Catalyst Doc

Commutateurs Cisco Catalyst

C entre R éseau C ommunication

1/48


Sommaire1.Principes de base sur les réseaux des entités reliées à Osiris .......................................4

1.1. Les types de réseaux.............................................................................................................................41.2. Transmission des données dans un réseau..........................................................................................41.3. Principe d'un réseau Ethernet................................................................................................................51.4. Concepts de base de la commutation de niveau 2................................................................................7

2. Généralités sur les commutateurs CISCO......................................................................93. Gestion d'un Catalyst....................................................................................................11

3.1. Connexion au commutateur en port console.......................................................................................113.2. Navigation et changement de mode....................................................................................................11

3.2.1. Modes de fonctionnement...........................................................................................................123.2.2. Visualiser et sauvegarder la configuration d'un commutateur.....................................................13

3.3. Organisation des fichiers sur la flash...................................................................................................143.4. Mise à jour du système (IOS)...............................................................................................................153.5. Sauvegarde d'une configuration sur un serveur tftp............................................................................16

4. Configuration de base recommandée par le CRC........................................................184.1. Démarrage d'un commutateur non configuré......................................................................................184.2. Configuration du nom de l'équipement................................................................................................184.3. Configuration du fuseau horaire france et de l'heure d'été..................................................................184.4. Configuration du client NTP.................................................................................................................184.5. Activation de la résolution de noms.....................................................................................................194.6. Adresse IP d'un commutateur.............................................................................................................194.7. Authentification des connexions sur le commutateur..........................................................................20

4.7.1. Connexion port console et telnet.................................................................................................204.7.2. Connexion port console et ssh....................................................................................................21

4.8. Désactivation du protocole CDP (Cisco Discover Protocol)................................................................224.9. Désactivation du démon http de management du commutateur.........................................................224.10. Configuration des logs sur le commutateur.......................................................................................22

5. Configuration des interfaces..........................................................................................245.1. Configuration Duplex et vitesse d'une interface FastEthernet............................................................245.2. Agrégation de liens 802.3ad.................................................................................................................26

6. Création de VLAN et de liens trunk...............................................................................276.1. Configuration de VLAN par port .........................................................................................................286.2. Configuration d'un lien trunk 802.1q....................................................................................................29

7. Gestion des Liaisons redondantes niveau 2 : Spanning Tree Protocol.........................317.1. Généralités...........................................................................................................................................317.2. Utilité du Spanning Tree.......................................................................................................................33

8. Commandes de diagnostic.............................................. .............................. ................368.1. Sessions utilisateur..............................................................................................................................368.2. Visualiser les logs.................................................................................................................................368.3. Obtenir des renseignements sur le matériel et l'IOS...........................................................................378.4. Obtenir des informations sur les interfaces.........................................................................................378.5. Obtenir des informations sur les VLAN................................................................................................398.6. Obtenir des informations sur les agrégations de liens.........................................................................408.7. Obtenir des informations sur le spanning-tree.....................................................................................40

9. Annexes........................................................................................................................429.1. Exemple de configuration d'usine d'un Cisco Catalyst 2950...............................................................429.2. Procédure de récupération de mot de passe sur un Catalyst 3750.....................................................439.3. Procédure de récupération de mot de passe sur un Catalyst 2950.....................................................47

2/48


Auteurs

Nom Position Date

Laurence Moindrot Ingénierie CRC 10/05/04

Sébastien Boggia Ingénierie CRC 10/05/04

Historique

Version Date Auteur Raison

1.0 10/05/04Laurence MoindrotSébastien Boggia

Version initiale

1.1 28/05/04 Sébastien Boggia Ajout procédures de récupération demot de passe

3/48


1. Principes de base sur les réseaux des entités reliées à Osiris

1.1. Les types de réseaux

Il existe 2 grands types de réseaux :

• LAN (Local Area Network) ou bien RLE (Réseaux Locaux d'entreprise). Ces réseaux sont des réseauxprivés, c'est à dire faisant partie d'une même entité physique ou juridique. On les utilise essentiellementpour relier des ordinateurs entre eux et à des ressources partagées (imprimantes, serveurs de fichiers).

• MAN (Metropolitan Area Network) ou WAN (Wide Area Network). En français, réseaux métropolitains ouréseaux longue distance. Ces réseaux sont destinés à faire la jonction entre plusieurs LAN sur desdistances plus ou moins longues.

Dans la pratique, on peut donc classifier Renater comme étant un réseau WAN, Osiris un MAN et les sitesraccordés à Osiris comme des LAN.

1.2. Transmission des données dans un réseau

Il y a 2 techniques de transmission des données.

• Le point à point,• La diffusion.

Le point à point consiste à transmettre des données sur une connexion entre 2 machines uniquement. Unréseau formé uniquement de connexions point à point pourra faire transiter l'information d'une machine àl'autre par plusieurs intermédiaires.

Un réseau à diffusion (point à multipoint) n'a qu'un seul canal de communication que toutes les machinespartagent (réseau de type bus). Les paquets envoyés par une machine sont reçus par toutes les autres. Lamachine destinataire du paquet l'analyse. Les autres l'ignorent.

D'une manière générale, les réseau locaux des batiments connectés à Osiris (LAN) sont des réseauxde diffusion. Les connexions point à point sont plutôt utilisées sur les liaisons Internet grandes distances ouparfois pour les interconnexions entre les LAN et les WAN.

4/48

A B

Transmission données

Transmission données

A

B analyse le paquet


1.3. Principe d'un réseau Ethernet

L'architecture des réseaux locaux des batiments Osiris va nous conduire naturellement à se pencher surEthernet. Ethernet fonctionne sur des réseaux de diffusion de type bus, appelés aussi segments ethernets.Le problème de ce type de réseau est de trouver un mécanisme d'arbitrage pour que la transmission desdonnées ne se fasse pas simultanément entre deux machines.Deux paquets émis en même temps par deux machines provoquent un phénomène de collision. C'est àdire que le signal électrique sur le câble devient incompréhensible. Heureusement, les machines qui sont àl'écoute de ce qui se passe sur le bus sont capables de détecter les collisions.

Sur Ethernet, une machine peut transmettre quand elle le désire. C'est le protocole CSMA/CD qui permet degérer le moment où une machine peut émettre sur le bus, de détecter les collisions et d'y remédier. CSMA signifie : Carrier Sense Multiple Acces.CD signifie : Collision Detection.

Principe de base de CSMA/CD :

Une machine qui souhaite transmettre sur le réseau écoute le câble. Si la voie n'est pas libre, elle attendjusqu'à ce que l'autre machine ait fini de transmettre.Si deux machines commencent à émettre en même temps et qu'il y a collision, elles arrêtent d'émettre,attendent toutes deux un temps aléatoire pour réemettre de manière à ne plus entrer en collision.

Le protocole Ethernet est inclut dans la sous-couche liaison de données MAC (Medium Acces Control) dumodèle OSI. Il s'agit de la sous-couche de Controle d'accès au Canal.

Chaque trame Ethernet contient une en-tête MAC avec les informations nécessaires pour acheminer letrafic.

Il y a plusieurs versions d'Ethernet : Ethernet v2, Ethernet IEEE 802.3 ... Ces versions présentent quelquesdifférences au niveau des trames. Voici la représentation d'une trame Ethernet v2, utilisée dans plus de 90%des cas.

Trame Ethernet v2

5/48

Préambule SDAdresseMAC Dst

AdresseMAC Src Type

Informationcouche supérieure FCS

7 octets 1 6 octets 6 octets 2 octets 46–1500 octets 4 octets

1. Les machines A et B émettent en même temps.

2. Les 2 trames entrent en collision

3. Les machinesdétectent la collision

4. Les machinesattendent un

temps aléatoirepour réémettre.

Ici B réémet avant A

A

A

A

A

B B

B B


Description des champs

• Préambule : Ce champ permet à l'émetteur de la trame et au récepteur de se synchroniser.• SD : Ce champ de 1 octet permet de délimiter le début réel de la trame.• MAC Dst Address : Adresse MAC de la machine de destination.• MAC Src Address : Adresse MAC de la machine source.• Type : Protocole réseau encapsulé dans la trame Ethernet. 0X800 = IPv4• Information : Données transportées, 1500 octets maximum.• FCS : Contrôle de l'intégrité de la trame.

La longueur d'une trame Ethernet v2 valide se situe entre 60 et 1514 octets (MAC Src + MAC Dst + Type +Information).

Chaque machine émettant sur un réseau Ethernet possède une carte réseau avec un identifiant uniquesur 6 octets, c'est l'adresse MAC de la carte.

Cette adresse est divisée en 2 parties :

• Trois premiers octets : Numéro du constructeur (exemple: 00-08-20 : Sun, 00-00-C0 : Cisco).

• Trois derniers octets : Numéro de série de la carte.

Une adresse MAC est réservée pour l'envoie en broadcast c'est à dire à destination de toutes les machinesdu réseau. C'est l'adresse FF-FF-FF-FF-FF-FF.

Nous venons de présenter Ethernet de manière à bien mettre en évidence ses principes de base et commeil a été pensé lors de sa conception. A l'époque, un réseau était souvent composé d'un câble coaxial (BNC)10Base5 sur lequel étaient connectées les machines. Celles-ci émettaient donc toutes sur le même lienphysique.

Cette architecture apporte vite des limitations en cas de rupture de lien (le réseau est coupé pour toutes lesmachines) ou lorsque le débit de transmission et le nombre de machines sur le bus augmentent (on setrouve rapidement en présence de nombreuses collisions).

Le problème de la coupure de lien a été résolu par l'utillisation d'un répéteur (HUB) et de câbles RJ45. Onest passé à une architecture en étoile. Tout le trafic transite vers le point central qui est le répéteur.L'architecture en étoile apporte 2 avantages : • Une coupure sur l'un des liens « répéteur <-> machine » n'affecte pas les autres machines. • Le câblage est plus souple, peut utiliser des paires téléphonique déjà existantes et n'affecte qu'une

machine.

Le probème des collisions de plus en plus fréquentes par l'ajout de machines et l'augmentation de trafic peutêtre réglé par la diminution de la taille du domaine de collisions. C'est ce que nous allons voir dans lasuite.

6/48

1 segment Ethernet1 domaine de collisions

HUB

10 base 2 / 10 base 5

1 circuit électriquepour tout le câble BNC

1 circuit électriquepour chaque lien HUB <-> machine

1 segment Ethernet1 domaine de collisions


1.4. Concepts de base de la commutation de niveau 2

Afin de limiter les problèmes de collisions Ethernet, il faut limiter le nombre de machines connectées surun même segment et n'y envoyer que les trames destinées à des machines s'y trouvant. Pour cela on sesert de commutateurs (switches).

Voici un bref comparatif entre un Hub (répéteur) et un commutateur.

Un hub est un équipement « bête » :

• Il sert à réamplifier le signal d'un lien,• Il renvoie toutes les trames reçues sur tous les ports imédiatement,• Il peut permettre de passer d'un média à un autre. Par exemple du Cuivre vers de la fibre.

Un commutateur est un équipement « intelligent ». Le commutateur est le centre de la topologie en étoile.A la différence du répéteur (hub), qui ne fait que répéter sur tous les ports les données qu'il reçoit, lescommutateurs ont la capacité d’analyser le trafic, et ainsi de posséder une connaissance des adresses MAC(Medium Access Control) et de construire des tables de commutation.

Le commutateur possède les particularités suivantes :

• Apprendre les adresses MAC des matériels attachés à ses ports.• N'envoie le trafic d'une adresse MAC que sur le port concerné,• Possède une table de commutation <adresse MAC <-> port>.• La grande majorité des commutateurs apporte des fonctionalités supplémentaires comme éviter la

formation de boucles (Spanning Tree) ou créer des réseaux virtuels (VLAN). Attention! Ces fonctionalitésne sont pas natives aux commutateurs et peuvent ne pas exister sur les bas de game.

Avec un commutateur, le domaine de collision est limité à un seul port, rendant les collisions impossibles.De plus la bande passante disponible sur une interface ne sert que pour la machine connectée dessus.

7/48

Hub

Commutateur


L’apprentissage des adresses MAC:

Au démarrage du commutateur, la table est vide (1).Lorsque le commutateur doit envoyer une trame,s'il ne trouve pas l'adresse MAC de destination dans satable la correspondance <adresse MAC, port>, il envoie la trame sur tous les ports (2), sauf le port entrant(d’où provient la trame).

Le commutateur va mettre à jour, en mémoire, sa table de couples <adresse MAC, port> (2) (4) à chaquepassage d’une trame entrante: Il récupère l’adresse MAC source (et non l’adresse MAC destination) puisajoute ou met à jour une entrée dans la table (port entrant/adresse MAC source).

Il existe une durée maximale de présence dans la table d'une association <adresse MAC, port>. Cette duréeest appelée « time-age ». Le commutateur ne se souvient donc que des matériels les plus actifs. Le « time-age » est paramétrable. Il est par défaut de 5 minutes sur les Cisco Catalyst.

On dit que lors de l’émission d’une trame, il y a commutation vers le bon port si l’adresse MAC destinatriceest connue dans la table. Il y a en même temps regénération de l’entrée associée à l’adresse MAC sourcedans cette table.

8/48

Segment 1Domaine de collision 1

Commutateur A

Table<adresse MAC / port>aaa / port 1bbb / port 2ccc / port 3

ORDINATEUR Aavec mac address aaa

ORDINATEUR Bavec mac address bbb

port 1

port 2


port 3

ORDINATEUR Cavec mac address ccc


A@ MAC : aaa

B@ MAC : bbb

C@MAC : ccc

A@ MAC : aaa

A@ MAC : aaa

A@ MAC : aaa

C@MAC : ccc

C@MAC : ccc

C@MAC : ccc

B@ MAC : bbb

B@ MAC : bbb

B@ MAC : bbb

Trame requète@MAC src : aaa@MAC dst : bbb

Trame requète@MAC src : aaa@MAC dst : bbb

Trame réponse@MAC src : bbb@MAC dst : aaa

Trame réponse@MAC src : bbb@MAC dst : aaa

Table de commutation




Adresse MAC

Adresse MAC

aaa

Adresse MAC

aaa

Adresse MAC

aaabbb

Port

Port

1

Port

1

Port

12

Port 1

Port 1

Port 1

Port 1

Port 2

Port 2

Port 2

Port 2

Port 3

Port 3

Port 3

Port 3

1. A veut parler à B

2. Le commutateur ne sait pas où se trouve B. Il fait suivre

la trame à tous.

3. B répond à A.C ignore la

trame et nerépond pas.

4. A réçoit la réponse de B.

Le commutateurconnaît dans

sa table A et B.


2. Généralités sur les commutateurs CISCO

Les commutateurs CISCO sont tous dotés d'un port console (port série compatible avec celui de votre PC)prévu pour un accès administratif local à partir d’un terminal ASCII ou d’un ordinateur avec émulation determinal (Hyperterminal pour Windows ou Minicom pour Linux). Ce port console est situé au dos du routeur.

IOS (Internetwork Operating System) est le nom du système d’exploitation exécuté sur les commutateursCISCO.

CLI (Command Line Interface), est le sigle utilisé par Cisco pour désigner l’interface en ligne de commandedu terminal pour le système IOS.

Chaque commutateur possède différents types de mémoire : la DRAM, la NVRAM, la mémoire Flash, et laROM.

• Mémoire ROM (non volatile)

– contient le logiciel minimum utilisable en cas de problème (bootstrap)

• Mémoire DRAM (volatile): mémoire de travail

– contient l'IOS en cours d'exécution

– contient la configuration en cours d'exécution/modification (running-config)

– contient les logs, statistiques, buffers réseaux, les processus, etc

• Mémoire Flash (non volatile)

– contient les images IOS compressées

• NVRAM (non volatile)

– contient le configuration de démarrage (startup-config)

9/48


Au démarrage la séquence d'initialisation est la suivante :

1 - Chargement du bootstrap de ROM vers DRAM2 - Test de la plate-forme3 - Chargement de l'IOS de Flash vers DRAM4 - Chargement du fichier de configuration du commutateur de NVRAM vers DRAM

Si la mémoire NVRAM est vide le mode « Setup » est lancé. Le mode « Setup » demande à l'utilisateur s'ilveut entrer dans l'assistant de configuration du commutateur. L'assistant permet à l'utilisateur de rendrerapidement le commutateur opérationnel et gérable à distance en lui ajoutant une adresse IP demanagement puis des mots de passe. Si l'utilisateur ne souhaite pas entrer dans le mode de configuration,le commutateur démarre avec une configuration minimale lui permettant de commuter.

10/48

DRAM:running-configIOS en cours d'exécution

processbufferslogs

Flash:Images IOScompressées

ROM:bootstrap

NVRAM:startup-configvlan.dat


3. Gestion d'un Catalyst

3.1. Connexion au commutateur en port console

Se connecter avec un PC sur le port console du commutateur Cisco via un terminal vt100 ou bien uneémulation (Hyperterminal Windows ou minicom pour Linux).

Paramétrage :

• Vitesse : 9600 bps,• taille : 8 bits,• parité : non,• bit d'arret : 1,• controle de flux : non.

Une fois le câble connecté, appuyer sur « Entrée ».

Le prompt switch> doit apparaître pour un commutateur non configuré, ou bien une demande de nomd'utilisateur ou de mot de passe.

3.2. Navigation et changement de mode

Pour découvrir les commandes disponibles, taper : ?Le listing avec la description des commandes disponibles apparaît.

« ? » permet aussi de compléter une commande.

Exemple :

Switch> ping ? WORD Ping destination address or hostname ip IP echo tag Tag encapsulated IP echo

La « complétion » des commandes se fait avec le touche <TAB>. Il est possible également de taper qu'unepartie des commandes pour qu'elles soient reconnues à partir du moment ou elles sont uniques.

Au cas où la sortie d'une commande dépasse la taille du terminal, la ligne --More--

apparaît au bas de page.

Appuyer sur entrée pour faire défiler la suite ligne par ligne,appuyer sur la barre espace pour faire défiler la suite page par page.

11/48


3.2.1. Modes de fonctionnement

Il y a différents modes de fonctionnement que l'on reconnaît grâce au prompt :

• Mode utilisateur (1). Switch>Permet d'utiliser seulement quelques commandes n'agissant pas sur le fonctionnement de l'équipement.Pour des raisons de sécurité, ce mode ne permet pas de voir la configuration.

• Mode privilégié (15). Switch#Permet d'avoir accès à toutes les commandes, voir les configurations, rebooter l'équipement...Permet de passer en mode configuration.Pour entrer en mode privilégié, taper la commande « enable ».

Switch> enableSwitch#

• Mode Configuration Switch(config)#

Une fois en mode « enable », pour passer en mode configuration, taper :

Switch# configure terminal

Le prompt Switch(config)# apparaît.

Les commandes de configuration peuvent maintenant être entrées dans le commutateur. Attention! Touteligne de configuration entrée sur le commutateur est instantanément appliquée.

Le mode configuration possède plusieurs niveaux. Par exemple pour configurer une interface :

Switch# configure termninalSwitch(config)# interface FastEthernet0/1Switch(config-if)# description lien vers crc

Les commandes ne s'appliquent qu'à l'interface FastEthernet0/1.

Une fois à ce niveau de l'interface pour la configuration (config-if), toutes les commandes entrées nes'appliqueront qu'au niveau de l'interface.

Pour passer du niveau « configuration de l'interface » au niveau « configuration » (de config-if à config),taper la commande « exit ».

Switch(config-if)# exitSwitch(config)# exitSwitch#

Pour quitter directement le mode configuration, faire un « CONTROL+Z ».

Switch(config-if)# ^ZSwitch#

Enfin pour se déconnecter, taper la commande « exit ».

Switch# exit

12/48


Pour quitter le mode privilégié, taper la commande « disable ».

Switch# disableSwitch>

Le schéma ci-dessus récapitule les différents modes et les manières de passer de l'un à l'autre.

Sw

La commande « no » :

Le « no » permet de supprimer une ligne de configuration. Taper « no » suivi de la ligne de configuration àsupprimer. Exemple :

Switch(config-if)# no description lien vers crc

Remarque générale : Ces commandes sont également applicables pour les routeurs Cisco.

3.2.2. Visualiser et sauvegarder la configuration d'un commutateur

La configuration d'un commutateur ne peut être visualisée qu'en mode privilégié (enable).

Deux types de configurations :

• La configuration sauvegardée. C'est la configuration sauvegardée sur la flash.

Switch# show startup-config

• La configuration active du commutateur. C'est la configuration en mémoire qui est modifiée dès l'ajoutd'une commande.

Switch# show running-config

Pour sauvegarder sur la flash une nouvelle configuration, entrer la commande (à faire à chaque fois avantde se déconnecter si des modifications ont été appliquées) :

Switch# copy running-config startup-config

13/48

User Mode

Priviliged Mode

Configuration Mode

Configuration Objet(interface)

enable

conf t

« nom_objet »ex :interface FastEthernet0/1

disable

exit

exit

Déconnecté

exit

exit

Ctrl+Z

Ctrl+Z

Touch « enter »ou authentification


3.3. Organisation des fichiers sur la flash

Certains fichiers de configuration, ainsi que l'IOS sont stockés sur la flash.

Pour visualiser les fichiers, taper la commande :

Switch> show flash:

Directory of flash:/

2 -rwx 112 Mar 01 1993 00:02:56 info 3 -rwx 3558032 Mar 01 1993 00:04:53 c2950-i6k2l2q4-mz.121-19.EA1a.bin 4 drwx 2432 Mar 01 1993 00:06:20 html 81 -rwx 112 Mar 01 1993 00:06:22 info.ver 82 -rwx 316 Mar 01 1993 00:00:22 env_vars 83 -rwx 5 Mar 01 1993 00:01:37 private-config.text 84 -rwx 4243 Mar 01 1993 00:04:40 config.text 86 -rwx 2896 Mar 01 1993 00:08:50 vlan.dat

7741440 bytes total (1175040 bytes free)

– c2950-i6k2l2q4-mz.121-19.EA1a.bin est le binaire de l'IOS.– Config.text est une copie du fichier de configuration de la NVRAM : « startup-config », c'est à dire le

résultat d'un show configuration.. On peut le visualiser avec la commande : moreflash:/config.text. Il permet de sauvegarder la configuration avant de la modifier.

– VLAN.dat est un fichier binaire contenant la configuration de toute la partie VLAN et vtp ducommutateur. Nous en reparlerons plus tard.

Toutes les commandes modifiant la flash doivent être lancées en mode privilégié.

Copier un fichier:

Switch# copy flash:/config.text flash:/config.origineDestination filename [config.origine]?Copy in progress...CC4243 bytes copied in 0.080 secs (53038 bytes/sec)

Renommer un fichier:

Switch# rename flash:/<ancien_nom> flash:/<nouveau_nom>

Supprimer un fichier:

Switch# delete flash:/<fichier>

14/48


3.4. Mise à jour du système (IOS)

La mise à jour de l'IOS permet de faire évoluer les fonctionnalités d'un commutateur et de corriger les bugs.Il existe chez Cisco une multitude d'IOS différents.

Il faut mettre à jour la version d'IOS en utilisant celle préconisée par le CRC, et disponible sur le site tftpdu CRC.

Catalyst 3750 - tftp://130.79.200.100/ios/3750/c3750-i5k2-mz.121-19.EA1d.binCatalyst 2970 - tftp://130.79.200.100/ios/2970/c2970-i6k2l2-mz.121-19.EA1d.binCatalyst 2950 - tftp://130.79.200.100/ios/2950/c2950-i6k2l2q4-mz.121-19.EA1c.bin

Attention : La mise à jour d'un IOS nécéssite qu'une adresse IP de management et une route par défautaient été configurées. Voir paragraphe 4.6.

Mise à jour d'un Cisco Catalyst 2950 (valable pour le 2970)

Passer en Mode privilégié (enable).

Vérifier que vous pouvez contacter le serveur tftp :

Switch# ping 130.79.200.100

Effacer l'IOS courant:

switch# dir flash:

switch# delete flash:/c2950-********.bin

Copier le nouvel IOS:

switch# copy tftp://130.79.200.100/ios/2950/c2950-i6k2l2q4-mz.121-20.EA2.binflash:

Vérifier que l'IOS à été copié et mettre à jour la variable boot system flash :

switch# dir flash:

switch# configure terminal

Cette commande n'est pas obligatoire s'il n'y a qu'un IOS sur la carte flash, car au démarrage lecommutateur cherchera automatiquement une version d'IOS disponible. Cependant, elle permetd'économiser le temps de recherche, et d'afficher de manière visuelle dans la configuration l'IOS utilisé.

switch(config)# boot system flash:/c2950-i6k2l2q4-mz.121-19.EA1c.bin

switch(config)# exit

switch# copy running-config startup-config

SI et SEULEMENT SI l'IOS a été copié - Redémarrer le catalyst:

switch# reload

Mise à jour d'un Cisco catalyst 3750

Passer en Mode privilégié (enable).

Vérifier que vous pouvez contacter le serveur tftp :

15/48


Switch# ping 130.79.200.100

Effacer l'IOS courant:

switch# dir flash:

Attention ! Il est fort probable que l'IOS d'usine présent sur le 3750 soit disposé sous forme d'arborescence.Ceci permet à l'équipement de mettre à disposition un serveur Web avec une interface Java pour gérer lecommutateur. Le CRC ne se sert pas de ces options. Pour cela les IOS présents sur le serveur tftp du CRCsont sous forme de fichiers binaires.

switch# delete /recursive /force flash:/c3750-********.bin

Attention ! Sur des versions anciennes de l'IOS, il arrive que l'option « /recursive » ne fonctionne pascorrectement. Si c'est le cas utiliser la commande : switch# erase flash: qui effacera la totalité de laflash. Etre bien sûr avant d'exécuter la commande que le serveur TFTP répond correctement.

Copier le nouvel IOS:

switch# copy tftp://130.79.200.100/ios/3750/c3750-i5k2-mz.121-19.EA1d.binflash:

Vérifier que l'IOS à été copié et mettre à jour la variable boot system flash :

switch# dir flash:

switch# configure terminal

Cette commande n'est pas obligatoire s'il n'y a qu'un IOS sur la carte flash, car au démarrage lecommutateur cherchera automatiquement une version d'IOS disponible. Cependant, elle permetd'économiser le temps de recherche, et d'afficher de manière visuelle dans la configuration l'IOS utilisé.

switch(config)# boot system flash:/c3750-i5k2-mz.121-19.EA1d.bin

switch(config)# exit

switch# copy running-config startup-config

SI et SEULEMENT SI l'IOS a été copié - Redémarrer le catalyst:

switch# reload

3.5. Sauvegarde d'une configuration sur un serveur tftp

Il est recommandé de sauvegarder la configuration de votre Cisco Catalyst sur un serveur tftp. Cetteméthode est beaucoup plus sûre et rapide qu'un copier/coller dans un fichier texte.

Exemple de sauvegarde d'une config:

Se connecter sur le catalyst. Passer en mode privilégié.

Copier la configuration du commutateur sur votre serveur tftp :

switch# copy running-config tftp:ouswitch# copy startup-config tftp:Address or name of remote host []? 130.79.xx.yyDestination filename [Switch-confg]?Accessing tftp://130.79.xx.zz/Switch-confg

16/48


Récupération d'une configuration :

Se connecter sur le catalyst. Passer en Priviledge Mode.Copier la configuration depuis votre serveur tftp sur la catalyst:

switch# copy tftp: startup-config ouswitch# copy tftp: running-configAddress or name of remote host []?130.79.xx.zzSource filename []?sauvegarde-catalyst-cfgDestination filename [running-config]?Accessing tftp://130.79.xx.zz/sauvegarde-catalyst-cfg...Loading sauvegarde-catalyst-cfg from 130.79.xx.zz (via Vlanyy): !!!!!!!!!![OK - 49977/99328 bytes]

Il existe des serveurs TFTP très facile à installer et à configurer, sur un PC portable par exemple.

Pour Windows : http://solarwinds.net/downloads/SolarWinds-TFTP-Server.exe

Pour Linux : Activer tftpd dans /etc/inet.d (décommenter la ligne) ou installer atftpd.

17/48


4. Configuration de base recommandée par le CRC

4.1. Démarrage d'un commutateur non configuré

Un commutateur non configuré va demander au démarrage si l'utilisateur souhaite entrer en mode deconfiguration initiale. Cela permet de mettre très rapidement en service un commutateur en répondant àquelques questions de base (nom du commutateur, adresse de management ...).

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:

Il est préférable de répondre non à la question. L'assistant de configuration n'est pas utile lorsque l'on est enprésence de cette documentation.

Le commutateur démarre sur une configuration d'usine. Voir un exemple en Annexe.

Toutes les commandes suivantes doivent être passées en mode configuration.

4.2. Configuration du nom de l'équipement

Switch(config)# hostname bat42bat42(config)#

4.3. Configuration du fuseau horaire france et de l'heure d'été

bat42(config)# clock timezone UTC+1 1!UTC+1 = nom de la zone (c'est une variable, peut être n'importe quoi)! le « 1 » est le décalage horaire par rapport à GMT.

bat42(config)# clock summer-time UTC+1 recurring last Sun Mar 2:00 last Sun Oct 3:00! On retrouve la variable UTC+1! recurring fait allusion à l'heure d'été commençant le dernier dimanche de mars 2:00, terminant le dernierdimanche d'octobre 3:00

4.4. Configuration du client NTP

Pour la lecture des logs en cas de problème, il est important d'avoir l'heure exacte en synchronisantl'équipement sur un serveur NTP.

bat42(config)# ntp server 130.79.14.177!mettre l'adresse IP du serveur ntp (ntp.u-strasbg.fr)

18/48


4.5. Activation de la résolution de noms

Le commutateur pourra joindre des sites en se servant de leurs noms de domaines (commandes ping ettraceroute).

bat42(config)# ip domain-lookup! active la resolution de nom sur le commutateur

Attention : cette commande peut être génante. En cas de passage d'une commande inconnue, lecommutateur lance une résolution de nom et bloque l'exécution de la commande pendant quelquessecondes.

bat42(config)# ip domain-name u-strasbg.fr! domaine dans lequel se trouve l'équipement.bat42(config)# ip name-server 130.79.200.1! adresse IP du serveur DNS du domaine u-strasbg.fr

Remarque importante : La définition du nom de domaine est indispensable pour la création d'une clé rsapour les connexions sur le commutateur en ssh.

4.6. Adresse IP d'un commutateur

Les Cisco Catalyst 3750 sont capables de faire du routage de niveau 3. Si le routage de niveau 3 est activé,le commutateur perdra ce qui caractrise un commutateur de niveau 2 (perte d'étanchéité des VLAN). Pardéfaut le routage de niveau 3 est désactivé. Mais pour en être sûr, appliquer la commande : bat42(config)# no ip routing

Affecter une adresse IP à un commutateur permet de se connecter à distance, de récupérer des syslogs,d'interroger le commutateur en SNMP, de faire des transferts TFTP et de mettre à jour l'IOS.

Dans une configuration, sans VLAN avec un seul réseau IP, nous affecterons une adresse IP au VLAN pardéfaut. Nous verrons par la suite dans le chapitre de gestion des VLAN d'autres méthodes.Le VLAN 1 est le VLAN par défaut. Il n'est pas possible de le supprimer. Par défaut il est affecté à toutes lesinterfaces.Il faut choisir une adresse de votre réseau IP et l'appliquer au VLAN par défaut.

bat42(config)# interface vlan 1!en mode configuration, entrer dans l'interface VLAN1 qui est le vlan par défaut. bat42(config-if)# ip address 130.79.X.X 255.255.Y.Y!entrer l'adresse IP de managementbat42(config-if)# no shutdown!activer le VLAN par défaut. Il est automatiquement affecté à toutes les interfaces.

Si par la suite d'autres VLAN sont créés et que l'adresse de management doit faire partie de l'un de cesnouveaux VLAN, Créer le nouveau VLAN (voir chapitre 6), appliquer l'adresse IP au nouveau VLAN,bat42(config)# interface vlan <numero_vlan>puis appliquer les commandes appliquées pour le VLAN 1.

Le commutateur peut maintenant être managé par le réseau.

Si les stations de gestion ne sont pas dans le même réseau IP, ou si l'on veut joindre le commutateur depuisn'importe ou sur Internet, ajouter une route par défaut comme sur n'importe quelle machine de votreréseau :

bat42(config)# ip default-gateway 130.79.X.Y!la passerelle est 130.79.X.Y

19/48


4.7. Authentification des connexions sur le commutateur

Il y a plusieurs façons d'accéder aux commandes CLI d'un commutateur :

• par le port Console,• en telnet,• en ssh.

Lorsqu'un commutateur ne possède aucun mot de passe, il n'est possible de se connecter qu'avec le portconsole.Pour les connexions telnet ou ssh, il faut ajouter une méthode d'authentification. Les méthodesd'authentifications sont très variées. Nous allons voir alternativement les 2 méthodes d'authentification :• connexion en port console et telnet avec demande de mot de passe (déconseillée),• connexion en port console et ssh avec demande de nom d'utilisateur et mot de passe. (très fortement

conseillée).

Tout d'abord, pour éviter que les mots de passe n'apparaissent en clair dans la configuration, entrer lacommande :

bat42(config)# service password-encryption

1. Ensuite, appliquer l'une des 2 méthodes qui suit avec bien sûr une préférence pour l'activation de ssh(paragraphe 4.7.2).

4.7.1. Connexion port console et telnet

Ajout d'un mot de passe sur le port console

bat42(config)# line console 0bat42(config-line)# password totobat42(config-line)# login!le mot de passe est demandé au login

Configuration pour une connexion en telnet

Une connexion en telnet se configure sur le terminal virtuel vty. Ajouter un mot de passe de la mêmemanière que sur le port console.

bat42(config)# line vty 0 4!vty 0 4 : numéros des vty de 0 à 4.bat42(config-line)# password totobat42(config-line)# login

Ajout du mot de passe mode privileged (enable)

Un mot de passe est maintenant demandé pour se connecter en mode User. Par sécurité il faut en ajouterun pour le mode privileged (enable).

bat42(config)# enable secret motdepassePréferer la commande « enable secret » à « enable password », le chiffrage est bien meilleur. Il existe desoutils qui permettent de décrypter très facilement la chaine de caractères suivant un enable password.

20/48


4.7.2. Connexion port console et ssh

Configuration ssh

Il faut tout d'abord générer une clé de cryptage RSA pour activer ssh. Pour plus de sécurité, choisir une cléde 1024 bits. Pour cette manoeuvre, un nom de domaine doit être définit dans la configuration ducommutateur (voir chapitre 4.5). La génération de la clé de cryptage rsa se base sur le nom du commutateuret le nom de domaine.

bat42(config)# crypto key generate rsaThe name for the keys will be: bat42.u-strasbg.frChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: 1024Generating RSA keys ...[OK]

Configurer ensuite le délai d'inactivité sur une connexion, puis le nombre maximum de tentatives possiblespour se connecter.

bat42(config)# ip ssh time-out 120bat42(config)# ip ssh authentication-retries 3

Pour toute connexion ssh, un nom d'utilisateur est indispensable. Pour cela, il faut activer le modèle AAA(authentication, autorisation, accounting) puis entrer un nom d'utilisateur.

bat42(config)# aaa new-model!activation du modele AAAbat42(config)# aaa authentication login LOCALAUTH local!on authentifie un login localement (local). LOCALAUTH est une variable désignant l'authentificationdirectement sur le commutateur.bat42(config)# aaa authorization exec default local!Autorisation des commandes du mode privilégié en local.bat42(config)# username admin password <motdepasse>!on entre un utilisateur avec son mot de passe.

Il existe des méthodes plus avancées pour créer un utilisateur. Exemple, pour se connecter directement enmode privileged (enable):

bat42(config)# username admin privilege 15 secret <motdepasse>!« privilege 15 » signifie que l'on arrive directement en mode enable. Pour des raisons de sécurité le mot depasse sera chiffré avec « secret », ce qui est un équivalent de la commande « enable secret » (voir plusbas).

Configurer les lignes vty.

bat42(config)# line vty 0 4bat42(config-line)# transport preferred nonebat42(config-line)# transport input ssh

Si dans la configuration de base, un line « vty 5 15 » existe, passer les mêmes commandes que pour le line« vty 0 4 », cela évitera de pouvoir se connecter en telnet.

Configurer le port Console

Comme pour les connexions ssh, on se connecte directement en mode privileged (enable).

21/48


bat42(config)# line console 0bat42(config-line)# privilege level 15!connexion mode enablebat42(config-line)# login authentication LOCALAUTH!utilisation de la méthode d'authentification LOCALAUTH

Une astuce. Pour éviter les tentatives de résolutions DNS en cas de passage d'une mauvaise commande,ajouter dans les « line vty 0 4» et « line con 0 » la commande :

bat42(config-line)# transport preferred none

Cette commande spécifie le protocole de communication préféré. Lors d'une commande inconnue, parexemple « ls », le commutateur lance automatiquement un « telnet ls ». En passant dans la commande« transport preferred » l'argument « none », le commutateur ne fait donc rien.

4.8. Désactivation du protocole CDP (Cisco Discover Protocol)

CDP permet de récupérer des informations sur les commutateurs voisins supportant le protocole. Cetteoption peut nuire à la sécurité. Des utilisateurs non autorisés peuvent récupérer des informationssimplement en se connectant sur un port du commutateur si celui-ci est mal configuré. Le CRCrecommande de désactiver CDP avec la commande :

bat42(config)# no cdp run

4.9. Désactivation du démon http de management du commutateur

Il est possible de gérer le commutateur via un navigateur Web. Cependant, il n'est pas possible de tout faireavec et cela utilise des ressources CPU. De plus, il faut activer le protocole CDP, ce que nous venons dedéconseiller, il peut faire perdre à l'utilisateur l'habitude d'utiliser CLI qui est plus complet, plus rapide et quipermet de faire des diagnostics plus précis en cas de problèmes. Il est conseillé de le désactiver.

bat42(config)# no ip http server

4.10. Configuration des logs sur le commutateur

Il y a 7 niveaux de criticité des logs : emergencies, alerts, crtitical, errors, warnings, notifications,informational et debugging. Emergencies est le niveau le plus grave (explosion du commutateur), debuggingle moins grâve et le plus explicite.

Par défaut, un commutateur ne conserve que 4096 octets d'événements. C'est insuffisant pour avoir un bonhistorique.Passer la commande suivante pour avoir plus d'historique, au niveau « debugging » pour plus de détailsdans les logs :

22/48


bat42(config)# logging buffered 65536 debugging

Pour envoyer tous les logs à un serveur syslog (udp/514), ajouter la ligne :

bat42(config)# logging <IP_SERVEUR_SYSLOG>

Le CRC, afin de faciliter les diagnostics en cas de problème, vous propose d'envoyer une copie de vos logsvers : 130.79.200.100. La machine s'appelle syslog.u-strasbg.fr ou tftp.u-strasbg.fr

Ajouter la commande :

bat42(config)# logging 130.79.200.100

23/48


5. Configuration des interfaces

Toutes les interfaces sur les Cisco Catalysts sont du FastEthernet ou GigabitEthernet. Comme Ethernet,elles exploitent le protocole CSMA/CD.

Voici un aperçu des longueurs et du choix du média à utiliser en fonction de la distance :

Distance max. Type de connexion

90 m Module 1000 Base T sur cuivre

220 m Module SX sur FO multimode

550 m Module LX/LH sur FO multimode

10 km Module LX/LH sur FO monomode

Pour les câbles cuivre, préférer des « catégorie 5 » ou « catégorie 6 (gigabit)».

5.1. Configuration Duplex et vitesse d'une interface FastEthernet

Sur les commutateurs, 3 vitesses sont possibles en fonction des ports :

• 10 Mbs• 100 Mbs• 1000 Mbs

Il y a 2 modes de fonctionnement :

• Half Duplex : Les émissions et les réceptions sur un port arrivent alternativement. C'est le cas lors d'uneconnexion à un Hub.

• Full Duplex : Les émissions et réceptions sur un port se font en même temps. C'est le mode le plusoptimisé et le plus couramment utilisé sur les commutateurs.

Par défaut, les autonégociations de la vitesse et du duplex sont activées sur les interfaces descommutateurs Cisco.

Principe de l'autonégociation FLP (Fast Link Pulse qui teste l'intégrité du lien) : Teste le mode defonctionnement le plus élevé vers le plus bas. Exemple pour une interface 100 Mbs.

100 Full Duplex -> 100 Half Duplex -> 10 Full Duplex -> 10 Half Duplex

Dans la majorité des cas l'autonégociation fonctionne et configure le port de manière optimale.

Sur les commutateurs Cisco, un port est indisponible pendant plusieurs dizaines de secondes après lebranchement. Ceci est dû au calcul du Spaning Tree (chapitre 7). Le voyant au dessus du port est orange etaucun trafic réseau ne peut passer.

La majorité des problèmes se situe au niveau du brochage des câbles ou de leur qualité, d'où le conseild'utiliser toujours des câbles Ethernet de qualité. Il y a 2 types de câbles Ethernet : • Câble droit : à utiliser pour raccorder un commutateur à un routeur ou à un poste client.• Câble croisé : à utiliser pour raccorder 2 commutateurs, 2 PC ou 2 routeurs. Bref, du matériel de même

nature.

Dans certains cas, on peut rencontrer des problèmes, souvent entre des commutateurs de marquesdifférentes ou avec une carte réseau d'un poste client configurée avec des options pas toujours standards.

24/48


En cas de problèmes avec l'autonégociation, il est conseillé de forcer la vitesse du port. Attention! Si lavitesse et le duplex sont forcés d'un côté, il faut faire de même de l'autre côté du lien.

Commandes à passer (par défaut, même si ce n'est pas affiché, un port est en autonégociation) : switch(config)# interface GigabitEthernet0/2switch(config-if)# speed 10!vitesse à 10Mbs , ou ...switch(config-if)# speed 100!vitesse à 100Mbs, ou ...switch(config-if)# speed 1000!vitesse à 1000Mbsswitch(config-if)# speed nonegociate!à rajouter pour désactiver le FLP si on est sur un lien fibre.

switch(config-if)# duplex fullswitch(config-if)# duplex half

switch(config-if)# duplex autoswitch(config-if)# speed auto!réglage en autonégociation du duplex et de la vitesse.

Certains problèmes peuvent aussi être corrigés par la réinitilisation du port. Il peut arriver qu'un port passeen état « error disable », par exemple si trop de collisions ont lieu à cause d'un Hub saturé. Dans ce cas onpeut désactiver l'interface puis la réactiver.

switch(config)# interface GigabitEthernet0/2switch(config-if)# shutdown!désactivation de l'interfaceswitch(config-if)# no shutdown!re-activation de l'interface

Pour des raisons de sécurité, il est important de déactiver un port non utilisé avec la commande« shutdown » et de rajouter ces quelques configurations par défaut dans les interfaces.

Pour être plus rapide, sélectionner un range d'interfaces.switch(config)# interface range fastEthernet 0/1 - 24

Désactiver la détection automatique des ports trunk (protocole DTP). 2 commutateurs Cisco connectésentre eux peuvent décider de configurer le lien en trunk sans qu'on s'en rende compte. Désactiver donc leprotocole DTP avec la commande :

switch(config-if-range)# switchport nonegotiate

Si cela n'a pas été fait de manière globale (voir chapitre 4.8), désactiver le CDP (Cisco discover protocol).

switch(config-if-range)# no cdp enable!desactivation du cdp sur l'intervalle d'interfaces

Selon les versions d'IOS, un port peut être capâble de monter un lien aussi bien avec un câble droit qu'uncâble croisé. Pour rester fidèle au standards et ne pas se trouver en présence de problèmes de câblage lorsd'un remplacement de commutateur, il est conseillé de désactiver cette option. De plus l'activation de« mdix » des 2 côtés d'un câble apporte des problèmes.

switch(config-if-range)# no mdix auto

25/48


5.2. Agrégation de liens 802.3ad

L'agrégation de liens, appelée Etherchannel, permet à plusieurs liens physiques d'être vus comme un seul.Ceci est utile en cas de saturation ou pour assurer une redondance en cas de coupure de lien.

Nous utilisons pour agréger les liens le protocole LACP (Link Aggregate Control Protocol)normalisé (IEEE802.3ad).

Création d'une interface virtuelle Port-channel 1.

2950-ce1(config)# interface Port-channel 1

Agrégation d'une plage d'interfaces sur la pseudo-interface Port-channel 1.

switch(config)# interface range fastEthernet 0/2 - 3switch(config-if-range)# channel-protocol lacpswitch(config-if-range)# channel-group 1 mode active

Enfin, on applique les configurations propres à une interface dans le Port-channel. Celles-ci sontautomatiquement répliquées dans la configuration individuelle de chaque interface physique.

26/48

100 Mbps

100 Mbps100 Mbps

Lien virtuel à 300 Mbps


6. Création de VLAN et de liens trunk

Un VLAN est un réseau commuté logique de niveau 2 rassemblant un nombre de machinesindépendamment de l'architecture physique. Un commutateur peut gérer plusieurs VLAN totalementindépendants les uns par rapport aux autres. Par exemple : Un commutateur sur lequel sont configurés 3VLAN peut être vu comme 3 commutateurs indépendants. Pour que les informations transitent d'un VLAN àl'autre, il faut faire du routage de niveau 3 à l'aide d'un routeur ou d'un firewall.

Quand faut-il utiliser des VLAN ?

– Quand on veut utiliser un seul commutateur pour plusieurs réseaux totalement indépendants et qui nedoivent pas se mélanger (administratif, recherche, enseignement, réseaux IP ...),

– Quand on veut apporter plus de sécurité au niveau IP. Les machines d'un même réseau IP ne sontconnectées que sur le VLAN qui leur est attribué. Cela permet aux utilisateurs de ne pas introduire leursmachines dans un réseau qui ne leur est pas destiné.

– Si on veut limiter le trafic dû à des broadcast. En cas d'envoi de broadcast, ceux-ci ne se limitent qu'auxmachines du VLAN (DHCP, requettes ARP...). Pratique en cas d'infection d'un réseau par un virus.

Recommandation CRC : Si plusieurs réseaux IP sont connectés sur un commutateur, il est importantd'affecter chaque réseau à un VLAN.

Sur la majorité des sites Osiris, 2 types de réseaux sont présents : le réseau de recherche et le réseauadministratif. A la sortie du commutateur Osiris d'entrée de bâtiment, le CRC fournit 2 connexions sur 2interfaces, une pour chaque réseau.Il y a donc en fonction des moyens 2 configurations possibles :

Sur le schéma de gauche, le réseau de recherche (commutateur A) est physiquement séparé du réseauadministratif (commutateur B). La création de VLAN sur les commutateurs n'est pas nécéssaire.Sur le schéma de droite, le réseau de recherche est connecté sur le même commutateur (C) que le réseauadministratif (c'est souvent le cas). Il faut impérativement les séparer en créant deux VLAN. Le premier pourles machines de la recherche. L'autre pour les machines administratives.

27/48

Commutateur Osiris

Vlan RechercheVlan Recherche Vlan Administratif Vlan Administratif

A B C

Domaine de broadcast 1 Domaine de broadcast 2

Commutateur Osiris


6.1. Configuration de VLAN par port

Chaque port d'un commutateur est affecté à un VLAN. C'est la configuration la plus utilisée.

Création d'un VLAN

Le VLAN 1 est le VLAN par défaut sur les commutateurs Cisco. Toutes les interfaces physiques y sontaffectées par défaut. Pour éviter toute erreur, il est conseillé de numéroter les VLAN à partir de 2.

Switch(config)# vlan 2Switch(config-vlan)# name "reseau rch"

Remarque : Cette configuration n'apparaît pas en faisant un « show running-config ». La configurationdes VLAN est stockée dans le fichier binaire vlan.dat.

Pour voir les VLAN créés, taper :

Switch(config)# show vlanVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Fa0/25, Fa0/262 reseau 1 active

Mettre un port physique dans un VLAN :

Switch(config)# interface fastEthernet 0/2Switch(config-if)# switchport mode access!le lien est un port d'accès standardSwitch(config-if)# switchport nonegotiate!desactivation de la negociation de type de lien. Cette commande évite au switch de détecter si il estbranché sur un lient trunk ou pas.Switch(config-if)# switchport access vlan 2!le port appartient au VLAN 2

28/48

Port-Based

VLAN1

VLAN2

VLAN3


6.2. Configuration d'un lien trunk 802.1q

Souvent un même VLAN doit se trouver géographiquement à plusieurs endroits, donc sur plusieurscommutateurs. Au lieu de raccorder les commutateurs avec autant de liens physiques qu'il y a de VLAN, onpeut les raccorder à l'aide d'un lien « trunk » qui va transporter tous les VLAN configurés sur les différentscommutateurs.

Un lien « trunk » doit faire passer les trames de tous les VLAN sur le même support physique sans pourautant provoquer une perte d'étanchéité de ces derniers. Pour cela, chaque trame Ethernet est « taguée »avec le numéro de VLAN à qui elle appartient.

Voici la représentation d'une trame taguée :

4 octets sont insérés entre le champ « Adresse MAC source » et « Type ». En voici la description :

– TPID : Tag Protocol Indentifier. La valeur est de 8100, indiquant que la trame est taguée et que sa taillemaximale passe de 1518 à 1522 octets.

– Priorité 802.1p : Il s'agit d'un champ de priorité : 000 pour la priorité la plus faible, 111 pour la priorité laplus haute.

– 802.1q VLAN ID : Indique le numéro du VLAN à qui appartient la trame Ethernet.

29/48

Vlan 1 Vlan 2

Lien trunk

Préambule SDAdresseMAC Dst

AdresseMAC Src

TypeInformation

couche supérieureFCS

7 octets 1 6 octets 6 octets 4 octets 2 octets 46–1500 octets 4 octets

TPID = 8100 Priorité802.1p

0802.1q

VLAN ID

2 octets 3 bits 1 bit 12 bits


Configuration d'un port trunk

Sur certains commutateurs comme les catalysts 3750, la gestion des ports trunk se fait grâce au protocolepropriétaire Cisco ISL. Il est fortement conseillé d'utiliser à la place le protocole standard IEEE 802.1q. Taperla commande :

switch(config)# interface FastEthernet 0/24switch(config-if)# switchport encapsulation dot1q!encapsulation 802.1q

Le lien trunk en lui-même à configurer sur les 2 commutateurs :

switch(config-if)# switchport mode trunk!passage en mode trunkswitch(config-if)# switchport nonegotiate!desactivation de la negociation de type de lien (DTP)switch(config-if)# switchport trunk allowed vlan all!autorisation de transit dans le trunk de tous les VLAN.

Remarque: Ne pas oublier de créer les mêmes VLAN sur tous les commutateurs.

30/48


7. Gestion des Liaisons redondantes niveau 2 : Spanning Tree Protocol

7.1. GénéralitésComme nous avons pu le constater dans le chapitre 1, un commutateur diffuse sur tous ces ports lestrames avec pour destination une adresse de broadcast ou une adresse inconnue.

En cas de formation de boucle physique volontairement (pour assurer une redondance) ou involontairement(erreur de cablage), le trafic peut exploser dès la première trame de broadcast ou à destination inconnue.

Exemple : Voici une architecture où une boucle physique est créée.

Une trame de Broadcast est envoyée par la machine A. La trame arrive sur le commutateur A, puis estretransmise vers le commutateur B sur le segment 2. Comme il s'agit d'un Broadcast, le commutateur Bretransmet la trame sur le port du segment 1 et ainsi de suite. Une boucle infinie est formée. On appelle celaune tempète de broadcasts. Des attaques de ce type existent. Un utilisateur mal intentionné peut envoyerdes broadcasts en rafale.

31/48

Segment 1

Segment 2

commutateur B

commutateur A

Segment 1

Segment 2

Segment 1

Segment 2

Switch BSwitch A

Machine A

Machine A Machine A

commutateur B

commutateur A


La solution : Spanning Tree Protocol – 802.1d

Le Spanning Tree Protocol sert à éviter la formation de boucles et à assurer la redondance dans un réseaude niveau 2.

Ce protocole est activé par défaut sur tous les commutateurs Cisco. Lors du démarrage d'uncommutateur neuf avec sa configuration d'usine, les configurations du spanning tree sont déjà actives.

STP est un protocole de gestion de couche 2 qui détermine les chemins redondants (boucles logiques) d'unréseau et les supprime. Il a pour but de créer un arbre de diffusion. Le Spanning Tree s'applique surchaque VLAN indépendamment des autres sur les commutateurs CISCO.

Le protocole STP utilise un algorithme distribué qui sélectionne un commutateur (root bridge), comme étantla racine d’un arbre associé à la topologie courante. Le spanning tree du réseau Osiris est configuré demanière à ce que le Root Bridge se trouve toujours sur un commutateur de coeur (jamais dans les réseauxdes composants). Le spanning Tree assigne des rôles aux ports selon la fonction de chacun dans latopologie courante.

Chaque port peut prendre 2 états finaux : Forwarding (les trames transitent par ce port) - Blocking (lestrames ne transitent pas par ce port).

Il y a aussi 2 types de ports : Port désigné et Port Root. Un port désigné est un port qui ne mène pas versle Root Bridge. Un port Root est un port qui mène vers le Root Bridge.

Root Bridge = Commutateur avec le plus petit BridgeIDBridgeID = Bridge priority + adresse MAC Bridge priority par défaut = 32768

Sur un commutateur Cisco, un port qui est placé en état Blocking voit sa LED passer en orange. Ne pasconfondre avec un problème de négociation physique.

32/48

Port Désigné (Forwarding) Port Root

Port Désigné (Forwarding) Port Non Désigné (Bloqué)

Root bridgeNon root bridge

SW X SW Y


7.2. Utilité du Spanning Tree

Dans la majorité des installations réseau des batiments sur Osiris, les commutateurs sont branchés encascade.

Cependant il est très facile de créer des boucles sur le réseau souvent de manière accidentelle par l'ajout deHUB de manière non controlée ou par un mauvais câblage (rebouclage).

Dans ces cas là, le spanning Tree va entrer en action et bloquer des ports sur l'un des commutateurs touchépar une boucle. Une partie du réseau ne sera plus opérationnelle afin de protéger tout le reste. Attention, le Spanning Tree se base sur les priorités appliquées aux commutateurs soit par leur configurationou automatiquement avec les adresses MAC. Le port bloqué dans la boucle 1 peut aussi se trouver sur lelien entre le commutateur 2 et le commutateur 3 (aucunes chances toutefois car un Hub est moinsperformant qu'un commutateur et ne fait que du half duplex).

33/48

Osiris

Commutateur d'accès OSIRIS

Commutateur 1

Commutateur 2

Commutateur 3

Osiris

Commutateur d'accès OSIRISCisco 3750

Commutateur 1

Commutateur 2

Commutateur 3

HUB

HUBBoucle

Port bloqué

Boucle 1

fa0/24

fa0/8fa0/9

fa0/1

fa0/8

fa0/9

Boucle 2


Voici donc une commande très utile pour visualiser la configuration du Spanning Tree.

commutateur2# show spanning-tree

VLAN0010 (1) Spanning tree enabled protocol ieee Root ID Priority 32768 Address 00d0.9529.cfe1 (2) Cost 48 Port 24 (FastEthernet0/24) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 33568 (priority 32768 sys-id-ext 10) Address 000d.bc6f.dbc0 (3) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 15

Interface Role Sts Cost Prio.Nbr Type---------------- ---- --- --------- -------- --------------------------------Fa0/1 Desg FWD 19 128.1 P2p (4)Fa0/8 Desg FWD 19 128.8 P2pFa0/9 Desg FWD 100 128.9 ShrFa0/24 Root FWD 19 128.24 P2p

commutateur3#show spanning-tree

VLAN0010 (1) Spanning tree enabled protocol rstp Root ID Priority 32768 Address 00d0.9529.cfe1 (5) Cost 67 Port 8 (FastEthernet1/0/8) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 33568 (priority 32768 sys-id-ext 10) Address 000e.83bb.3100 (6) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300

Interface Role Sts Cost Prio.Nbr Type---------------- ---- --- --------- -------- --------------------------------Fa0/8 Root FWD 19 128.8 P2p Peer(STP) (7)Fa0/9 Altn BLK 100 128.9 Shr Peer(STP)

Cet exemple montre l'état du spanning tree sur les commutateurs 2 et 3 lorsque l'on crée une boucle avecun HUB (boucle 1). Les numéros de ports sont inscrits sur le schéma.

Le spanning-tree s'applique au VLAN 10 (1) qui peut être assimilé à un VLAN d'une entité d'enseignement etrecherche.On peut voir l'identifiant du Root Bridge (2) et (5) situé en amont sur le coeur d'Osiris. Il est bien sûr lemême sur les 2 commutateurs. A chaque identifiant de Root Bridge est associé un port, qui permetd'attendre le Root Bridge. On trouve l'identifiant du commutateur sur lequel la commande est lancée en (3)et (6).

Enfin on trouve un listing des interfaces avec leur rôle, leur statut et le cout du lien (4) et (7). On constateque l'interface Fa0/24 sur le commutateur 2 est celle qui mène vers la racine (colonne rôle) et que l'interfaceFa0/9 est connectée au Hub car son coût (100) est beaucoup plus élevé et son type est shr (share = lienavec plus de 2 entrées, collisions). Enfin sur le commutateur 3 on constate que la racine est joignable par leport Fa0/8 (colonne rôle) et que le port bloqué est l'interface fa0/9 (colonne Sts = BLK).

34/48


Commande optionelle à rajouter dans les configurations des interfaces du commutateur

Une commande permet la montée plus rapide d'un port sur lequel on branche un PC.

switch(config)# interface FastEthernet 0/24switch(config-if)# spanning-tree portfast

Cette commande permet de spécifier au commutateur qu'il est relié directement à un équipement ne faisantpas de Spanning Tree et donc qu'il n'a pas à négocier. Le port monte immédiatement en état « up ». Cettecommande peut éviter des problèmes avec certaines configuration DHCP qui n'attendent pas assezlongtemps la montée du port.

35/48


8. Commandes de diagnostic

Nous allons faire dans cette partie un inventaire des commandes les plus couramment utilisées pour lesdiagnostics. Ces commandes doivent, pour la plupart, être passées en mode privilégié.

8.1. Sessions utilisateur

– show users

Permet de visualiser qui est connecté sur le switch.

Switch# show users Line User Host(s) Idle Location 1 vty 0 admin idle 20w1d thot.u-strasbg.fr* 2 vty 1 boggia idle 00:00:00 youkoum.u-strasbg.fr

Interface User Mode Idle Peer Address

– Clear line <numero de line>

Permet de fermer la session d'un utlisateur.

Switch# clear line 1[confirm] [OK]

8.2. Visualiser les logs

Cette commande lit les événements qui se sont produits sur le commutateur.

– show logging

crc-ce1# show loggingSyslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns) Console logging: disabled Monitor logging: level debugging, 178 messages logged Buffer logging: level debugging, 1027 messages logged Exception Logging: size (8192 bytes) Trap logging: level debugging, 1004 message lines logged Logging to 130.79.201.129, 418 message lines logged

Log Buffer (65536 bytes):st 00:00:5E:00:01:01 in vlan 801 is flapping between port Gi5/8 and port Gi5/9Jan 6 19:24:09: %C4K_EBM-4-HOSTFLAPPING: Host 00:00:5E:00:01:01 in vlan 801 is flapping betweenport Gi5/8 and port Gi5/9Jan 6 19:24:23: %C4K_EBM-4-HOSTFLAPPING: Host 00:00:5E:00:01:01 in vlan 801 is flapping betweenport Gi5/8 and port Gi5/9

36/48


8.3. Obtenir des renseignements sur le matériel et l'IOS

– show version

crc-ce1# show versionCisco Internetwork Operating System SoftwareIOS (tm) Catalyst 4000 L3 Switch Software (cat4000-I9K2S-M), Version 12.1(20)EW, EARLY DEPLOYMENTRELEASE SOFTWARE (fc1)TAC Support: http://www.cisco.com/tacCopyright (c) 1986-2003 by cisco Systems, Inc.Compiled Wed 22-Oct-03 23:03 by kellmillImage text-base: 0x00000000, data-base: 0x0106B818

ROM: 12.1(19r)EWDagobah Revision 86, Swamp Revision 2

crc-ce1 uptime is 21 weeks, 22 hours, 14 minutesSystem returned to ROM by reloadSystem restarted at 18:41:12 UTC+1 Thu Dec 4 2003System image file is "bootflash:cat4000-i9k2s-mz.121-20.EW.bin"

cisco WS-C4507R (XPC8245) processor (revision 2) with 262144K bytes of memory.Processor board ID FOX073805NULast reset from Reload3 Ethernet/IEEE 802.3 interface(s)1 FastEthernet/IEEE 802.3 interface(s)82 Gigabit Ethernet/IEEE 802.3 interface(s)511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

– show env all

Cette commande sert à obtenir des informations sur la santé du comutateur: Température, CPU,alimentation ...

8.4. Obtenir des informations sur les interfaces

On obtient une vision générale des interfaces du commutateur et de leur statut.

– show interface status

2950-ce1# sh interfaces status

Port Name Status Vlan Duplex Speed TypeFa0/1 connected 800 a-full a-100 10/100BaseTXFa0/2 notconnect 1 auto auto 10/100BaseTXFa0/3 notconnect 1 auto auto 10/100BaseTXFa0/4 notconnect 1 auto auto 10/100BaseTXFa0/5 notconnect 1 auto auto 10/100BaseTXFa0/6 notconnect 1 auto auto 10/100BaseTXFa0/7 notconnect 1 auto auto 10/100BaseTXFa0/8 connected 800 a-full a-100 10/100BaseTXFa0/9 connected 800 a-half a-10 10/100BaseTXFa0/10 notconnect 1 auto auto 10/100BaseTX

37/48


Fa0/11 notconnect 1 auto auto 10/100BaseTXFa0/12 notconnect 1 auto auto 10/100BaseTXFa0/13 notconnect 1 auto auto 10/100BaseTXFa0/14 notconnect 1 auto auto 10/100BaseTXFa0/15 notconnect 1 auto auto 10/100BaseTXFa0/16 notconnect 1 auto auto 10/100BaseTXFa0/17 notconnect 1 auto auto 10/100BaseTXFa0/18 notconnect 1 auto auto 10/100BaseTXFa0/19 notconnect 1 auto auto 10/100BaseTXFa0/20 notconnect 1 auto auto 10/100BaseTXFa0/21 notconnect 1 auto auto 10/100BaseTXFa0/22 notconnect 1 auto auto 10/100BaseTXFa0/23 notconnect 1 auto auto 10/100BaseTXFa0/24 connected 800 a-half a-100 10/100BaseTXFa0/25 notconnect 1 full 100 100BaseFXFa0/26 notconnect 1 full 100 100BaseFX

– show interface <nom_interface>

On obtient des informations complètes sur une interface. Son statut, son adresse MAC, sa vitesse, le débitsur l'interface avec des compteurs d'erreurs.

2950-ce1# show interfaces fastEthernet 0/8FastEthernet0/8 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 000d.bc6f.dbc8 (bia 000d.bc6f.dbc8) MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 03:59:42, output 00:00:01, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 2000 bits/sec, 4 packets/sec 3450 packets input, 221527 bytes, 0 no buffer Received 1327 broadcasts (0 multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 7 multicast, 0 pause input 0 input packets with dribble condition detected 61271 packets output, 4321155 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out

– show interfaces counters error

Cette commande permet de visualiser dans un tableau les erreurs détectées sur toutes les interfaces.

– show mac-address-table

Cette commande permet d'obtenir la table de commutation du switch avec toutes les adresses MAC

38/48


connues dans chaque VLAN.

2950-ce1# show mac-address-table Mac Address Table-------------------------------------------

Vlan Mac Address Type Ports---- ----------- -------- ----- All 000d.bc6f.dbc0 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 800 0000.5e00.0133 DYNAMIC Fa0/24 800 0002.b316.5062 DYNAMIC Fa0/24 800 0002.b316.51ed DYNAMIC Fa0/24 800 0002.b327.5d4c DYNAMIC Fa0/24 800 0002.b327.5ead DYNAMIC Fa0/24 800 0002.b327.5f91 DYNAMIC Fa0/24 800 0002.b398.e0b5 DYNAMIC Fa0/24 800 0002.b3a7.e6a7 DYNAMIC Fa0/24 800 0005.858a.18bc DYNAMIC Fa0/24 800 0005.858a.385d DYNAMIC Fa0/24 800 0008.02dc.6133 DYNAMIC Fa0/1 800 000e.83bb.3108 DYNAMIC Fa0/8 800 000e.83bb.3109 DYNAMIC Fa0/9 800 000e.83bb.3141 DYNAMIC Fa0/8 800 0010.5a66.dd50 DYNAMIC Fa0/24 800 0030.6e2c.cf52 DYNAMIC Fa0/24 800 0050.ba48.0312 DYNAMIC Fa0/24 800 00d0.9539.c129 DYNAMIC Fa0/24Total Mac Addresses for this criterion: 22

– clear counters <nom_interface>

Cette commande permet de remettre à zéro les compteurs sur une interface. Elle est utile si l'ont veutcontroller l'intégrité de l'interface.

8.5. Obtenir des informations sur les VLAN

– show vlan

Cette commande permet d'obtenir des informations sur tous les VLAN avec la liste des interfaces surlesquelles ils sont actifs.

2950-ce1# show vlan

VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/25, Fa0/262 VLAN0002 active3 externe active800 VLAN0800 active Fa0/1, Fa0/8, Fa0/9, Fa0/241002 fddi-default act/unsup

39/48


1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------1 enet 100001 1500 - - - - - 0 02 enet 100002 1500 - - - - - 0 03 enet 100003 1500 - - - - - 0 0800 enet 100800 1500 - - - - - 0 0

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------1002 fddi 101002 1500 - - - - - 0 01003 tr 101003 1500 - - - - - 0 01004 fdnet 101004 1500 - - - ieee - 0 01005 trnet 101005 1500 - - - ibm - 0 0

Remote SPAN VLAN------------------------------------------------------------------------------

Primary Secondary Type Ports------- --------- ----------------- ------------------------------------------

8.6. Obtenir des informations sur les agrégations de liens

Cette commande permet d'obtenir des informations sur l'interface virtuelle formée par l'agrégation deplusieurs liens comme, le statut, les compteurs de débit, d'erreurs ...

– show lacp neighbor

2950-ce1# show lacp neighborFlags: S - Device is requesting Slow LACPDUs F - Device is requesting Fast LACPDUs A - Device is in Active mode P - Device is in Passive mode

Channel group 1 neighbors

Partner's information:

LACP port Oper Port PortPort Flags Priority Dev ID Age Key Number StateFa0/2 SA 32768 000e.83bb.3100 16s 0x1 0x3 0x3DFa0/3 SA 32768 000e.83bb.3100 2s 0x1 0x4 0x3D

Cette commande permet d'obtenir des informations sur les ensembles de liens agrégés.

– show interface port-channel <numero>

8.7. Obtenir des informations sur le spanning-tree

– show spanning tree <numero VLAN>

Cette commande à déjà été décrite dans le chapitre 7.

40/48


– show spanning tree summary

Cette commande permet d'obtenir une information rapide sur toutes les instances spanning tree d'uncommutateur.

2950-ce1# show spanning-tree summarySwitch is in pvst modeRoot bridge for: noneEtherChannel misconfig guard is enabledExtended system ID is enabledPortfast Default is disabledPortFast BPDU Guard Default is disabledPortfast BPDU Filter Default is disabledLoopguard Default is disabledUplinkFast is disabledBackboneFast is disabledPathcost method used is short

Name Blocking Listening Learning Forwarding STP Active---------------------- -------- --------- -------- ---------- ----------VLAN0800 0 0 0 4 4---------------------- -------- --------- -------- ---------- ----------1 vlan 0 0 0 4 4

41/48


9. Annexes

9.1. Exemple de configuration d'usine d'un Cisco Catalyst 2950

Switch# sh running-configBuilding configuration...

Current configuration : 1567 bytes!version 12.1no service padservice timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname Switch!!ip subnet-zero!ip ssh time-out 120ip ssh authentication-retries 3!spanning-tree mode pvstno spanning-tree optimize bpdu transmissionspanning-tree extend system-id!!interface FastEthernet0/1 no ip address!interface FastEthernet0/2 no ip address!!!interface FastEthernet0/26 no ip address!interface Vlan1 no ip address no ip route-cache shutdown!ip http server!!line con 0line vty 5 15!end

42/48


9.2. Procédure de récupération de mot de passe sur un Catalyst 3750

The default configuration for the switch allows an end user with physical access to the switch to recover froma lost password by interrupting the boot process during power-on and by entering a new password. Theserecovery procedures require that you have physical access to the switch..

Note: On these switches, a system administrator can disable some of the functionality of this feature byallowing an end user to reset a password only by agreeing to return to the default configuration. If youare an end user trying to reset a password when password recovery has been disabled, a statusmessage shows this during the recovery process.

This section describes how to recover a forgotten or lost switch password. It provides two solutions:● Procedure with Password Recovery Enabled● Procedure with Password Recovery Disabled

You enable or disable password recovery by using the service password-recovery global configurationcommand. When you enter the service password-recovery or no service password-recovery commandon the stack master, it is propagated throughout the stack and applied to all switches in the stack.Follow the steps in this procedure if you have forgotten or lost the switch password.

1 Connect a terminal or PC with terminal-emulation software to the switch console port. If you are recoveringthe password to a switch stack, connect to the console port of the stack master.2 Set the line speed on the emulation software to 9600 baud.3 Power off the standalone switch or the entire switch stack.4 Press the Mode button, and at the same time, reconnect the power cord to the standalone switch or thestack master.

You can release the Mode button a second or two after the LED above port 1 turns off. Several lines ofinformation about the software appear with instructions, informing you if the password recovery procedurehas been disabled or not.

● If you see a message that begins with this: The system has been interrupted prior to initializing the flash file system. The following commands willinitialize the flash file system.proceed to the “Procedure with Password Recovery Enabled” section, and follow the steps.

● If you see a message that begins with this: The password-recovery mechanism has been triggered, but is currently disabled.proceed to the “Procedure with Password Recovery Disabled” section, and follow the steps.

5 After recovering the password, reload the standalone switch or the stack master:Switch> reload slot <stack-master-member-number>Proceed with reload? [confirm] y6 Power on the rest of the switch stack.

Procedure with Password Recovery Enabled

If the password-recovery mechanism is enabled, this message appears:The system has been interrupted prior to initializing the flash file system. The following commands willinitialize the flash file system, and finish loading the operating system software:

flash_initload_helperboot

Step 1 Initialize the flash file system:switch: flash_init

43/48


Step 2 If you had set the console port speed to anything other than 9600, it has been reset to that particularspeed. Change the emulation software line speed to match that of the switch console port.Step 3 Load any helper files:switch: load_helper

Step 4 Display the contents of flash memory:switch: dir flash:

The switch file system appears:Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c3750-i5-mz-121-1.0 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat

16128000 bytes total (10003456 bytes free)

Step 5 Rename the configuration file to config.text.old.This file contains the password definition.switch: rename flash:config.text flash:config.text.old

Step 6 Boot the system:switch: boot

You are prompted to start the setup program. Enter N at the prompt:Continue with the configuration dialog? [yes/no]: N

Step 7 At the switch prompt, enter privileged EXEC mode:Switch> enable

Step 8 Rename the configuration file to its original name:Switch# rename flash:config.text.old flash:config.text

Note Before continuing to Step 9, power on any connected stack members and wait until they havecompletely initialized.

Step 9 Copy the configuration file into memory:Switch# copy flash:config.text system:running-configSource filename [config.text]?Destination filename [running-config]?

Press Return in response to the confirmation prompts.The configuration file is now reloaded, and you can change the password.Step 10 Enter global configuration mode:Switch# configure terminal

Step 11 Change the password:Switch (config)# enable secret password

The secret password can be from 1 to 25 alphanumeric characters, can start with a number, is casesensitive, and allows spaces but ignores leading spaces.Step 12 Return to privileged EXEC mode:Switch (config)# exitSwitch#

Step 13 Write the running configuration to the startup configuration file:Switch# copy running-config startup-config

The new password is now in the startup configuration.

44/48


Note This procedure is likely to leave your switch virtual interface in a shutdown state. You can seewhich interface is in this state by entering the show running-config privileged EXEC command. To re-enable the interface, enter the interface vlan vlan-id global configuration command, and specify theVLAN ID of the shutdown interface. With the switch in interface configuration mode, enter the noshutdown command.

Step 14 Reload the switch stack:Switch# reload

Procedure with Password Recovery Disabled

If the password-recovery mechanism is disabled, this message appears:The password-recovery mechanism has been triggered, butis currently disabled. Access to the boot loader promptthrough the password-recovery mechanism is disallowed atthis point. However, if you agree to let the system bereset back to the default system configuration, accessto the boot loader prompt can still be allowed.

Would you like to reset the system back to the default configuration (y/n)?

Caution Returning the switch to the default configuration results in the loss of all existingconfigurations. We recommend that you contact your system administrator to verify if there are backupswitch and VLAN configuration files.

● If you enter n (no), the normal boot process continues as if the Mode button had not been pressed;you cannot access the boot loader prompt, and you cannot enter a new password. You see themessage:

Press Enter to continue........

● If you enter y (yes), the configuration file in flash memory and the VLAN database file are deleted.When the default configuration loads, you can reset the password.

Step 1 Elect to continue with password recovery and lose the existing configuration:Would you like to reset the system back to the default configuration (y/n)? Y

Step 2 Load any helper files:Switch: load_helper

Step 3 Display the contents of flash memory:switch: dir flash:

The switch file system appears:Directory of flash:13 drwx 192 Mar 01 1993 22:30:48 c3750-i5-mz-121-1.0

16128000 bytes total (10003456 bytes free) Step 4 Boot the system:Switch: boot

You are prompted to start the setup program. To continue with password recovery, enter N at the prompt:Continue with the configuration dialog? [yes/no]: N

Step 5 At the switch prompt, enter privileged EXEC mode:Switch> enable

45/48


Step 6 Enter global configuration mode:Switch# configure terminal

Step 7 Change the password:Switch (config)# enable secret password

The secret password can be from 1 to 25 alphanumeric characters, can start with a number, is casesensitive, and allows spaces but ignores leading spaces.Step 8 Return to privileged EXEC mode:Switch (config)# exitSwitch#

Note Before continuing to Step 9, power on any connected stack members and wait until they havecompletely initialized.

Step 9 Write the running configuration to the startup configuration file:Switch# copy running-config startup-config

The new password is now in the startup configuration.

Note This procedure is likely to leave your switch virtual interface in a shutdown state. You can seewhich interface is in this state by entering the show running-config privileged EXEC command. To re-enable the interface, enter the interface vlan vlan-id global configuration command, and specify theVLAN ID of the shutdown interface. With the switch in interface configuration mode, enter the noshutdown command.

Step 10 You must now reconfigure the switch. If the system administrator has the backup switch and VLANconfiguration files available, you should use those.

46/48


9.3. Procédure de récupération de mot de passe sur un Catalyst 2950

Follow these steps if you have forgotten or lost the switch password.

Step 1 Connect a terminal or PC with terminal emulation software to the console port. For more information,refer to the switch hardware installation guide.

Step 2 Set the line speed on the emulation software to 9600 baud.

Step 3 Unplug the switch power cord.

Step 4 Press the Mode button, and at the same time, reconnect the power cord to the switch.You can release the Mode button a second or two after the LED above port 1X goes off. Several lines ofinformation about the software appear, as do instructions:The system has been interrupted prior to initializing the flash file system. These commands will initialize the flash file system, and finish loading the operating system software: flash_initload_helperboot Step 5 Initialize the Flash file system:switch# flash_init

Step 6 If you had set the console port speed to anything other than 9600, it has been reset to that particularspeed. Change the emulation software line speed to match that of the switch console port.

Step 7 Load any helper files:switch# load_helper

Step 8 Display the contents of Flash memory as in this example:switch# dir flash:

The switch file system is displayed:Directory of flash:/ 3 drwx 10176 Mar 01 2001 00:04:34 html 6 -rwx 2343 Mar 01 2001 03:18:16 config.text171 -rwx 1667997 Mar 01 2001 00:02:39 c2950-i6q412-mz.121-9.EA1.bin 7 -rwx 3060 Mar 01 2001 00:14:20 vlan.dat172 -rwx 100 Mar 01 2001 00:02:54 env_vars 7741440 bytes total (3884509 bytes free) Step 9 Rename the configuration file to config.text.old.This file contains the password definition.switch# rename flash:config.text flash:config.text.old

Step 10 Boot the system:switch# boot You are prompted to start the setup program. Enter N at the prompt:Continue with the configuration dialog? [yes/no]: N

Step 11 At the switch prompt, change to privileged EXEC mode:switch> enable

47/48


Step 12 Rename the configuration file to its original name:switch# rename flash:config.text.old flash:config.text

Step 13 Copy the configuration file into memory:switch# copy flash:config.textsystem:running-config

Source filename [config.text]?

Destination filename [running-config]? Press Return in response to the confirmation prompts.The configuration file is now reloaded, and you can use the following normal commands to change thepassword.

Step 14 Enter global configuration mode:switch# config terminal Step 15 Change the password:switch(config)# enable secret <password> orswitch(config)# enable password <password>

Step 16 Return to privileged EXEC mode:switch(config)# exit

switch# Step 17 Write the running configuration to the startup configuration file:switch# copy running-config startup-config The new password is now included in the startup configuration.

48/48


Documents

Catalyst Doc