para- mètres, l'heure d'été par défaut sera celle des Etats- Unis. • Pour zone, spécifiez le nom de la zone de temps (par exemple PDT) devant être affichée quand l'heure d'été est effective. • (Optionnel) Pour week, spécifiez la semaine du mois (1 à 5 ou last). • (Optionnel) Pour day, spécifiez le jour de la semaine (Sunday, Monday...). • (Optionnel) Pour month, spécifiez le mois (January, February...). • (Optionnel) Pour hh:mm, spécifiez le temps (format heure - 24) en heures et minutes. • (Optionnel) Pour offset, spécifiez le nombre de minutes à ajouter durant l'heure d'été. La valeur par défaut est 60. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. La première partie de la commande clock summer-time en mode de configuration global spécifie quand l'heutre d'été commence et la seconde partie quand celle-ci se termine. Tous les temps sont relatifs à la zone de temps local. L'heure de début est re- lative au temps standard. L'heure de fin est relative à l'heure d'été. Si le mois de début est après le mois de fin, le système suppose que vous êtes dans l'hémisphère sud. ccnp_cch

Configurer le nom du système et le prompt Pour dévalider l'heure d'été, utilisez la commande no clock summer-time en mode de configuration global. Cet exemple montre comment paramétrer le début de l'heure d'été au 12 Octobre 2007 à 2h 00 du matin et la fin le 26 avril 2008 à 2h 00 du matin. Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00 Configurer le nom du système et le prompt Vous configurez le nom du système sur le commutateur pour l'identifier. Par défaut le nom du système et le prompt est Switch. Si vous n'avez pas configuré de prompt système les vingt premiers caractères du nom du système sont utilisés comme prompt système. Un symbole > est ajouté à la fin. Le prompt est mis à jour chaque fois que le nom du système change à moins que vous configuriez le prompt en utilisant la commande prompt en mode de configuration glo- bal. Cette section contient les informations de configuration suivantes: ● Configuration par défaut du nom du système et du prompt ● Configurer le nom du système ● Configurer le prompt système ● Comprendre le DNS Configuration par défaut du nom du système et du prompt Le nom du système et du prompt par défaut est Switch. Configurer le nom du système En débutant en mode EXEC privilégié, suivez ces étapes pour configurer manuellement un nom de système. Commande But configure terminal Entrée en mode de configuration global. hostname name Configure manuellement un nom de système. Le nom par défaut est switch. Le nom doit suivre les règles des noms de hosts ARPANET. Ils doivent débuter par une lettre et se terminer par une lettre ou un chiffre et doit avoir comme caractères internes uniquement des lettres, des chiffres ou des tirets. les noms peuvent avoir jusqu'à 63 caractères. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

Quand vous paramétrer le nom du système, il est également utilisé comme prompt système. Vous pouvez remplacer le prompt en utilisant la commande prompt en mode de configuration global. Pour retourner au nom de host par défaut, utilisez la commande no hostname en mo- de de configuration global. Configurer le prompt système En débutant en mode EXEC privilégié, suivez ces étapes pour configurer manuellement un prompt système. Commande But configure terminal Entrée en mode de configuration global. prompt string Configure le prompt de la ligne de commande pour outrepasser la configuration par la commande hostname. Le prompt par défaut est soit switch ou le nom défini avec la commande de configuration globale hostname suivi du symbole > pour le mode user EXEC ou par le signe # pour le mode EXEC privilégié. Le prompt peut être constitué par tous les caractères imprimables et les séquences escape. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour revenir au prompt par défaut, utiliser la commande no prompt [string] en mode de configuration global. Comprendre le DNS Le protocole DNS contrôle le DNS (Domain Name System), base de données distribuée, avec laquelle vous pouvez faire une correspondance entre le nom de host et l'adresse IP pour toutes les commandes telles que ping, telnet, connect et les opérations liées à Telnet. IP définit un schéma de nommage hiérarchisé qui permet à un équipement d'être iden- tifié par son domaine. Les noms de domaine sont assemblés avec des points comme caractères de délimitation. Par exemple Cisco Systems est une organisation commer- ciale que IP identifie par le nom de domaine com, ainsi le nom de domaine complet est cisco.com. Un équipement spécifique dans ce domaine, par exemple le système FTP (File Transfer Protocol) est identifié par ftp.cisco.com. Pour garder les noms de domaine, IP a défini le concept de "Domain Name Server" ou serveur de nom de domaine qui maintient une base de données de noms en correspon- dance avec des adresses IP. Pour faire correspondre des noms de domaine avec des adresses IP, vous devez d'abord identifier les noms de hosts, spécifier le serveur de noms de domaine présent sur votre réseau et valider le DNS. ccnp_cch

Cette section contient les informations de configuration suivantes: ● Configuration par défaut du DNS ● Paraméter le DNS ● Afficher la configuration DNS Configuration par défaut du DNS Le tableau suivant montre la configuration DNS par défaut. Fonctionnalité Valeur par défaut Etat DNS validé Validé. Nom de domaine DNS par défaut Non configuré. Serveurs DNS Aucune adresse de serveur DNS configurée. Paraméter le DNS En débutant en mode EXEC privilégié, suivez ces étapes pour configurer votre commu- tateur afin qu'il utilise le DNS. Commande But configure terminal Entrée en mode de configuration global. ip domain-name name Définit un nom de domaine par défaut que le logiciel utilise pour compléter les noms de hosts (noms sans notation avec des points). Ne pas inclure le point initial qui sépare un nom de host du nom de domaine. Au démarrage, aucun nom de domaine n'est configuré; ce- pendant si la configuration du commutateur vient d'un ser- veur BOOTP ou DHCP alors le nom de domaine par défaut peut être configuré par le serveur BOOTP ou DHCP (si les serveurs ont été configurés avec cette information). ip name-server server-address1 [server-address2 ... server-address6] Spécifie l'adresse de un ou plusieurs serveurs de noms à utiliser pour la résolution de noms. Vous pouvez spécifier jusqu'à six serveurs de noms. Séparez chaque adresse de serveur par un espace. Le premier ser- veur spécifié est le serveur primaire. Le commutateur trans- met des requêtes DNS au serveur primaire de la liste. Si cette requête échoue les autres serveurs sont interrogés. ip domain-lookup (Optionnel) Valide la traduction basée DNS de nom de host en adresse sur votre commutateur. Cette fonctionnalité est validée par défaut. Si vos équipements réseau requièrent une connectivité avec des équipements dans des réseaux pour lesquels vous ne contrôlez pas l'affectation des noms, vous pouvez affecter dynamiquement des noms d'équipements qui identifient de manière unique vos équipements en utilisant le système de nommage global d'Internet (DNS). ccnp_cch

Créer d'une bannière ccnp_cch Commande But end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Si vous utilisez l'adresse IP du commutateur pour son nom de host, l'adresse IP est uti- lisée et aucune requête DNS n'est faite. Si vous configurez un nom de host qui ne con- tient pas de point, un point suivi du nom de domaine par défaut est ajouté à la suite du nom de host avant que la requête DNS soit faite. Le nom de domaine par défaut est la valeur fixée par la commande ip domain-name en mode de configuration global. S'il y a un point dans le nom de host, le logiciel recherche l'adresse IP sans ajouter de nom de domaine par défaut. Pour retirer le nom de domaine, utilisez la commande no ip domain-name name en mode de configuration global. Pour retirer l'adresse du serveur de noms, utilisez la commande no ip name-server server-address en mode de configuration global. Pour dévalider le DNS sur le commutateur, utilisez la commande no ip domain-lookup en mode de configuration global. Afficher la configuration DNS Pour afficher la configuration DNS, utilisez la commande show running-config en mode EXEC privilégié. Créer d'une bannière Vous pouvez configurer le MOTD (Message of the Day) et une bannière de login. La bannière MOTD s'affiche sur tous les terminaux et elle est très utile pour transmettre des messages à l'ensemble des utilisateurs (tels que les arrêts systèmes planifiés) La bannière de login est également affichée sur tous les terminaux connectés. Elle ap- paraît après la bannière MOTD et avant le prompt de login. Cette section contient ces informations de configuration: ● Configuration de la bannière par défaut ● Configuration de la bannière de login Message-of-the-Day ● Configuration d'une bannière de login Configuration de la bannière par défaut Les bannières MOTD et de login ne sont pas configurées. ccnp_cch

Configuration de la bannière de login Message-of-the-Day Vous pouvez créer un message bannière d'une ou plusieurs lignes et qui apparaît sur l'écran quand quelqu'un se loggue sur le commutateur. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer la bannière de login MOTD. Commande But configure terminal Entrée en mode de configuration global. banner motd c message c Spécifie le message du jour. Pour c, entrez le caractère délimiteur de votre choix, par exemple le signe # et valider avec la touche Retour. Le caractère délimiteur indique le début et la fin du texte de la bannière. Les caractères après le délimiteur de fin sont ignorés. Pour message, entrez un message bannière de 1 à 255 caractères. Vous ne pouvez pas utiliser le carac- tère délimiteur dans le message. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour effacer la bannière MOTD, utilisez la commande no banner motd en mode de configuration global. Cet exemple montre comment configurer une bannière MOTD pour le commutateur en utilisant le signe # comme délimiteur de début et de fin. Switch(config)# banner motd # This is a secure site. Only authorized users are allowed. For access, contact technical support. # Switch(config)# Cet exemple montre la bannière de l'exemple précédent affichée. Unix> telnet 172.2.5.4 Trying 172.2.5.4... Connected to 172.2.5.4. Escape character is '^]'. User Access Verification Password: ccnp_cch

Configuration d'une bannière de login Vous pouvez configurer une bannière de login pour qu'elle soit affichée sur tous les terminaux connectés. Cette bannière apparaît après la bannière MOTD et avant le prompt de login. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer une bannière de login. Commande But configure terminal Entrée en mode de configuration global. banner login c message c Spécifie le message de login. Pour c, entrez le caractère délimiteur de votre choix, par exemple le signe # et valider avec la touche Retour. Le caractère délimiteur indique le début et la fin du texte de la bannière. Les caractères après le délimiteur de fin sont ignorés. Pour message, entrez un message bannière de 1 à 255 caractères. Vous ne pouvez pas utiliser le carac- tère délimiteur dans le message. end Retour en mode EXEC privilégié. show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour effacer la bannière de login, utilisez la commande no banner login en mode de configuration global. Cet exemple montre comment configurer une bannière de login pour le commutateur en utilisant le signe $ comme délimiteur de début et de fin. Switch(config)# banner login $ Access for authorized users only. Please enter your username and password. $ Switch(config)# ccnp_cch

Gestion de la table d'adresses MAC La table d'adresse MAC contient des informations d'adresse que le commutateur utilise pour acheminer le trafic entre les ports. Toutes les adresses MAC dans la table d'adres- ses sont associées à un ou plusieurs ports. La table d'adresses comprend ces types d'adresses : ● Adresse dynamique - Adresse MAC source que le commutateur apprend et ensuite déprécie quand elle n'est plus utilisée. ● Adresse statique - Adresse unicast ou multicast entrée manuellement et qui reste toujours valide même quand le commutateur est réinitialisé. La table d'adresses liste l'adresse MAC destination, le VLAN ID associé et le numéro de port associé avec l'adresse. Cette section contient les informations de configuration suivantes: ● Construction de la table d'adresses ● Adresses MAC et VLANs ● Configuration par défaut de la table d'adresses MAC ● Changer la durée de validité d'une adresse ● Retirer les entrées d'adresses dynamiques ● Configurer les notifications de traps adresse MAC ● Ajouter et retirer des entrées d'adresses statiques ● Configurer le filtrage d'adresses MAC unicast ● Afficher les entrées de la table d'adresses Construction de la table d'adresses Avec plusieurs adresses MAC supportées sur tous les ports, vous pouvez connecter n'importe quel port du commutateur avec des stations de travail individuelles, des ré- péteurs, des commutateurs, des routeurs et d'autres équipements de réseau. Le com- mutateur fournit un adressage dynamique en apprenant les adresses source des tra- mes reçues sur chaque port et en ajoutant cette adresse et le numéro de port associé à la table d'adresses. Comme les stations sont ajoutées ou retirées du réseau, le com- mutateur met sa table à jour, ajoute de nouvelles adresses dynamiques et retire celles qui ne sont plus utilisées. La durée de vie de l'adresse est configurée commutateur par commutateur. Cependant le commutateur maintient une table d'adresses par VLAN et le STP peut raccourcir la durée de vie sur la base du VLAN. Le commutateur transmet des trames entre toutes les combinaisons de ports, sur la base de l'adresse destination des trames reçues. En utilisant la table d'adresses MAC, le commutateur achemine le paquet uniquement vers le port ou les ports associés à l'adresse destination. Si l'adresse destination est l'adresse du port qui transmet la tra- me, la trame est filtrée et non acheminée. Le commutateur utilise toujours la méthode "store and forward" : les trames sont stockées en entier et vérifiées (pour les erreurs) avant d'être retransmises. ccnp_cch

Changer la durée de validité d'adresse Adresses MAC et VLANs Toutes les adresses sont associées à un VLAN. Une adresse peut exister dans plusieurs VLANs et avoir différentes destinations dans chacun d'eux. Les adresses multicast par exemple peuvent être acheminées vers le port 1 dans le VLAN 1 et les ports 9, 10, 11 dans le VLAN 5. Chaque VLAN maintient sa propre table d'adresses logiques. Une adresse connue dans un VLAN est inconnue dans un autre VLAN jusqu'à ce qu'elle soit apprise ou associée manuellement avec un port dans un autre VLAN. Les adresses qui sont entrées de ma- nière statique dans un VLAN doivent être configurées comme adresses statiques dans tous les autres VLANs ou restées inconnues dans les autres VLANs. Configuration par défaut de la table d'adresses MAC Le tableau suivant montre la configuration par défaut de la table d'adresses MAC. Fonctionnalité Valeur par défaut Durée de validité 300 secondes Adresses dynamiques Apprises automatiquement Adresses statiques Aucune configurée. Changer la durée de validité d'adresse Les adresses dynamiques sont les adresses MAC source que le commutateur apprend et ensuite dévalide quand elles ne sont plus utilisées. Le paramètre durée de validité définit combien de temps le commutateur garde les adresses non-utilisées. Ce paramè- tre s'applique à tous les VLANs. Fixer une durée de validité trop courte peut entrainer le retrait prématuré d'adresses de la table. Ensuite lorsque le commutateur reçoit une trame pour une destination incon- nue, il diffuse la trame sur tous les ports situés dans le même VLAN que le port qui a reçu la trame. Cette diffusion non nécessaire peut impacter les performances. Fixer une durée de validité trop longue peut entraîner un remplissage de la table d'adresses avec des adresses non utilisées ce qui empêche d'apprendre de nouvelles adresses. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer la durée de validité de la table d'adresses dynamiques. Commande But configure terminal Entrée en mode de configuration global. mac address-table aging-time [0 | 10-1000000] Fixe le temps pendant lequel une entrée dynamique reste dans la table d'adresses MAC lorsque l'entrée est utilisée ou mise à jour. L'intervalle est va 10 à 1000000 secondes. La valeur par défaut est 300. Vous pouvez également être 0 ce qui dévalide la dépréciation. Les entrées d'adresses statiques ne sont jamais dépréciées ou retirées de la table. end Retour en mode EXEC privilégié. show mac adress-table aging-time Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

Retirer des entrées d'adresses dynamiques Pour revenir à la valeur par défaut, utilisez la commande no mac address-table aging-time en mode de configuration global. Retirer des entrées d'adresses dynamiques Pour retirer toutes les entrées dynamiques, utilisez la commande clear mac address- table en mode EXEC privilégié. Vous pouvez également retirer une adresse MAC parti- culière (clear mac address-table dynamic address mac-address), retirer toutes les adresses MAC sur un port physique ou un port channel (clear mac address-table dy- namic interface interface-id) ou retirer toutes les adresses sur un VLAN donné (clear mac address-table dynamic vlan vlan-id). Pour vérifier que les entrées dynamiques ont bien été retirées, utilisez la commande show mac address-table dynamic en mode EXEC privilégié. Configurer la notification de traps Adresse MAC La notification d'adresse MAC vous permet de tracer les utilisateurs sur un réseau en stockant l'activité d'adresse MAC sur un commutateur. Chaque fois que le commuta- teur apprend ou retire une adresse MAC, une notification SNMP peut être générée et transmise à la NMS. Si vous avez plusieurs utilisateurs qui entrent ou se retirent du réseau, vous pouvez fixer un temps d'intervalle de trap pour gérer les traps de notifica- tion et réduire le trafic réseau. La table d'historique de notification MAC stocke l'activi- té d'adresse MAC pour chaque port matériel pour lequel le trap est validé. Les notifica- tions d'adresse MAC sont générées pour les adresses dynamiques et sécurisées, les évènements ne sont pas générés pour l'adresse du commutateur, les adresses multi- cast ou d'autres adresses statiques. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer le commuta- teur pour qu'il transmette les traps de notification MAC vers un host NMS. Commande But configure terminal Entrée en mode de configuration global. snmp-server host host-addr {traps | informs} {version {1 | 2c | 3}} community-string notification-type Spécifie le receveur du message trap. • Pour host-addr, spécifiez le nom ou l'adresse de la NMS. • Spécifiez traps (par défaut) pour transmettre des traps SNMP au host. Spécifiez informs pour trans- mettre des informs SNMP au host. • Spécifiez la version SNMP version. Version 1, par défaut, n'est pas disponible avec informs. • Pour community-string, spécifiez la chaîne à trans- mettre avec l'opération de notification. Bien que vous puissiez fixer cette chaîne en utilisant la commande snmp-server host, nous recommandons que vous définissiez cette chaîne en utilisant la com- mande snmp-server community avant d'utiliser la commande snmp-server host. • Pour notification-type, utilisez le mot-clé mac-notifi- cation. ccnp_cch

Commande But snmp-server enable traps mac-notification Autorise le commutateur à transmettre des traps d'adresse MAC à la NMS. mac address-table notification Valide la fonctionnalité de notification d'adresse MAC. [interval value] |[history-size value] Entrez le temps d'intervalle de trap et la taille de la table d'historique. • (Optionnel) Pour interval value, spécifiez l'intervalle de notification de trap en secondes entre chaque ensemble de traps généré vers la NMS. L'intervalle va de 0 à 2147483647 secondes; la valeur par dé- faut est 1 seconde. • (Optionnel) Pour history-size value, spécifiez le nombre maximum d'entrées dans la table d'histo- rique de notifications MAC. L'intervalle va de 0 à 500; la valuer par défaut est 1. interface interface-id Entre en mode de configuration interface et spécifie l'interface sue laquelle valider la notification de trap SNMP d'adresse MAC. snmp trap mac-notification {added | removed} Valide la notification de trap d'adresse MAC. • Valide la notification de trap MAC chaque fois qu'une adresse MAC est ajoutée (added) sur cette interface. qu'une adresse MAC est retirée (removed) sur cette interface. end Retour en mode EXEC privilégié. show mac adress-table notification interface show running-config Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour que le commutateur ne transmette pas de notification de traps, utilisez la com- mande no snmp-server enable traps mac-notification en mode de configuration glo- bal. Pour dévalider la notification de traps sur une interface, particulière, utilisez la commande no snmp trap mac-notification {added | removed} en mode de configu- ration interface. Pour dévalider la fonctionnalité de notification d'adresses MAC, utilisez la commande no mac address-table notification en mode de configuration global. ccnp_cch

Cet exemple montre comment spécifier l'adresse 172. 20. 10 Cet exemple montre comment spécifier l'adresse 172.20.10.10 comme NMS, permettre au commutateur de transmettre des notifications de traps à la NMS, valider la fonc- tionnalité de notification d'adresse MAC, fixer l'intervalle de temps à 60 secondes, fixer la taille de l'historique à 100 entrées et valider les traps chaque fois qu'une adresse MAC est ajoutée sur un port donné. Switch(config)# snmp-server host 172.20.10.10 traps private Switch(config)# snmp-server enable traps mac-notification Switch(config)# mac address-table notification Switch(config)# mac address-table notification interval 60 Switch(config)# mac address-table notification history-size 100 Switch(config)# interface fastethernet0/4 Switch(config-if)# snmp trap mac-notification added Vous pouvez vérifier les commandes précédentes en entrant les commandes show mac address-table notification interface et show mac address-table notification en mo- de EXEC privilégié. Ajouter et retirer des entrées d'adresses statiques Une adresse statique a ces caractéristiques : ● Elle est entrée manuellement dans la table d'adresses et doit être retirée manuelle- ment. ● Cela peut être une adresse unicast ou multicast ● Elle n'a pas de durée de validité et elle est mémorisée par le commutateur Vous pouvez ajouter et/ou retirer des adresses statiques et définir le comportement d'acheminement pour celles-ci. Le comportement d'acheminement détermine comment un port qui reçoit une trame l'achemine vers un autre port pour la transmission. Com- me tous les ports sont associés à au moins un VLAN, le commutateur obtient le VLAN ID pour les adresses à partie des ports que vous avez indiqués. Vous pouvez spécifier une liste différentes de ports destination pour chaque port source. Une adresse statique dans un VLAN doit être une adresse statique dans les autres VLANs. Une trame avec une adresse statique qui arrive sur un VLAN sur lequel celle-ci n'a pas été entrée est diffusée sur tous les ports et l'adresse n'est pas apprise. Vous ajoutez une adresse statique à la table d'adresses MAC en spécifiant l'adresse MAC destination (unicast ou multicast) et le VLAN duquel elle est reçue. Les trames re- çues avec cette adresse destination sont acheminées vers l'interface spécifiée avec l'op- tion interface-id. ccnp_cch

En débutant en mode EXEC privilégié, suivez ces étapes pour ajouter une adresse sta- tique. Commande But configure terminal Entrée en mode de configuration global. mac address-table static mac-addr vlan vlan-id interface interface-id Ajoute une adresse statique à la table d'adresses MAC. • Pour mac-addr, spécifiez l'adresse MAC destination (unicast ou multicast) pour ajouter l'adresse à la table. Les trames avec cette adresse destination reçus dans le VLAN spécifié sont acheminés vers l'interface spécifiée. • Pour vlan-id, spécifiez le VLAN pour lequel la trame avec l'adresse MAC spécifiée est reçue. Les VLAN IDs valides vont de 1 to 4094 quand l'image logi- cielle améliorée (EI) est installée et de 1 à 15 quand l'image standard (SI) est installé. • Pour interface-id, spécifiez l'interface vers laquelle la trame reçue est acheminé. Les interfaces valides sont les ports physiques et les ports channels. Pour les adresses multicast statiques, vous pouvez entrer plusieurs interface IDs. Pour les adresses statiques unicast, vous pouvez entrer une seule interface à la fois, mais vous pouvez entrer la commande plusieurs fois avec la même adresse MAC et VLAN ID. end Retour en mode EXEC privilégié. show mac adress-table static Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. Pour retirer des entrées statiques de la table d'adresses MAC, utilisez la commande no mac address-table static mac-address vlan vlan-id [interface interface-id] en mode de configuration global. Cet exemple montre comment ajouter l'adresse statique c2f3.220a.12f4 à la table d'a- dresses MAC. Quand une trame est reçue dans le VLAN 4 avec l'adresse MAC comme adresse de destination, la trame est acheminée vers l'interface spécifiée. Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet0/1 Configurer le filtrage d'adresse MAC unicast Quand le filtrage d'adresses MAC unicast est validé, le commutateur élimine les trames qui ont une adresse MAC source ou destination particulière. Cette fonctionnalité est dévalidée par défaut et supporte uniquement les adresse unicast. Vous pouvez valider et configurer cette fonctionnalité uniquement si votre commutateur opère avec une image logicielle améliorée (EI). ccnp_cch

Suivez ces conseils quand vous utilisez cette fonctionnalité : ● Les adresse MAC multicast, les adresses MAC broadcast et les adresses MAC de routeur ne sont pas supportées. Si vous spécifiez une de ces adresses quand vous entrez la commande mac adress-table static mac-address vlan vlan-id drop en mode de configuration global, un de ces messages apparaît : % Only unicast addresses can be configured to be dropped % CPU destined address cannot be configured as drop address ● Les trames qui sont acheminées vers la CPU ne sont pas également supportées. ● Si vous ajoutez une adresse MAC unicast comme adresse statique et que vous confi- gurez le filtrage d'adresses MAC unicast, le commutateur ajoute l'adresse MAC com- me adresse statique élimine les trames avec cette adresse MAC selon la dernière commande entrée. La deuxième commande que vous entrez outrepasse la première commande entrée. Par exemple si vous entrez la commande de configuration globale mac address-table static vlan-id drop suivie de la commande mac address-table static mac-address vlan vlan-id interface interface-id, le commutateur ajoute l'adresse MAC comme adresse statique. Vous validez le filtrage d'adresses MAC unicast et configurez le commutateur pour qu'il élimine les trames avec une adresse particulière en spécifiant l'adresse MAC unicast source ou destination et le VLAN à partir duquel celle-ci est reçue. En débutant en mode EXEC privilégié, suivez ces étapes pour configurer le commuta- teur pour qu'il élimine les trames avec une adresse MAC unicast source ou destination. Commande But configure terminal Entrée en mode de configuration global. mac address-table static mac-addr vlan vlan-id drop Valide le filtrage d'adresse MAC unicast MAC et confi- gure le commutateur pour qu'il élimine les trames avec l'adresse statique unicast source ou destination spécifiée. • Pour mac-addr, spécifiez l'adresse MAC unicast source ou destination. Les trames avec cette adresse MAC seront éliminées. • Pour vlan-id, spécifiez le VLAN pour lequel la trame avec l'adresse MAC est reçue. Les VLAN IDs valides vont de 1 to 4094. end Retour en mode EXEC privilégié. show mac adress-table static Vérification des entrées. copy running-config startup-config (Optionnel) Sauvegarde de la configuration. ccnp_cch

Affichage des entrées de la table d'adresses Pour dévalider le filtrage d'adresses MAC unicast, utilisez la commande no mac address-table static mac-address vlan vlan-id en mode de configuration global. Cet exemple montre comment valider le filtrage d'adresses MAC unicast et configurer le commutateur pour qu'il élimine les trames qui ont l'adresse source ou destination c2f3.220a.12f4. Quand une trame est reçue dans le VLAN 4 avec cette adresse MAC comme source ou destination, celle-ci est éliminée. Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 drop Affichage des entrées de la table d'adresses Vous pouvez afficher les entrées de la table d'adresses MAC en utilisant des comman- des EXEC privilégiées listées dans le tableau suivant : Commande Description show mac address-table address Affiche l'information de la table d'adresses MAC pour l'adresse MAC spécifiée. show mac address-table aging-time Affiche la durée de validité pour tous les VLANs ou le VLAN spécifié. show mac address-table count Affiche le nombre d'adresses présentes dans tous les VLANs ou le VLAN spécifié. show mac address-table dynamic Affiche uniquement les entrées dynamiques de la table d'adresses MAC. show mac address-table interface Affiche l'information de la table d'adresses MAC pour l'interface spécifiée. show mac address-table multicast Affiche les entrées multicast de couche 2 pour tous les VLANs ou le VLAN spécifié. show mac address-table static. Affiche uniquement les entrées statiques de la table show mac address-table vlan Affiche l'information de la table d'adresses MAC pour le VLAN spécifié. Gestion de la table ARP Pour communiquer avec un équipement (sur Ethernet par exemple) le logiciel doit en premier lieu déterminer l'adresse MAC 48 bits ou l'adresse liaison de données de l'équi- pement. Le processus de détermination de l'adresse de liaison de données locale à par- tir de l'adresse IP est appelé résolution d'adresse. ARP (Address Resolution Protocol) associe une adresse IP de host avec l'adresse MAC de ce host et le VLAN ID. En prenant une adresse IP comme entrée, ARP détermine l'adresse MAC associée. Une fois que l'adresse MAC est déterminée, l'association IP - Adresse MAC est stockée dans un cache ARP pour permettre une recherche rapide. Ensuite le paquet IP est encapsulé dans une trame de couche liaison et transmis sur le réseau. L'encapsulation de paquets IP, les requêtes ARP et les réponses sur des ré- seaux IEEE 802 autres que Ethernet est spécifié par SNAP (SubNetwork Access Proto- col). Par défaut, l'encapsulation ARP standard Ethernet ( représentée par le mot-clé ARPA est validée sur l'interface IP. ccnp_cch

Les entrées ARP ajoutées manuellement dans la table ne se déprécient pas et doivent être retirées manuellement. ccnp_cch