Différences entre les versions de « Cisco Switch config de base »
De BlaxWiki
Aller à la navigationAller à la recherche| Ligne 149 : | Ligne 149 : | ||
</pre> | </pre> | ||
=== Configuration d'une interface d'aministration isolé avec ACL | === Configuration d'une interface d'aministration isolé avec ACL === | ||
Ici on va mettre l'ip d'admin directement sur une interface. C'est une ip d'un subnet routé, cette interface ne servira qu'à l'administration du switch, elle sera connectée sur un | Ici on va mettre l'ip d'admin directement sur une interface. C'est une ip d'un subnet routé, cette interface ne servira qu'à l'administration du switch, elle sera connectée sur un | ||
switch dont l'interface sera en mode access. L'acl est bien sur à modifier suivant les reseaux autorisés à administrer le switch | switch dont l'interface sera en mode access. L'acl est bien sur à modifier suivant les reseaux autorisés à administrer le switch | ||
<pre> | |||
interface GigabitEthernet2/0/1 | interface GigabitEthernet2/0/1 | ||
description management | description management | ||
| Ligne 192 : | Ligne 192 : | ||
transport input none | transport input none | ||
transport output none | transport output none | ||
</pre> | |||
[[Catégorie:Cisco]] | [[Catégorie:Cisco]] | ||
Version du 27 août 2012 à 10:17
Définition des options
no service pad : désactivation du service "packet assembler/disassembler" qui permet d'établir des connexions via le protocole X25
no ip http server : désactivation de l'administration par HTTP
no ip http secure-server : désactivation de l'administration par HTTPS
no ip bootp server : désactivation du protocole BootP
no ip domain-lookup : désactivation de la résolution DNS
no ip finger : désactivation du service finger
service tcp-keepalives-in : Préviens les sessions orphelines
no logging console : Empêche de bloquer le port console par trop de log
service password-encryption : Cache les mots de passes dans les fichiers de configuration
scheduler max-task-time 5000 : Protège des plantages ou bloquage de process
Sécurité
switchport nonegotiate : désactive l'envoi de message DTP depuis le port (Dynamic Trunk Port) afin de d'empecher la bascule du port en mode Trunk
switchport port-security : activation de la sécurité sur le port
switchport port-security maximum 5 : maximum d'adresse MAC acceptée sur le port (attention en cas de serveurs virtuels qui passeraient par cette interface)
switchport port-security aging time 10 : l'enregistrement de l'adresse MAC expire au bout de 10 minutes sans activité
no cdp enable : désactivation de la découverte des équipements voisins (Cisco Discovery Protocol)
Spanning-Tree
spanning-tree portfast : activation directe du port en Forwarding au lieu de passer par toutes les étapes de détection de la topologie du spanning tree, cela permet de faire
passer le port UP plus rapidement. Ce paramètre n'est pas recommandé si l'équipement connecté est autre qu'un serveur, car le spanning-tree est la pour prévenir la création de boucle
réseau.
spanning-tree bpduguard enable : permet la désactivation du port en cas de réception de paquet BPDU (servant à déterminer la topologie du spanning tree) sur un port qui n'est pas destiné à en recevoir
spanning-tree bpdufilter enable : désactive l'envoi de paquet BPDU à partir ce port
spanning-tree guard root : force le port en état "Designated Root" sur son segment réseau
Configuration Globale
hostname <switch-template> ip domain-name <domain.tld> service password-encryption password encryption aes vtp domain autotrader vtp mode off ! banner login # # banner motd # # ! no service pad no ip http server no ip http secure-server no ip bootp server no ip domain-lookup no ip finger no logging console no ip http server no ip http secure-server ! aaa new-model ! aaa authentication login default local aaa authentication enable default enable aaa authorization exec default local ! aaa session-id common ! username agarik privilege 15 secret mpXMejfx_fCqxojP3 ! service tcp-keepalives-in service password-encryption password encryption aes crypto key generate rsa encryption modulus 2048 ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ! ntp server 172.26.0.15 ntp server 192.168.26.15 ! logging 172.26.0.14 logging 192.168.26.14 snmp-server community <agaro> RO snmp-server community <agarw> RW snmp-server enable traps config snmp-server host 10.252.15.235 agastat snmp-server host 10.252.15.236 agastat ! scheduler max-task-time 5000 ip tcp synwait-time 10 ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree uplinkfast spanning-tree vlan 1-1005 priority 0 ! ip access-list extended ADMIN-IN permit ip host 172.26.0.15 any permit ip host 192.168.26.15 any permit ip host 172.26.0.14 any permit ip host 192.168.26.14 any permit ip 10.252.0.0 0.0.255.255 any permit ip 10.253.0.0 0.0.255.255 any permit icmp 10.252.0.0 0.0.255.255 any permit icmp 10.253.0.0 0.0.255.255 any permit icmp 172.26.15.32 0.0.0.15 any ip access-list extended ADMIN-OUT permit ip any any permit icmp any any ! line con 0 exec-timeout 0 0 password CdQHTeLm2012_ line vty 0 4 access-class ADMIN-IN in password CdQHTeLm2012_ transport input ssh line vty 5 15 password CdQHTeLm2012_ transport input none transport output none
Configuration raccordement serveur
interface GigabitEthernet0/2 description <nom_equipement:interface> switchport mode access switchport access vlan 1 switchport nonegotiate switchport port-security switchport port-security maximum 5 switchport port-security aging time 10 shutdown no cdp enable spanning-tree portfast spanning-tree bpduguard enable spanning-tree bpdufilter enable spanning-tree guard root
Configuration Port Channel entre deux Switch du même type sur IOS
interface range GigabitEthernet1/0/47-48 channel-group 1 mode active interface port-channel 1 description Vers Switch X switchport trunk encapsulation dot1q switchport trunk allowed vlan X,X,X-Y switchport mode trunk switchport nonegotiate
Configuration d'une interface d'aministration isolé avec ACL
Ici on va mettre l'ip d'admin directement sur une interface. C'est une ip d'un subnet routé, cette interface ne servira qu'à l'administration du switch, elle sera connectée sur un switch dont l'interface sera en mode access. L'acl est bien sur à modifier suivant les reseaux autorisés à administrer le switch
interface GigabitEthernet2/0/1 description management no switchport ip address ADRESSE_IP NETMASK ip access-group ADMIN-IN in ip access-group ADMIN-OUT out no ip redirects no ip unreachables no ip proxy-arp no ip route-cache no ip mroute-cache ! ! ! ip access-list extended ADMIN-IN permit ip host 172.26.0.15 any permit ip host 192.168.26.15 any permit ip host 172.26.0.14 any permit ip host 192.168.26.14 any permit ip 10.252.0.0 0.0.255.255 any permit ip 10.253.0.0 0.0.255.255 any permit icmp 10.252.0.0 0.0.255.255 any permit icmp 10.253.0.0 0.0.255.255 any permit icmp 172.26.15.32 0.0.0.15 any ip access-list extended ADMIN-OUT permit ip any any permit icmp any any ! ! line con 0 exec-timeout 0 0 line vty 0 4 access-class ADMIN-IN in password PASSWORD transport input ssh line vty 5 15 password PASSWORD transport input none transport output none
