Différences entre les versions de « Cisco Switch config de base »
De BlaxWiki
Aller à la navigationAller à la recherchem (a déplacé Cisco config de base vers Cisco Switch config de base) |
|||
| (Une version intermédiaire par un autre utilisateur non affichée) | |||
| Ligne 1 : | Ligne 1 : | ||
=== Configuration Globale === | === Configuration Globale === | ||
<pre> | <pre> | ||
| Ligne 118 : | Ligne 89 : | ||
</pre> | </pre> | ||
=== | * Explication des options | ||
<pre> | |||
no service pad : désactivation du service "packet assembler/disassembler" qui permet d'établir des connexions via le protocole X25 | |||
no ip http server : désactivation de l'administration par HTTP | |||
no ip http secure-server : désactivation de l'administration par HTTPS | |||
no ip bootp server : désactivation du protocole BootP | |||
no ip domain-lookup : désactivation de la résolution DNS | |||
no ip finger : désactivation du service finger | |||
service tcp-keepalives-in : Préviens les sessions orphelines | |||
no logging console : Empêche de bloquer le port console par trop de log | |||
service password-encryption : Cache les mots de passes dans les fichiers de configuration | |||
scheduler max-task-time 5000 : Protège des plantages ou bloquage de process | |||
</pre> | |||
=== Port mode Access === | |||
Le mode "access" permet de connecter 1 interface distante appartenant à 1 seul VLAN. Il n'est pas nécessaire de tagger le VLAN sur l'interface de l'hôte distant | |||
==== Raccordement serveur sur switch client ==== | |||
<pre> | <pre> | ||
interface GigabitEthernet0/2 | interface GigabitEthernet0/2 | ||
| Ligne 136 : | Ligne 124 : | ||
</pre> | </pre> | ||
=== | * Explication des options | ||
<pre> | |||
Sécurité | |||
- switchport nonegotiate : désactive l'envoi de message DTP depuis le port (Dynamic Trunk Port) afin de d'empecher la bascule du port en mode Trunk | |||
- switchport port-security : activation de la sécurité sur le port | |||
- switchport port-security maximum 5 : maximum d'adresse MAC acceptée sur le port (attention en cas de serveurs virtuels qui passeraient par cette interface) | |||
- switchport port-security aging time 10 : l'enregistrement de l'adresse MAC expire au bout de 10 minutes sans activité | |||
- no cdp enable : désactivation de la découverte des équipements voisins (Cisco Discovery Protocol) | |||
Spanning-Tree | |||
- spanning-tree portfast : activation directe du port en Forwarding au lieu de passer par toutes les étapes de détection de la topologie du spanning tree, cela permet de faire | |||
passer le port UP plus rapidement. Ce paramètre n'est pas recommandé si l'équipement connecté est autre qu'un serveur, car le spanning-tree est la pour prévenir la création de boucle | |||
réseau. | |||
- spanning-tree bpduguard enable : permet la désactivation du port en cas de réception de paquet BPDU (servant à déterminer la topologie du spanning tree) sur un port qui n'est pas | |||
destiné à en recevoir | |||
- spanning-tree bpdufilter enable : désactive l'envoi de paquet BPDU à partir ce port | |||
- spanning-tree guard root : force le port en état "Designated Root" sur son segment réseau | |||
</pre> | |||
=== Port mode Trunk === | |||
Le mode "trunk" permet de connecter 1 interface distante appartenant à 1 ou plusieurs VLAN. Les VLAN doivent être taggés sur l'interface de l'hôte distant sinon le trafic sera rejeté | |||
par le port du switch | |||
==== Raccordement serveur/switch vers switch client ==== | |||
<pre> | |||
interface GigabitEthernet0/1 | |||
description vers prive.agarik | |||
switchport trunk allowed vlan 323,325-327 | |||
switchport mode trunk | |||
switchport nonegotiate | |||
</pre> | |||
==== Raccordement client vers Agarik ==== | |||
<pre> | |||
interface GigabitEthernet0/1 | |||
description vers prive.agarik | |||
switchport trunk allowed vlan 323,325-327 | |||
switchport mode trunk | |||
switchport nonegotiate | |||
no cdp enable | |||
</pre> | |||
==== Port Channel entre deux Switch du même type sur IOS ==== | |||
<pre> | <pre> | ||
interface range GigabitEthernet1/0/47-48 | interface range GigabitEthernet1/0/47-48 | ||
Version actuelle datée du 22 avril 2013 à 13:09
Configuration Globale[modifier]
hostname <switch-template> ip domain-name <domain.tld> service password-encryption password encryption aes vtp domain autotrader vtp mode off ! banner login # # banner motd # # ! no service pad no ip http server no ip http secure-server no ip bootp server no ip domain-lookup no ip finger no logging console no ip http server no ip http secure-server ! aaa new-model ! aaa authentication login default local aaa authentication enable default enable aaa authorization exec default local ! aaa session-id common ! username agarik privilege 15 secret mpXMejfx_fCqxojP3 ! service tcp-keepalives-in service password-encryption password encryption aes crypto key generate rsa encryption modulus 2048 ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ! ntp server 172.26.0.15 ntp server 192.168.26.15 ! logging 172.26.0.14 logging 192.168.26.14 snmp-server community <agaro> RO snmp-server community <agarw> RW snmp-server enable traps config snmp-server host 10.252.15.235 agastat snmp-server host 10.252.15.236 agastat ! scheduler max-task-time 5000 ip tcp synwait-time 10 ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree uplinkfast spanning-tree vlan 1-1005 priority 0 ! ip access-list extended ADMIN-IN permit ip host 172.26.0.15 any permit ip host 192.168.26.15 any permit ip host 172.26.0.14 any permit ip host 192.168.26.14 any permit ip 10.252.0.0 0.0.255.255 any permit ip 10.253.0.0 0.0.255.255 any permit icmp 10.252.0.0 0.0.255.255 any permit icmp 10.253.0.0 0.0.255.255 any permit icmp 172.26.15.32 0.0.0.15 any ip access-list extended ADMIN-OUT permit ip any any permit icmp any any ! line con 0 exec-timeout 0 0 password CdQHTeLm2012_ line vty 0 4 access-class ADMIN-IN in password CdQHTeLm2012_ transport input ssh line vty 5 15 password CdQHTeLm2012_ transport input none transport output none
- Explication des options
no service pad : désactivation du service "packet assembler/disassembler" qui permet d'établir des connexions via le protocole X25 no ip http server : désactivation de l'administration par HTTP no ip http secure-server : désactivation de l'administration par HTTPS no ip bootp server : désactivation du protocole BootP no ip domain-lookup : désactivation de la résolution DNS no ip finger : désactivation du service finger service tcp-keepalives-in : Préviens les sessions orphelines no logging console : Empêche de bloquer le port console par trop de log service password-encryption : Cache les mots de passes dans les fichiers de configuration scheduler max-task-time 5000 : Protège des plantages ou bloquage de process
Port mode Access[modifier]
Le mode "access" permet de connecter 1 interface distante appartenant à 1 seul VLAN. Il n'est pas nécessaire de tagger le VLAN sur l'interface de l'hôte distant
Raccordement serveur sur switch client[modifier]
interface GigabitEthernet0/2 description <nom_equipement:interface> switchport mode access switchport access vlan 1 switchport nonegotiate switchport port-security switchport port-security maximum 5 switchport port-security aging time 10 shutdown no cdp enable spanning-tree portfast spanning-tree bpduguard enable spanning-tree bpdufilter enable spanning-tree guard root
- Explication des options
Sécurité - switchport nonegotiate : désactive l'envoi de message DTP depuis le port (Dynamic Trunk Port) afin de d'empecher la bascule du port en mode Trunk - switchport port-security : activation de la sécurité sur le port - switchport port-security maximum 5 : maximum d'adresse MAC acceptée sur le port (attention en cas de serveurs virtuels qui passeraient par cette interface) - switchport port-security aging time 10 : l'enregistrement de l'adresse MAC expire au bout de 10 minutes sans activité - no cdp enable : désactivation de la découverte des équipements voisins (Cisco Discovery Protocol) Spanning-Tree - spanning-tree portfast : activation directe du port en Forwarding au lieu de passer par toutes les étapes de détection de la topologie du spanning tree, cela permet de faire passer le port UP plus rapidement. Ce paramètre n'est pas recommandé si l'équipement connecté est autre qu'un serveur, car le spanning-tree est la pour prévenir la création de boucle réseau. - spanning-tree bpduguard enable : permet la désactivation du port en cas de réception de paquet BPDU (servant à déterminer la topologie du spanning tree) sur un port qui n'est pas destiné à en recevoir - spanning-tree bpdufilter enable : désactive l'envoi de paquet BPDU à partir ce port - spanning-tree guard root : force le port en état "Designated Root" sur son segment réseau
Port mode Trunk[modifier]
Le mode "trunk" permet de connecter 1 interface distante appartenant à 1 ou plusieurs VLAN. Les VLAN doivent être taggés sur l'interface de l'hôte distant sinon le trafic sera rejeté par le port du switch
Raccordement serveur/switch vers switch client[modifier]
interface GigabitEthernet0/1 description vers prive.agarik switchport trunk allowed vlan 323,325-327 switchport mode trunk switchport nonegotiate
Raccordement client vers Agarik[modifier]
interface GigabitEthernet0/1 description vers prive.agarik switchport trunk allowed vlan 323,325-327 switchport mode trunk switchport nonegotiate no cdp enable
Port Channel entre deux Switch du même type sur IOS[modifier]
interface range GigabitEthernet1/0/47-48 channel-group 1 mode active interface port-channel 1 description Vers Switch X switchport trunk encapsulation dot1q switchport trunk allowed vlan X,X,X-Y switchport mode trunk switchport nonegotiate
Configuration d'une interface d'aministration isolé avec ACL[modifier]
Ici on va mettre l'ip d'admin directement sur une interface. C'est une ip d'un subnet routé, cette interface ne servira qu'à l'administration du switch, elle sera connectée sur un switch dont l'interface sera en mode access. L'acl est bien sur à modifier suivant les reseaux autorisés à administrer le switch
interface GigabitEthernet2/0/1 description management no switchport ip address ADRESSE_IP NETMASK ip access-group ADMIN-IN in ip access-group ADMIN-OUT out no ip redirects no ip unreachables no ip proxy-arp no ip route-cache no ip mroute-cache ! ! ! ip access-list extended ADMIN-IN permit ip host 172.26.0.15 any permit ip host 192.168.26.15 any permit ip host 172.26.0.14 any permit ip host 192.168.26.14 any permit ip 10.252.0.0 0.0.255.255 any permit ip 10.253.0.0 0.0.255.255 any permit icmp 10.252.0.0 0.0.255.255 any permit icmp 10.253.0.0 0.0.255.255 any permit icmp 172.26.15.32 0.0.0.15 any ip access-list extended ADMIN-OUT permit ip any any permit icmp any any ! ! line con 0 exec-timeout 0 0 line vty 0 4 access-class ADMIN-IN in password PASSWORD transport input ssh line vty 5 15 password PASSWORD transport input none transport output none
