Différences entre les versions de « Cisco Switch config de base »

De BlaxWiki
Aller à la navigationAller à la recherche
Ligne 1 : Ligne 1 :
=== Définition des options ===
<pre>
no service pad : désactivation du service "packet assembler/disassembler" qui permet d'établir des connexions via le protocole X25
no ip http server : désactivation de l'administration par HTTP
no ip http secure-server : désactivation de l'administration par HTTPS
no ip bootp server : désactivation du protocole BootP
no ip domain-lookup : désactivation de la résolution DNS
no ip finger : désactivation du service finger
service tcp-keepalives-in : Préviens les sessions orphelines
no logging console : Empêche de bloquer le port console par trop de log
service password-encryption : Cache les mots de passes dans les fichiers de configuration
scheduler max-task-time 5000 : Protège des plantages ou bloquage de process
Sécurité
    switchport nonegotiate : désactive l'envoi de message DTP depuis le port (Dynamic Trunk Port) afin de d'empecher la bascule du port en mode Trunk
    switchport port-security : activation de la sécurité sur le port
    switchport port-security maximum 5 : maximum d'adresse MAC acceptée sur le port (attention en cas de serveurs virtuels qui passeraient par cette interface)
    switchport port-security aging time 10 : l'enregistrement de l'adresse MAC expire au bout de 10 minutes sans activité
    no cdp enable : désactivation de la découverte des équipements voisins (Cisco Discovery Protocol)
Spanning-Tree
    spanning-tree portfast : activation directe du port en Forwarding au lieu de passer par toutes les étapes de détection de la topologie du spanning tree, cela permet de faire
passer le port UP plus rapidement. Ce paramètre n'est pas recommandé si l'équipement connecté est autre qu'un serveur, car le spanning-tree est la pour prévenir la création de boucle
réseau.
    spanning-tree bpduguard enable : permet la désactivation du port en cas de réception de paquet BPDU (servant à déterminer la topologie du spanning tree) sur un port qui n'est pas destiné à en recevoir
    spanning-tree bpdufilter enable : désactive l'envoi de paquet BPDU à partir ce port
    spanning-tree guard root : force le port en état "Designated Root" sur son segment réseau
</pre>
=== Configuration Globale ===
=== Configuration Globale ===
<pre>
<pre>
Ligne 118 : Ligne 89 :
</pre>
</pre>


=== Configuration raccordement serveur ===
* Explication des options
<pre>
no service pad : désactivation du service "packet assembler/disassembler" qui permet d'établir des connexions via le protocole X25
no ip http server : désactivation de l'administration par HTTP
no ip http secure-server : désactivation de l'administration par HTTPS
no ip bootp server : désactivation du protocole BootP
no ip domain-lookup : désactivation de la résolution DNS
no ip finger : désactivation du service finger
service tcp-keepalives-in : Préviens les sessions orphelines
no logging console : Empêche de bloquer le port console par trop de log
service password-encryption : Cache les mots de passes dans les fichiers de configuration
scheduler max-task-time 5000 : Protège des plantages ou bloquage de process
</pre>
 
=== Port mode Access ===
Le mode "access" permet de connecter 1 interface distante appartenant à 1 seul VLAN. Il n'est pas nécessaire de tagger le VLAN sur l'interface de l'hôte distant
 
==== Raccordement serveur sur switch client ====
<pre>
<pre>
interface GigabitEthernet0/2
interface GigabitEthernet0/2
Ligne 136 : Ligne 124 :
</pre>
</pre>


=== Configuration Port Channel entre deux Switch du même type sur IOS ===
* Explication des options
<pre>
Sécurité
  - switchport nonegotiate : désactive l'envoi de message DTP depuis le port (Dynamic Trunk Port) afin de d'empecher la bascule du port en mode Trunk
  - switchport port-security : activation de la sécurité sur le port
  - switchport port-security maximum 5 : maximum d'adresse MAC acceptée sur le port (attention en cas de serveurs virtuels qui passeraient par cette interface)
  - switchport port-security aging time 10 : l'enregistrement de l'adresse MAC expire au bout de 10 minutes sans activité
  - no cdp enable : désactivation de la découverte des équipements voisins (Cisco Discovery Protocol)
 
Spanning-Tree
  - spanning-tree portfast : activation directe du port en Forwarding au lieu de passer par toutes les étapes de détection de la topologie du spanning tree, cela permet de faire
passer le port UP plus rapidement. Ce paramètre n'est pas recommandé si l'équipement connecté est autre qu'un serveur, car le spanning-tree est la pour prévenir la création de boucle
réseau.
  - spanning-tree bpduguard enable : permet la désactivation du port en cas de réception de paquet BPDU (servant à déterminer la topologie du spanning tree) sur un port qui n'est pas
destiné à en recevoir
  - spanning-tree bpdufilter enable : désactive l'envoi de paquet BPDU à partir ce port
  - spanning-tree guard root : force le port en état "Designated Root" sur son segment réseau
</pre>
 
=== Port mode Trunk ===
Le mode "trunk" permet de connecter 1 interface distante appartenant à 1 ou plusieurs VLAN. Les VLAN doivent être taggés sur l'interface de l'hôte distant sinon le trafic sera rejeté
par le port du switch
 
==== Raccordement serveur/switch vers switch client ====
<pre>
interface GigabitEthernet0/1
description vers prive.agarik
switchport trunk allowed vlan 323,325-327
switchport mode trunk
switchport nonegotiate
</pre>
 
==== Raccordement client vers Agarik ====
<pre>
interface GigabitEthernet0/1
description vers prive.agarik
switchport trunk allowed vlan 323,325-327
switchport mode trunk
switchport nonegotiate
no cdp enable
</pre>
 
==== Port Channel entre deux Switch du même type sur IOS ====
<pre>
<pre>
interface range GigabitEthernet1/0/47-48
interface range GigabitEthernet1/0/47-48

Version du 18 décembre 2012 à 11:20

Configuration Globale

hostname <switch-template>
ip domain-name <domain.tld>
service password-encryption
password encryption aes
vtp domain autotrader
vtp mode off

!
banner login # #
banner motd # #
!
no service pad
no ip http server
no ip http secure-server
no ip bootp server
no ip domain-lookup
no ip finger
no logging console
no ip http server
no ip http secure-server
!
aaa new-model
!
aaa authentication login default local
aaa authentication enable default enable
aaa authorization exec default local
!
aaa session-id common
!
username agarik privilege 15 secret mpXMejfx_fCqxojP3
!
service tcp-keepalives-in
service password-encryption
password encryption aes
crypto key generate rsa encryption modulus 2048
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ntp server 172.26.0.15
ntp server 192.168.26.15
!
logging 172.26.0.14
logging 192.168.26.14
snmp-server community <agaro> RO
snmp-server community <agarw> RW
snmp-server enable traps config
snmp-server host 10.252.15.235 agastat
snmp-server host 10.252.15.236 agastat
!
scheduler max-task-time 5000
ip tcp synwait-time 10
!
spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree uplinkfast
spanning-tree vlan 1-1005 priority 0
!
ip access-list extended ADMIN-IN
 permit ip host 172.26.0.15 any
 permit ip host 192.168.26.15 any
 permit ip host 172.26.0.14 any
 permit ip host 192.168.26.14 any
 permit ip 10.252.0.0 0.0.255.255 any
 permit ip 10.253.0.0 0.0.255.255 any
 permit icmp 10.252.0.0 0.0.255.255 any
 permit icmp 10.253.0.0 0.0.255.255 any
 permit icmp 172.26.15.32 0.0.0.15 any
ip access-list extended ADMIN-OUT
 permit ip any any
 permit icmp any any
!
line con 0
 exec-timeout 0 0
 password CdQHTeLm2012_
line vty 0 4
 access-class ADMIN-IN in
 password CdQHTeLm2012_
 transport input ssh
line vty 5 15
 password CdQHTeLm2012_
 transport input none
 transport output none
  • Explication des options
no service pad : désactivation du service "packet assembler/disassembler" qui permet d'établir des connexions via le protocole X25
no ip http server : désactivation de l'administration par HTTP
no ip http secure-server : désactivation de l'administration par HTTPS
no ip bootp server : désactivation du protocole BootP
no ip domain-lookup : désactivation de la résolution DNS
no ip finger : désactivation du service finger
service tcp-keepalives-in : Préviens les sessions orphelines
no logging console : Empêche de bloquer le port console par trop de log
service password-encryption : Cache les mots de passes dans les fichiers de configuration
scheduler max-task-time 5000 : Protège des plantages ou bloquage de process

Port mode Access

Le mode "access" permet de connecter 1 interface distante appartenant à 1 seul VLAN. Il n'est pas nécessaire de tagger le VLAN sur l'interface de l'hôte distant

Raccordement serveur sur switch client

interface GigabitEthernet0/2
 description <nom_equipement:interface>
 switchport mode access
 switchport access vlan 1
 switchport nonegotiate
 switchport port-security
 switchport port-security maximum 5
 switchport port-security aging time 10
 shutdown
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree bpdufilter enable
 spanning-tree guard root
  • Explication des options
Sécurité
   - switchport nonegotiate : désactive l'envoi de message DTP depuis le port (Dynamic Trunk Port) afin de d'empecher la bascule du port en mode Trunk
   - switchport port-security : activation de la sécurité sur le port
   - switchport port-security maximum 5 : maximum d'adresse MAC acceptée sur le port (attention en cas de serveurs virtuels qui passeraient par cette interface)
   - switchport port-security aging time 10 : l'enregistrement de l'adresse MAC expire au bout de 10 minutes sans activité
   - no cdp enable : désactivation de la découverte des équipements voisins (Cisco Discovery Protocol) 

Spanning-Tree
   - spanning-tree portfast : activation directe du port en Forwarding au lieu de passer par toutes les étapes de détection de la topologie du spanning tree, cela permet de faire 
passer le port UP plus rapidement. Ce paramètre n'est pas recommandé si l'équipement connecté est autre qu'un serveur, car le spanning-tree est la pour prévenir la création de boucle 
réseau.
   - spanning-tree bpduguard enable : permet la désactivation du port en cas de réception de paquet BPDU (servant à déterminer la topologie du spanning tree) sur un port qui n'est pas 
destiné à en recevoir
   - spanning-tree bpdufilter enable : désactive l'envoi de paquet BPDU à partir ce port
   - spanning-tree guard root : force le port en état "Designated Root" sur son segment réseau

Port mode Trunk

Le mode "trunk" permet de connecter 1 interface distante appartenant à 1 ou plusieurs VLAN. Les VLAN doivent être taggés sur l'interface de l'hôte distant sinon le trafic sera rejeté par le port du switch

Raccordement serveur/switch vers switch client

interface GigabitEthernet0/1
 description vers prive.agarik
 switchport trunk allowed vlan 323,325-327
 switchport mode trunk
 switchport nonegotiate

Raccordement client vers Agarik

interface GigabitEthernet0/1
 description vers prive.agarik
 switchport trunk allowed vlan 323,325-327
 switchport mode trunk
 switchport nonegotiate
 no cdp enable

Port Channel entre deux Switch du même type sur IOS

interface range GigabitEthernet1/0/47-48
 channel-group 1 mode active

interface port-channel 1
 description Vers Switch X
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan X,X,X-Y
 switchport mode trunk
 switchport nonegotiate

Configuration d'une interface d'aministration isolé avec ACL

Ici on va mettre l'ip d'admin directement sur une interface. C'est une ip d'un subnet routé, cette interface ne servira qu'à l'administration du switch, elle sera connectée sur un switch dont l'interface sera en mode access. L'acl est bien sur à modifier suivant les reseaux autorisés à administrer le switch 

interface GigabitEthernet2/0/1
 description management
 no switchport
 ip address ADRESSE_IP NETMASK
 ip access-group ADMIN-IN in
 ip access-group ADMIN-OUT out
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
 no ip mroute-cache
!
!
!
ip access-list extended ADMIN-IN
 permit ip host 172.26.0.15 any
 permit ip host 192.168.26.15 any
 permit ip host 172.26.0.14 any
 permit ip host 192.168.26.14 any
 permit ip 10.252.0.0 0.0.255.255 any
 permit ip 10.253.0.0 0.0.255.255 any
 permit icmp 10.252.0.0 0.0.255.255 any
 permit icmp 10.253.0.0 0.0.255.255 any
 permit icmp 172.26.15.32 0.0.0.15 any
ip access-list extended ADMIN-OUT
 permit ip any any
 permit icmp any any
!
!
line con 0
 exec-timeout 0 0
line vty 0 4
 access-class ADMIN-IN in
 password PASSWORD transport input ssh
line vty 5 15
 password PASSWORD
 transport input none
 transport output none
Récupérée de « https://wiki.blaxeen.com/index.php?title=Cisco_Switch_config_de_base&oldid=2300 »