Configuration de base
Entrer et sortir du mode de configuration
switch# conf t switch(config)# switch(config)#exit switch#
Sauvegarder la configuration
switch# write memory
Afficher la configuration
switch# show running-config
Redémarrer
switch# reload <CR / after / at>
Hostname
switch(config)# hostname switch-HP-Procurve
Utilisateur et mot de passe
Le manager a tous les droits. L’opérateur à des droits limités (commandes Show, accès aux logs, droits en lecture, etc…).
switch(config)# password manager user-name admin New password for Manager: ******* Please retype new password for Manager: ******** switch(config)# password operator user-name operator New password for Operator: ******* Please retype new password for Operator: ********
SSH et Telnet
switch(config)# crypto key generate ssh switch(config)# ip ssh switch(config)# ip ssh timeout 120 switch(config)# ip ssh version2
switch(config)# no telnet-server
switch# show telnet switch# show ip ssh
Accès console
Le temps est indiqué en minutes. « 0 » signifie que la session n’expire pas.
switch(config)# console idle-timer 5 switch(config)# console baud-rate 9600 switch(config)# console baud-rate speed-sense (default)
Accès WEB
switch(config)# crypto key generate cert <key_size> switch(config)# web-management ssl switch(config)# no web-management plaintext
SFTP
switch(config)# ip ssh filetransfer
TFTP
switch(config)# tftp server
Bannière
switch(config)# banner motd # Enter TEXT message. End with the character'#’ #
switch(config)# banner exec # Enter TEXT message. End with the character'#’ #
AAA Radius
switch(config)# radius-server host <IP-Serveur-RADIUS> key <MDP> switch(config)# aaa authentication console login radius local switch(config)# aaa authentication console enable radius local switch(config)# aaa authentication ssh login radius local switch(config)# aaa authentication ssh enable radius local switch(config)# aaa authentication <telnet / web> login radius local switch(config)# aaa authentication <telnet / web> enable radius local
switch# show radius switch# show authentication switch# show radius authentication switch# show radius host <IP>
AAA Tacacs+
switch(config)# tacacs-server host <IP-Serveur-Tacacs> key <MDP> switch(config)# aaa authentication console login tacacs local switch(config)# aaa authentication console enable tacacs local switch(config)# aaa authentication ssh login tacacs local switch(config)# aaa authentication ssh enable tacacs local switch(config)# aaa authentication <telnet / web> login tacacs local switch(config)# aaa authentication <telnet / web> enable tacacs local
switch# show tacacs switch# show authentication
Configuration d’un port
Activation / Desactivation
switch(config)# interface ethernet 1 switch(eth-1)# enable switch(eth-1)# disable
Configuration d’une description
switch(eth-1)# name "TO Switch SW2"
Vitesse et Duplex
switch(eth-1)# speed-duplex 1000-full switch(eth-1)# speed-duplex auto
Limitation de broadcast
switch(eth-1)# broadcast-limit 15
Sécurité de port
Commandes
switch(config)# port-security ethernet 1 learn-mode <continuous / limited-continuous / static / configured / port-access> switch (config)# port-security ethernet 1 address-limit <NB Adresses MAX> switch (config)# port-security ethernet 1 action <none / send-alarm / send-disable> switch (config)# port-security ethernet 1 eavesdrop-prevention switch (config)# port-security Ethernet 1 mac-address <Adresse MAC> switch (config)# mac-age-time 120 (en minutes, 300 par défaut)
Explications
Le paramètre Learn-mode définit comment les adresses MAC sont apprises :
- Continuous: C’est le mode par défaut. Le switch apprend les adresses MAC des frames qu’il reçoit. Une fois le Age-Time atteint, elles sont supprimées. Il n’est pas possible de configurer de Address-Limit.
- Limited-continuous: Similaire au mode continuous mais permet de configurer une limite d’adresse MAC.
- Static: Permet de spécifier à la main les adresses MAC autorisées. Si la limite n’est pas atteinte, le switch peut encore apprendre des adresses (ex : si la limite est à 5 et que 3 adresses ont été configurées, le switch peut encore apprendre 2 adresses).
- Configured: Similaire au mode Static. Si la limite n’est pas attente, le switch ne peut pas apprendre de nouvelles adresses (ex : si la limite est à 5 et que 3 adresses ont été configurées, le switch ne peut pas apprendre plus d’adresse).
- Port-Access: Permet de configurer de l’authentification
Le paramètre Address-Limit permet de choisir le nombre maximum d’adresse que le switch peut apprendre pour un port.
Le paramètre Action permet de définir ce que fait le switch une fois la limite atteinte :
- None: le switch ignore les frames venant ayant une adresse source non apprise (ex : la limite est 5 est le switch a appris 5 adresse, alors une frame ayant une adresse source non connue est ignorée).
- Send-alarm: génère une alerte
- Send-disable: bloque le port
Le paramètre Mac-Address permet de spécifier à la main les adresses que le switch doit connaitre (utile pour les modes Static et Configured).
Le paramètre Age-Time permet de choisir le temps après lequel les adresses non-utilisées sont oubliées (par défaut : 300 minutes).
Le paramètre Eavesdrop-Prevention permet d’empêcher un ordinateur de voir du trafic Unicast qui n’est pas destiné à ce port. Quand le paramètre est activé et qu’une frame arrive sur le port, le switch compare l’adresse de destination aux adresses autorisées sur le port. Cela n’affecte pas le trafic de Multicast et de Broadcast.
Vérification
switch (config)# show port-security ethernet 1 Port Security Port : 1 Learn Mode [Continuous] : Limited-Continuous Address Limit [1] : 10 Action [None] : None Eavesdrop Prevention [Enabled] : Enabled
Configuration des VLANs
Augmenter le nombre de VLAN max
switch(config)# max-vlans 100
Creation d’un VLAN
switch(config)# vlan 10 name servers
Suppression d’un VLAN
switch(config)# no vlan 10
Association d’un VLAN à un port
Untagged correspond au mode access chez Cisco. Les frames ne sont pas taguées quand elles sont envoyés à travers le port.
Le mode Tagged correspond au mode Trunk chez Cisco. Les frames sont taguées avec le numéro du VLAN quand elles sont envoyées à travers le port.
switch(config)# vlan 10 switch(vlan-10)# untagged ethernet 1-10 switch(vlan-10)# tagged ethernet 48
VLAN Voice
switch(config)# vlan 20 switch(vlan-2)# tagged ethernet 1-48 switch(vlan-2)# voice
Vérification
switch# show vlans
Configuration IP
Interface VLAN
switch(config)# vlan 10 switch(vlan-10)# ip address 10.0.10.1 255.255.255.0
Supprimer Interface VLAN
switch(config)# vlan 10 switch(vlan-10)# no ip default-gateway 10.0.1.254
Passerelle par défaut
switch(config)# ip default-gateway 10.0.1.254
DNS
switch(config)# ip dns server-address priority 1 10.0.0.1
Configuration Spanning Tree
Activation du Spanning Tree
switch(config)# spanning-tree
MSTP
Paramètres de base.
switch(config)# spanning-tree config-name "STPNAME" switch(config)# spanning-tree config-revision 1
Assignation des VLANs à une instance.
switch(config)# spanning-tree instance 1 vlan 10 switch(config)# spanning-tree instance 2 vlan 20
Forcer le switch en Root Bridge pour une instance.
switch(config)# spanning-tree instance 2 priority 0
RSTP
switch(config)#spanning-tree force-version rstp-operation
Forcer le switch en Root Bridge
La priorité du switch devient 4096.
switch(config)#spanning-tree priority 0
Admin-Edge-Port (Portfast)
L’Admin-Edge-Port est l’équivalent du portfast chez Cisco. C’est une configuration à appliquer sur les ports donnant vers des PC. Ici les ports 1 à 10 seront configurés en Admin-Edge-Port.
switch(config)# spanning-tree <Liste-Port> admin-edge-port
Coût et priorité
switch(config)# spanningtree 7 path-cost 10000 switch(config)# spanningtree 7 priority 6
Root Guard
Le Root Guard permet d’empêcher un switch dérière ce port de devenir Root Bridge.
switch(config)#spanning-tree 48 root-guard
BPDU-Protection
Avec la BPDU Protection, si un BPDU est reçu sur le port, celui-ci est désactivé. Il est possible de choisi un temps après lequel le port est réactive (Timeout).
switch(config)# spanning-tree 1-10 bpdu-protection switch(config)# spanning-tree bpdu-protection-timeout 300
BPDU Filter
Le BPDU Filter empêche l’envoie et la réception de BPDU sur le port. Le port continue de faire transiter le trafic.
switch(config)#spanning-tree 1 bpdu-filter
Loop Protection
switch(config)# loop-protect trap loop-detected switch(config)# loop-protect <interface> receiver-action send-disable
Vérification
Switch# show spanning-tree
Agrégation de lien
Prérequis sur les ports de l’agrégation :
- Pas de VLAN
- Même vitesse et mode de duplex
- Pas de Loop Protect
Agrégation statique
Agrégation sans protocole de négociation (équivalent au mode ON chez Cisco).
switch(config)# trunk 1-2 trk1 trunk
LACP
Agrégation avec négociation LACP en mode Passive (création d’une agrégation si le port en face est en mode Active, sinon il ne se passe rien).
switch(config)# trunk 1-2 trk1 lacp
Agrégation avec négociation LACP en mode Active (création d’une agrégation si le port en face est en mode Passive ou Active, sinon il ne se passe rien).
switch(config)# trunk 1-2 trk1 lacp active
Configuration de l’agrégation agrégation
switch(config)# vlan 10 switch(vlan-10)# tagged trk1
Vérification
switch# show trunks switch# show lacp
VRRP
Switch Active
switch(config)# router vrrp switch(config)# vlan 10 switch(config)# ip address 10.0.10.1 255.255.255.0 switch(vlan-10)# vrrp vrid 10 switch(vlan-10-vrid-10)# backup switch(vlan-10-vrid-10)# priority 254 switch(vlan-10-vrid-10)# virtual-ip-address 10.0.1.254 255.255.255.0 switch(vlan-10-vrid-10)# enable
Il est préférable de configurer les deux switchs en mode Backup et d’assigner une priorité plus importante à l’un d’eux. Cela permet d’assigner une IP A au premier switch, une IP B au deuxième et une IP C pour l’IP virtuelle de passerelle.
En configurant un switch en Owner et un en Backup, le switch Owner doit porter l’IP virtuelle de passerelle.
Switch Standby
switch(config)# router vrrp switch(config)# vlan 10 switch(config)# ip address 10.0.10.2 255.255.255.0 switch(vlan-10)# vrrp vrid 10 switch(vlan-10-vrid-10)# backup switch(vlan-10-vrid-10)# priority 250 switch(vlan-10-vrid-10)# virtual-ip-address 10.0.1.254 255.255.255.0 switch(vlan-10-vrid-10)# enable
Vérification
switch# show vrrp config switch# show vrrp vlan 10
Configuration d’une ACL
ACL standard : 1 à 100 ou nommée.
ACL standard 100 à 199 ou nommée.
Un Deny All se trouve à la fin de toutes les ACL.
switch(config)# ip accesslist standard 1 switch(config-std-nacl)# permit <IP> <Wildcard Mask>
switch(config)# ip accesslist standard <Nom_ACL> switch(config-std-nacl)# permit <IP>/<Nb_Bits_Masque>
Application de l’ACL sur un VLAN.
switch(config)# vlan 10 switch(config)# ip access-group <Nom_ACL> <in / out>
Vérification.
switch# show access-list
Configuration d’une restriction d’accès
Seules les IP identifiées dans les commandes IP Authorised-Manager peuvent accéder aux interfaces de configuration du switch.
switch(config)# ip authorized-manager 10.0.0.0 mask 255.255.255.0 manager
Configuration NTP / SNTP
Client NTP
switch(config)# ip timep manual <IP> switch(config)# timesync timep
switch# show timep
Client SNTP
switch(config)# timesync sntp switch(config)# sntp server priority 1 10.0.0.1 switch(config)# sntp unicast
switch# show sntp
Configuration SNMP
SNMP v1 et V2
Activation / Désactivation du SNMP.
switch(config)# snmp-server enable switch(config)# no snmp-server enable
Configuration de la communauté.
switch(config)# snmp-server community-public NAME
Renseignement des informations du switch.
switch(config)# snmp-server location "IT Room 1" switch(config)# snmp-server contact “IT Staff”
Autorisation d’interroger le switch en SNMP.
switch(config)# ip authorized-managers <IP> 255.255.255.255 access operator access-method snmp
Configuration d’une machine à laquelle envoyer des tarps.
switch(config)# snmp-server host <IP>
Vérification.
switch# show snmp-server
SNMPv3
Activation.
switch (config)# snmpv3 enable
Paramétrage des accès.
switch(config)# snmpv3 user <user> auth sha <MDP> priv aes <MDP> switch (config)# snmpv3 group <groupe> user <user> sec-model ver3
Renseignement des informations du switch.
switch(config)# snmp-server location "IT Room 1" switch(config)# snmp-server contact “IT Staff”
Vérification.
switch # show snmpv3 enable switch # show snmpv3 user switch # show snmpv3 group
Syslog
switch(config)# logging facility IT-Room-1 switch(config)# logging <IP_Serveur>
switch# show logging ?
DHCP Snooping
Le DHCP Snooping est une fonctionnalité permettant de filtrer des messages DHCP sur un switch. Il est possible de configurer les ports en mode Trusted (un serveur DHCP peut se trouver derrière et faires des DHCP-ACK et DHCP-OFFER) ou en mode UnTrusted (un serveur DHCP ne peut pas se trouver derrière le port.
Cela évite qu’un intrus se fasse passer pour un serveur DHCP. De plus, le switch garde en mémoire les adresses IP attribuées aux différentes adresses MAC.
Activation global du DHCP Snooping.
switch(config)# dhcpsnooping
Autorisation d’un serveur DHCP.
switch(config)# dhcpsnooping authorized-server <IP_serveur_DHCP>
Activation du DHCP Snooping sur un VLAN.
switch(config)# dhcpsnooping vlan 10
Configuration d’une interface en mode Trusted (les interfaces sont untrusted par défaut).
switch(config)# dhcpsnooping trust 5 (port derrière lequel un serveur DHCP est autorisé)
Vérification.
switch# show dhcp-snooping switch# show dhcp-snooping stats
Port Mirroring
Port de destination de trafic répliqué.
switch(config)# mirror 1 port <interface_dest>
Port sur lequel le trafic intéressant passe. Le mot clé Both signifie que le trafic entrant et sortant est répliqué.
switch(config)# interface <interface_src> monitor all both mirror 1
switch# show monitor 1
Remote Port Mirroring
Switch avec trafic intéressant
switch(config)# mirror 1 remote ip <IP_source> <port_UDP_src> <IP_dest> switch(config)# interface <interface_src> monitor all both mirror 1
Switch destination
switch(config)# mirror endpoint ip <IP_src> <port_UDP_src> <IP_dest> port <interface_dest>
Vérification
switch# show monitor 1
Configuration du routage
Activation du routage
switch(config)# ip routing
Création d’une route par défaut
switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1
LLDP / CDP
switch# show lldp info remote-device switch# show cdp neighbors
Configuration SFTP
Cette configuration permet d’activer le protocole SFTP sur le switch (pour la copie de fichiers). Le protocole TFTP est alors automatiquement désactivé.
switch(config)# crypto key generate ssh switch(config)# ip ssh filetransfer
POE
Le POE est activé par défaut.
switch(config)# interface 1 switch(eth-1)# no powerover-ethernet switch(eth-1)# power-overethernet
switch# show power-overethernet switch# show power-overethernet brief
802.1X Ethernet
Configuration Radius
switch(config)# radiusserver host <IP_serveur> key <MDP> switch(config)# aaa authentication port-access eap-radius
Configuration des ports concernés
switch(config)# aaa portaccess authenticator 15,18-20
Paramétrage spécifiques (VLAN en cas de non authentification et limite de client)
switch(config)# aaa portaccess authenticator 15,18-20 unauth-vid <VLAN> switch(config)# aaa portaccess authenticator 15 client-limit 4
Activation de l’authentification
switch(config)# aaa portaccess authenticator active
Vérification
switch # show port-access
DHCP Relay
switch(config)# vlan 5 switch(vlan-5)# ip helper-address <IP_serveur_DHCP>
RIP
switch(config)# router rip switch(config)# vlan 100 ip rip
switch# show ip rip
OSPF
switch(config)# ip routerid 10.0.0.1 switch(config)# router ospf switch(ospf)# area 0 switch(ospf)# vlan 10 switch(vlan-10)# ip ospf area 0
switch# show ip ospf interface switch# show ip ospf neighbor switch# show ip ospf linkstate
Commandes Show
Voici quelques commandes Show en vrac.
switch# show interfaces brief switch# show interfaces port-utilization switch# show interfaces ethernet 1 switch# show vlan switch# sconfiguration