Les Ciscos, les vlan et la Qos
- Note: LED position may vary slightly depending on the model.
Catalyst 3524XL
Catalyst 2950-24
For 2955 series switches only:
The Catalyst 2955 series switches do not use an external mode button for password recovery. Instead the switch boot loader uses the break-key detection to stop the automatic boot sequence for the password recovery purposes. The break sequence is determined by the terminal application and operating system used. Hyperterm running on Windows 2000 uses Ctrl + Break. On a workstation running UNIX, Ctrl-C is the break key. For more information, refer to Standard Break Key Sequence Combinations During Password Recovery.
The example below uses Hyperterm to break into switch: mode on a 2955.
C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST
VERSION
Compiled Fri 13-Dec-02 17:38 by madison
WS-C2955T-12 starting...
Base ethernet MAC Address: 00:0b:be:b6:ee:00
Xmodem file system is available.
Initializing Flash...
flashfs[0]: 19 files, 2 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 7741440
flashfs[0]: Bytes used: 4510720
flashfs[0]: Bytes available: 3230720
flashfs[0]: flashfs fsck took 7 seconds.
...done initializing flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
*** The system will autoboot in 15 seconds ***
Send break character to prevent autobooting.
!--- Wait until you see this message before
!--- you issue the break sequence.
!--- Ctrl+Break is entered using Hyperterm.
The system has been interrupted prior to initializing the flash file system to finish
loading the operating system software:
flash_init
load_helper
boot
switch: - Issue the flash_init command.
switch: flash_init
Initializing Flash...
flashfs[0]: 143 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 3612672
flashfs[0]: Bytes used: 2729472
flashfs[0]: Bytes available: 883200
flashfs[0]: flashfs fsck took 86 seconds
....done Initializing Flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
switch:
!--- This output is from a 2900XL switch. Output from
!--- other switches will vary slightly. - Issue the load_helper command.
switch: load_helper
switch: - Issue the dir flash: command.
Note: Make sure to type a colon « : » after the dir flash.
The switch file system is displayed:
switch: dir flash:
Directory of flash:/
2 -rwx 1803357 <date> c3500xl-c3h2s-mz.120-5.WC7.bin
!--- This is the current version of software.
4 -rwx 1131 <date> config.text
!--- This is the configuration file.
5 -rwx 109 <date> info
6 -rwx 389 <date> env_vars
7 drwx 640 <date> html
18 -rwx 109 <date> info.ver
403968 bytes available (3208704 bytes used)
switch:
!--- This output is from a 3500XL switch. Output from
!--- other switches will vary slightly. - Type rename flash:config.text flash:config.old to rename the configuration file.
switch: rename flash:config.text flash:config.old
switch:
!--- The config.text file contains the password
!--- definition. - Issue the boot command to boot the system.
switch: boot
Loading "flash:c3500xl-c3h2s-mz.120-5.WC7.bin"...###############################
################################################################################
######################################################################
File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and installed, entry po
int: 0x3000
executing...
!--- Output suppressed.
!--- This output is from a 3500XL switch. Output from other switches
!--- will vary slightly. - Enter « n » at the prompt to abort the initial configuration dialog.
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Continue with configuration dialog? [yes/no]: n
!--- Type "n" for no.
Press RETURN to get started.
!--- Press Return or Enter.
Switch>
!--- The Switch> prompt is displayed. - At the switch prompt, type en to enter enable mode.
Switch>en
Switch# - Type rename flash:config.old flash:config.text to rename the configuration file with its original name.
Switch#rename flash:config.old flash:config.text
Destination filename [config.text]
!--- Press Return or Enter.
Switch# - Copy the configuration file into memory.
Switch#copy flash:config.text system:running-config
Destination filename [running-config]?
!--- Press Return or Enter.
1131 bytes copied in 0.760 secs
Sw1#The configuration file is now reloaded.
- Overwrite the current passwords that you do not know. Choose a strong password with at least one capital letter, one number, and one special character.
Note: Overwrite the passwords which are necessary. You need not overwrite all of the mentioned passwords.
Sw1# conf t
!--- To overwrite existing secret password
Sw1(config)#enable secret <new_secret_password>
!--- To overwrite existing enable password
Sw1(config)#enable password <new_enable_password>
!--- To overwrite existing vty password
Sw1(config)#line vty 0 15
Sw1(config-line)#password <new_vty_password>
Sw1(config-line)#login
!--- To overwrite existing console password
Sw1(config-line)#line con 0
Sw1(config-line)#password <new_console_password> - Write the running configuration to the configuration file with the write memory command.
Sw1#write memory
Building configuration...
[OK]
Sw1#
Pas passionnant mais bigrement éfficace . Du coup l’on fait connaissance avec l’interface ligne de commande et l’on regrette vite fait un bon SSH 😉
Pour l’interface Web, sur le cisco 2960G il se trouve sur l’ip 192.168.1.50 par defaut et permet surtout un monitoring de l’activité des switchs et de l’état technique des ports .
Revenons au sujet de la mission . Le Vlan tagging est une technique pour créer des sous reseau sur un réseau physique . On partage ainsi une structure simple en plusieurs structures virtuelle .
La norme est le 802.1Q nommé Vlan tagging, très bien implanté sous linux . En clair sur l’entète de la trame ethernet on a 4 bits de valeur pour y mettre un numéro . Toutes cartes reseau dans le monde y marque 1, donc on peut dire que tout lan est un vlan avec le numéro 1 . Le cisco est transporteur et marqueur de ces bits, la norme voulant de marquer de 1 à 255 .
Cette notion visualisée, l’on va retenir qu’il est donc possible d’associer chaque port du cisco à un vlan unique et de définir que ce vlan est le vlan par défaut ( en clair tout paquet qui arrive sur ce vlan sera marqué avec celui ci par le Cisco ), ce qui implique que de n’avoir rien à faire coté client . C’est beau la technique …
en ligne de commande ( Cli ou seriel )
ça donne :
#int fa0/1
Switch03(config-if)#switch acc VLAN 1
en clair je sélectionne le port 1 et lui donne le port Vlan 1
même chose à la main pour tout les ports car la commande de groupage de configuration à des ratés …
nous voici donc avec les Vlans, reste à en tirer partis .
Notion Cisco on parle de monitoring et de trunking .
Monitoring, Nicolas va apprécier c'est pour snorter .Trunking c'est la création d'une autoroute avec tout le trafic des Vlans dedans . Les 2 associé ont peut donc monitorer l'ensemble du trafic sur un port du Cisco .
Exemple par la pratique,
conf t
monitor session 1 source interface fastethernet 0/1
monitor session 1 destination interface fastethernet 0/24
on dit que le trafic du port 1 est monitoré sur le 24
monitor session 1 source interface vlan 1
monitor session 1 destination interface fastethernet 0/24
on monitor le vlan 1 vers le port 24
enfin le top on trunk l’ensemble :
interface GigabitEthernet1/0/3
switchport access vlan 1
switchport trunk encapsulation dot1q
switchport trunk native vlan 1
switchport trunk allowed vlan 2
switchport mode trunk
la on définis que les ports giga, sont sur le vlan 1 en norme 802.1Q, tout le trafic natif est le vlan1 mais on y passe aussi le vlan2, enfin on trunk .
Si on trunk sur le port que l'on monitor, tada on a tout le trafic du switch .
Pour bien comprendre voici la copie d'un tuto complémentaire à mes explications :
Cisco vlan trunk 802.1Q
Contents[hide] |
Les vlans sous Cisco
Le standard pour les Vlans est le 802.1Q qui est utilisé dans la majorité des architectures réseaux. Toutefois il existe une autre possibilité chez Cisco l’ISL.
L’ISL est actuellement en train de disparaitre sur les derniers IOS et il est donc fortement conseiller d’utiliser le standard 802.1Q.
Comprendre les Vlans
La création de VLans a pour but de segmenter un réseau en plusieurs sous réseaus virtuels. Cette segmentation permet d’offrir une sécurité entre les différents réseaux et de réduire le domaine de collision. Les Vlans ne peuvent communiquer entre eux sauf si ils sont routés.
Une des choses importantes est de savoir si l’on souhaite faire passer un Vlan ou plusieurs Vlans sur un média.
Terminologie
Chez cisco les termes sont un peu différent de chez les autres constructeurs. Lorsque l’on parle de faire passer un seul vlan sur un media, on va pour cela faire une configuration en mode access, ce qui veut dire UNTAGGED (la trame est ne comporte pas de tag 802.1Q). Dans le cas, ou l’on souhaite faire passer plusieurs réseaux privés sur un même média on crée un trunk, ce qui signifie TAGGED (la trame est taggé avec un entete 802.1Q).
Dans un trunk, on peut faire passer plusieurs Vlans. Cela est souvent le cas sur les liens backbones d’un réseau. En revanche vers un serveur les trames arrivent dans la majorité des cas non taggé. Cependant cela commence à changer avec les systèmes virtualisés sur les Blades par exemple ou plusieurs machines virtuelles dans des réseaux différents sont configurées. Dans ce cas les cartes Ethernets seront capables de gérer la norme 802.1Q et de détagger les trames.
Le mot trunk est utilisé pour dire que l’on fait passer plusieurs vlans sur un lien. De manière générale un trunk signifie un aggrégat de bande passante, ce qui est de l’Etherchannel chez cisco (802.1ad)
Configuration
Le mode access ou untagged
Dans cette partie, nous allons voir la configuration pour un lien non taggé.
Tout d’abord, il faut vérifier que vous avez créé le Vlan sur votre commutateur. show vlanPar défaut, il y a 4 vlans qui existent le 1, 1002, 1003, 1004 et 1005. Tous les ports sont dans le vlan 1 à la première configuration du switch.
Pour créer un nouveau Vlan, ici le 2:
sw1#configure terminal sw1(config)#vlan 2 sw1(config-vlan)#name test
Configuration sur le port 0/1 du switch :
int fa0/1 switchport mode access switchport access vlan 2
Le mode trunk ou tagged
Maintenant nous voulons faire passer plusieurs vlan sur un lien. Tout d’abord, il faut vérifier que les vlans soient créer sur les deux commutateurs. Si tout est ok, on peut mettre en place la configuration sur les ports :
int fa0/1 switchport mode trunk
Pour faire passer tout les vlans :
switchport trunk allowed vlan all
Faire passer deux vlans 4 et 6 :
switchport trunk allowed vlan 4,6
Une suite de vlans 1 à 6 :
switchport trunk allowed vlan 1-6
Attention lorsque vous ajoutez des vlans sur un lien, préférer la commande switchport trunk allowed vlan add <Num_Vlan>. Si vous utilisez la commande switchport trunk allowed vlan <num_Vlan>, alors tous ceux qui auront été configuré avant seront supprimés. Il ne restera que le dernier ajouté. Sur des switchs qui font du niveau 3, il faut ajouter des commandes comme switchport. Cette dernière permet d’avoir accès au reste des commandes switchport. En ce qui concerne le trunk, il faut savoir parfois préciser le type d’encapsulation en ajoutant la commande : switchport trunk encapsulation dot1Q