Introduction aux lignes de commandes Date : 12-11-2012 Location: GUYANCOURT
TOPOLOGIE RESEAU switch 1 switch 2 VID 1 = [1-8] VID 2 = [9-16] Lien agrégé en LACP Avec les ports 27 et 28 switch 2 VID 1 = [1-8] VID 2 = [9-16] VID 2 = [17-24]
Comment accéder à l’interface console? Utiliser le câble console de type RS-232 livré avec le commutateur. Lancer un utilitaire console comme hyper-terminal de Windows. Créer une connexion en respectant les vitesses et paramètres requis (voir manuel ). Exemple:
Enoncé 1: Nous souhaitons segmenter notre réseau en trois VLANs et interconnecter deux commutateurs par le biais d’une liaison agrégé de 2 ports. Etape 1: Créer un groupe LACP Spécifier les ports de liaisons désirés. Etape 2: Créer les VLANs. Intégrer les ports « Untagged » de chaque VLANs. Intégrer les ports d’interconnexions donc « Taggé », à tous les VLANs.
Création d’un lien LACP: # LACP (Link aggregation Control Protocol). Création d’un lien agrégé (groupe ID 1) comprenant les ports 27 et 28. create link_aggregation group_id 1 type lacp config link_aggregation group_id 1 master_port 27 ports 27-28 state enable On doit déterminer le type d’algorythme de communication parmis les six possibilités proposées entre les deux commutateur, ici ce sera mac_source_dest ». config link_aggregation algorithm mac_source_dest Ensuite le protocole LACP nécessite que des ports de liaisons en mode passif ne se connectent que sur des ports en mode actif. Donc, si l’on a déterminé l’état des ports en mode actif sur l’un des commutateurs de l’autre coté ils seront donc en mode passif! config lacp_port 27-28 mode active commande pour le switch 1 config lacp_port 27-28 mode passive commande pour le switch 2
Création des VLAN’s # VLAN: Par définition le Vlan1 correspond au commutateur, donc tout les ports appartiennent au VLAN1. Ceci dit la règle stipule que les ports « Untagged » ne peuvent appartenir qu’à un seul VLAN. Donc si l’on désire faire plusieurs VLAN il faut « casser » le VLAN1 pour le refaire. #Création VLAN VID 1 alias « default » qui intègre les ports 1 à 8 et les ports de liaisons taggés 27 et 28. config vlan default delete 1-28 config vlan default add tagged 27-28 config vlan default add untagged 1-8 config vlan default advertisement enable # Création du VLan 2 alias « toto » qui intègre les ports 9 à 16 et les ports de liaisons taggés 27 et 28. create vlan toto tag 2 config vlan toto add tagged 27-28 config vlan toto add untagged 9-16 config vlan toto advertisement disable # Création du VLan 3 alias « titi » qui intègre les ports 17 à 24 et les ports de liaisons taggés 27 et 28. create vlan titi tag 3 config vlan titi add tagged 27-28 config vlan titi add untagged 17-24 config vlan titi advertisement disable
Enoncé 2: Nous souhaitons attribuer des interfaces ip à chaque VLAN et définir des règles de communications de tels sorte: Tout le monde( 0.0.0.0)puisse aller sur le réseau 192.168.10.0/24. Que le vlan « toto » ne puisse pas communiquer avec les membres du Vlan « titi ». Que tout les autres ne puissent pas accéder au réseau.
Exemple de Topologie: switch 1 switch 2 Lien agrégé en LACP Avec les ports 27 et 28 switch 2 VID 1 = [1-8] IP System = 192.168.10.0/24 VID 2 = [9-16] IP 20 = 192.168.20.0/24 VID 2 = [17-24] IP30= 192.168.30.0/24
Créations des interfaces IP: # IP Configuration de l’adressse IP du commutateur correspondant au VLAN default. config ipif System vlan default ipaddress 192.168.10.253/24 state enable Créations des interfaces IP correspondantes aux VLANs. create ipif ip20 192.168.20.253/24 toto state enable create ipif ip30 192.168.30.253/24 titi state enable
Créations des ACL’s: Les ACL’s sont caractérisées par des profiles dans lesquels ont spécifies des règles. Plusieurs règles peuvent être déclarées dans un profile. Un profile IP est caractérisé par les masques des sous réseaux source et destination. Les règles donnent les droits de communication, « permit » ou « deny ». Attention! lorsque vous faîtes une erreur il devient difficile de pouvoir la corrigée, ce qui implique qu’il faut préparer un support avant de se lancer dans le paramétrage.
Aide de mise en place Tout le monde( 0.0.0.0)puisse aller sur le réseau 192.168.10.0/24. Profile Masque Source Masque destination 1 0.0.0.0 255.255.255.0 Règle associée IP Source IP destination droit 1 0.0.0.0 192.168.10.0 Permit ACLs correspondantes aux tableaux: create access_profile ip ip-source_mask 0.0.0.0 destination_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id 1 ip source_ip 0.0.0.0 ip destination_ip 192.168.10.0 port 1-28 permit Profile Masque Source Masque destination 2 255.255.255.0 0.0.0.0 Règle associée IP Source IP destination droit 1 192.168.10.0 0.0.0.0 Permit ACLs correspondantes aux tableaux: create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 0.0.0.0 profile_id 2 config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.10.0 destination_ip 0.0.0.0 port 1-28 permit
Que le vlan « toto » ne puisse pas communiquer avec les membres du Vlan « titi », ou règle implicite le vlan « toto » ne peut voir que le Vlan « toto »… Profile Masque Source Masque destination 3 255.255.255.0 Règle associée IP Source IP destination droit 1 192.168.20.0 Permit Règle associée IP Source IP destination droit 2 192.168.30.0 Permit Règle associée IP Source IP destination droit 3 192.168.30.0 192.168.20.0 Deny
Aide de mise en place ACLs correspondantes aux tableaux: # Protection inter-Vlans # create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 3 config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.20.0 destination_ip 192.168.20.0 port 9-16 permit config access_profile profile_id 3 add access_id 2 ip source_ip 192.168.30.0 destination_ip 192.168.30.0 port 17-24 permit config access_profile profile_id 3 add access_id 3 ip source_ip 192.168.30.0 destination_ip 192.168.20.0 port 1-28 deny
Fichier global de configuration des ACL’s. # Editions et créations des règles de communications # # tout le monde 0.0.0.0 peut aller le réseau 192.168.10.0. create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 0.0.0.0 profile_id 1 config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.10.0 destination_ip 0.0.0.0 port 1-28 permit create access_profile ip destination_ip_mask 255.255.255.0 profile_id 2 config access_profile profile_id 2 add access_id 1 ip destination_ip 192.168.10.0 port 1-28 permit # Protection inter-Vlans create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 3 config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.20.0 destination_ip 192.168.20.0 port 9-16 permit config access_profile profile_id 3 add access_id 2 ip source_ip 192.168.30.0 destination_ip 192.168.30.0 port 17-24 permit config access_profile profile_id 3 add access_id 3 ip source_ip 192.168.30.0 destination_ip 192.168.20.0 port 1-28 deny # on interdit tout le monde create access_profile ip source_ip_mask 0.0.0.0 profile_id 4 config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 1-28 deny
Une astuce ! Une fois que vous avez réussi un paramétrage, le fichier de configuration peut être exploitable et éditable. Vous pouvez ensuite faire des modification via un éditeur texte et faire du copie/coller des lignes de commandes sur hyper-terminal.
Merci