Project-Id-Version: Trac 0.12
Report-Msgid-Bugs-To: trac-dev@googlegroups.com
POT-Creation-Date: 2013-01-27 11:21+0900
PO-Revision-Date: 2010-07-19 23:05+0200
Last-Translator: Jeroen Ruigrok van der Werven <asmodai@in-nomine.org>
Language-Team: en_US <trac-dev@googlegroups.com>
Plural-Forms: nplurals=2; plural=(n != 1)
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Generated-By: Babel 0.9.6

Doc/Howto/Cisco – Trac ResEl
wiki:Doc/Howto/Cisco

Inventaire du parc de switchs

  • 2 Cisco 3750
  • 6 Cisco 2950
  • 4 Cisco 3032
  • 2 Cisco 3560G

Admin. des switchs Cisco

Guide général : http://www.adm4net.com/adm4net/matactif/cisco/pres.php

Commandes pour les interfaces : http://www.cisco.com/en/US/docs/ios/12_2/interface/configuration/guide/icflanin.html

ip adressing : http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfipadr.html

Cisco 3750 : http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/scg.html

ACL : http://cisco.goffinet.org/s2/acl_resume

recupérer le mdp d'un cisco

http://www.tech-recipes.com/rx/1453/cisco_2950_switch_password_recovery/ http://www.petri.co.il/csc_how_to_recover_lost_password_on_cisco_switch.htm

Sauvegarde des confs

La sauvegardes des confs de switch est faite sur Pegase dans le répertoire /srv/cicso/confs. Elle sont archivées ici

Commandes utiles

Version de l'IOS et type de switch : sh vers

Copier la configuration d'un switch : copy run scp:

Configurer une interface

conf t
interface Gi1/0/17
description Ma Super Description
switchport access vlan 994,997
spanning-tree portfast
exit

Changer le mot de passe admin

conf t
no username admin
username admin secret 0 nouveaupass
exit
wr mem

ACL

Sécuriser le SNMP avec une ACL nommée

conf t
ip access-list standard ACL_SNMP
permit 172.22.0.0 0.0.1.255
no snmp-server community community_string RW
no snmp-server community public RO
snmp-server community community_string RW ACL_SNMP
snmp-server community public RO ACL_SNMP

Sécuriser le SNMP avec une ACL pas nommée

conf t
access-list 11 permit 172.22.0.0 0.0.1.255
no snmp-server community community_string RW
no snmp-server community public RO
snmp-server community community_string RW 11
snmp-server community public RO 11

Configurer le DHCP snooping

Le DHCP snooping permet de contrôler les flux DHCP qui passent sur le réseau. Il est possible de bloquer le trafic DHCP qui vient de certains ports, de vérifier que la MAC qui est dans une requête DHCP correspond à celle qui est dans la trame Ethernet, que les trames DHCP RELEASE viennent bien du port qui a fait le DHCP REQUEST correspondant, et de vérifier que les associations MAC / IP correpondent à celles qui ont été attribuées par DHCP.

Ce dernier point est le plus intéressant, malheureusement il n'est pas disponible au ResEl (du moins, pas avec les switch dont on dispose). De plus, vérifier que la MAC dans la requête DHCP est la même que la MAC source est désactivé, car certains utilisent des switchs ou des ponts qui ne sont pas transparents au niveau 2, et qui donc mettent leur adresse MAC au lieu de celle de la vraie machine.

Sur les Cisco, le DHCP n'est pas actif par défaut ; il s'active par VLAN ; par défaut les interfaces ne sont pas trustées, i.e. elles ne peuvent pas envoyer de réponses DHCP.

conf t
! activer de façon globale le DHCP
ip dhcp snoop
! activer le DHCP sur le vlan user
ip dhcp snoop vlan 999
! ajouter une interface à la liste de celles qui peuvent laisser passer des réponses DHCP
int Gi0/1
ip dhcp snoop trust

Mettre à jour l'IOS

Pour mettre à jour l'IOS, il faut uploader le nouveau firmware sur le switch puis lui dire de l'utiliser.

Pour uploader le fichier sur le switch, vous avez plusieurs solutions, qui dépendent de la version de l'IOS actuellement chargée sur le switch. Pour connaître ces solutions, tapez la commande suivante :

copy ?

Une manière de faire est d'utiliser un FTP. La procédure est donc :

copy ftp flash
! Pegase est utilisé pour faire le FTP ici
Address or name of remote host []? 172.22.1.224
Source filename []? cXXXX-X-XX.XXX-XX.bin
Destination filename []? cXXXX-X-XX.XXX-XX.bin
Loading cXXXX-X-XX.XXX-XX.bin from XXX.XXX.XXX.XXX (via Ethernet0/0): !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - xxxxx/yyyyyyy bytes]

! Il faut dire au switch d'utiliser ce nouveau firmware :
conf t
no boot system
boot system flash:cXXXX-X-XX.XXX-XX.bin
^Z

! Finalement, on reboot le switch
reload

Bien attendre très longtemps si jamais vous mettez à jour un stack de switch. Si jamais au bout d'une heure il n'y a toujours pas internet, priez très fort (ou mettez à jour l'ios sur le 2è switch ;-) )

Si tout se passe bien, on peut supprimer le firmware précédent via

delete flash:cYYYY-Y-YY.YYY-YY.bin

Page créée par pchapuis et modifiée par ahoussai le 10/10/2016 15:37:23

Last modified 23 months ago Last modified on Oct 10, 2016, 3:37:23 PM