Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:start [2012/11/03 00:01] – modification externe 127.0.0.1
+++ informatique:cisco:start [2026/04/02 14:25] (current) – export de la partie "Configurer un port" pteu
@@ Line 1: / Line 1: @@
 {{tag>informatique réseaux cisco}}
-====== Index de la rubrique cisco ======
+======Cisco======
 {{ http://www.eecs.berkeley.edu/IPRO/WICSE/images/cisco%20logo.gif}}
+Cisco est un équipementier de matériels réseaux et sécurité, renommé dans le routage et la commutation notamment.
 Cette page est un recueil de l'expérience que j'ai acquise en travaillant sur des équipements Cisco. Il s'agit dans la majorité des cas du B.A.-BA assez superficiel qui me sert d'aide-mémoire.
@@ Line 80: / Line 81: @@
 C'est une séquence de touches qui, lorsqu'elle est envoyée à un équipement Cisco lors du boot, le fait basculer en rommon (l'IOS minimal). Cette séquence dépend du terminal utilisé ; Cisco liste les plus connues sur cette page : [[http://www.cisco.com/warp/public/701/61.html|Standard Break Key Sequence Combinations During Password Recovery]].
+Avec Putty, on peut faire juste un clic droit sur le titre de la fenêtre, puis Special Command > Break.
 ====Commandes filtres====
@@ Line 243: / Line 245: @@
 =====Configurer un port=====
-Il faut passer en mode configuration du port ''(config-if)''
+Accéder à l'article [[informatique:cisco:configurer_un_port]].
-  Switch>en
-  Switch#conf t
-  Switch(config)#int Fa0/1
-  Switch(config-if)#
-Dans l'exemple si dessus on passe à l'interface de configuration du port FastEthernet n°1 du module (carte) 0 du switch.
-Voici les paramètres classiques qu'on peut retrouver configurés sur un port :
+=====Gestion des accès=====
-  * ''description <desc de l'interf>'' description de l'interface
-  * ''duplex full'' forcer le mode full-duplex
-  * ''speed 100'' forcer la vitesse à 100Mbps
-  * ''spanning-tree portfast'' pour les ports utilisateur, permet de réduire le temps de négociation du SPT. A noter qu'on peut passer la commande globale ''spanning-tree portfast default'' pour passer en //portfast// tous les ports qui ne sont pas en //mode trunk//. C'est une sécurité pour le bon fonctionnement du STP de votre réseau (il ne faut pas qu'un utilisateur puisse émettre des bpdu) ; de plus ça permet à l'interface de monter plus vite.
-Autre vraie sécurité du STP : activer le **bpduguard** sur les ports utilisateurs ''Switch(conf-if)#spanning-tree bpduguard enable''.
-  * ''no cdp enable'' pour désactiver le protocole Cisco Discovery Protocol sur ce port
-A ceux-là s'ajoute la commande ''shutdown'' qui permet de couper administrativement le port. On le verra avec un ''sh interface description'' en état "administratively down". Pour réactiver le port, il suffit de faire un ''no shutdown'' sur le port.
+[[informatique:cisco:gestion_des_acces|Gestion_des_acces]]
-Cela est bien pratique pour préconfigurer un nouveau switch : on peut configurer un "range" de port c'est à dire une suite de ports qui se suivent. Par exemple, pour configurer les ports Fa0/1 jusqu'au Fa0/24 :
-  Switch(config)#int range Fa0/1 - 24
-Les ports d'un même "range" doivent être de même type et contigus ; si on veut rajouter des ports gigas, on devra écrire :
+=====Mot de passe oublié=====
-  Switch(config)#int range Fa0/1 - 24, Gi0/1 - 2
-====Switchport====
+====avec un switch Catalyst====
-Pour configurer le niveau 2 d'un port on utilise la commande switchport, généralement soit en mode access (vers une machine) soit en mode trunk (vers un autre switch ou un routeur) :
-  * soit en mode access (vers un PC) :
-  switchport
+//Testé avec un Catalyst 2940 et c3750//
-  switchport mode access
-  switchport access vlan x
-  * soit en mode trunk (vers un autre switch)
+**password recovery** : Mode opératoire pour récupérer l'accès à un switch dont on a oublier le mot de passe d'accès ou enable.
-  switchport
+  * Débrancher le switch
-  switchport mode trunk
+  * S'y connecter sur le port console
-  switchport trunk encapsulation dot1q
+  * Le rebrancher en maintenant le bouton "mode" enfoncé, jusqu'à ce que le menu de boot apparaisse (''switch:'')
-  switchport trunk allowed vlan x,y
-====port-security====
+<code bash>
-On peut ajouter une sécurité par vérification d'adresse MAC source :
+C2940 Boot Loader (C2940-HBOOT-M) Version 12.1(13r)AY1, RELEASE SOFTWARE (fc1)
+Compiled Mon 30-Jun-03 15:16 by antonino
+WS-C2940-8TF-S starting...
+Base ethernet MAC Address: 00:12:80:81:42:c0
+Xmodem file system is available.
+The password-recovery mechanism is enabled.
-  * ''switchport port-security mac-address <adresse MAC>'' pour limiter l'accès au port à seulement cette adresse MAC (on peut en spécifier plusieurs en repassant la commande pour chaque adresse MAC)
+The system has been interrupted prior to initializing the
-  * ''switchport port-security mac-address sticky'' permet au switch d'apprendre la ou les prochaines adresses MAC qui se connectent au port (il les ajoutent dynamiquement dans sa conf) ; pour limiter le nombre des adresses apprises : ''switchport port-security maximum <nombre max>''.
+flash filesystem.  The following commands will initialize
+the flash filesystem, and finish loading the operating
+system software:
-Pour déterminer le comportement du switch s'il rencontre une mauvaise adresse MAC :
+    flash_init
-  * ''switchport port-security violation {protect | restrict | shutdown}''
+    load_helper
-    * **protect** drop les trames incorrectes mais ne log pas l'incident
+    boot
-    * **restrict** comme protect mais log une alerte et envoie un trap SNMP
-    * **shutdown** une alerte est émise (log + SNMP) et l'interface passe en errdisabled (elle est désactivée) jusqu'à ce qu'un administrateur vienne réactiver
-Pour info, l'adresse MAC est codée en hardware sur la carte réseau de la machine, elle est attribuée de manière unique parmi tous les périphériques réseaux sortant des usines. Cependant elle n'est en __aucun cas__ sécurisée puisqu'on peut changer cette adresse de manière software (sous Linux ou Windows XP par exemple). Cette sécurité est donc juste une corde anti script-kiddies ;).\\
-Cela permet aussi d'éviter les flood de trames d'adresse source différentes qui remplissent la table d'adresse MAC du switch (CAM), pouvant aboutir dans le pire des cas à transformer le switch en hub (si sa CAM est pleine).
-Pour vérifier la configuration :
-<code bash>
-show port-security [interface fa0/1 [address]]
-</code>
-ou
-<code bash>
-show port-security address
 </code>
-Pour réactiver toutes les interfaces bloquées en err-disabled : passer en mode conf-t :
+Taper ensuite ces commandes (la complétion automatique ne fonctionne pas) :
 <code bash>
-errdisable recovery cause psecure-violation
+flash_init
-</code>
+load_helper
+rename flash:config.text flash:config.old      # renommer la config
+boot                                           # redémarrer
+# un fois redémarré :
+enable
+copy flash:config.old flash:config.text        # restaurer la config
+copy flash:config.text system:running-config   # réinjecter la conf
-Pour changer une adresse MAC sticky :
+config t
-<code bash>
-int GiX/Y
- no switchport port-security mac-address sticky
- switchport port-security mac-address sticky
-</code>
-Il peut être utile, si cela ne fonctionne pas :
+# remplacer le mot de passe perdu :
-  * de désactiver également le port-security sur l'interface
+enable secret <NEW_PWD>
-<code bash>
+line con 0
-int GiX/Y
+   password <NEW_PWD_CON>
- no switchport port-security mac-address sticky
+line vty 0 15
- no switchport port-security
+   password <NEW_PWD_SSH-TELNET>
- switchport port-security
+   login
- switchport port-security mac-address sticky
-</code>
-  * de relancer l'interface
-<code bash>
- shut
- no shut
-</code>
-  * de vérifier que l'adresse MAC n'est pas assignée à un autre port dans la configuration
-<code bash>
-show run | i XXXX.YYYY.ZZZZ
- switchport port-security mac-address sticky XXXX.YYYY.ZZZZ
-</code>
-//(tiens, elle était en sticky sur un autre port ! -> duplicate address)//
-Pour supprimer le cache d'adresses MAC apprises dynamiquement :
+write memory                                   # sauvegarder les modifications
-<code bash>
+reload                                         # redémarrer
-clear port-security dynamic [address XXXX.YYYY.ZZZZ] | [interface GiX/Y]
 </code>
-====port serie====
+source : [[http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml|Password Recovery Procedures]] sur cisco.com
-Vérifier si le port est en DCE ou DTE :
-  Router#sh controller serial 0/0 | include DCE
-   DCE V.35, clock rate 64000
-Là il est DCE, c'est à dire que c'est lui qui a la vitesse d'horloge du lien. Il faut la configurer (nb : là elle l'est déjà) :
+====avec un routeur c888====
-  Router(config)#int se0/0
+src :  https://www.cisco.com/c/en/us/support/docs/routers/800-series-routers/12065-pswdrec-827.html
-  Router(config-if)#clock rate 64000
-====Gestion de la file d'attente====
-Il est possible de configurer la file d'attente d'une interface en précisant le mode de gestion : FIFO par défaut (tail drop), faire-queue :
-  (config-if)#fair-queue [<CDT> <max-q> <RSVP>]
-On peut le vérifier avec :
-  show int se0/1/0 | i Queueing strategy
-   Queueing strategy: weighted fair
-====Troubleshooting de port====
+  * redémarrer le routeur en se connectant sur la console
+  * dans les 60s suivant le boot, envoyer un Break (avec putty, ouvrir le menu puis "Special Command" > Break)
+  * cela coupe la séquence de boot et charge la console de Rommon ; y saisir
 <code bash>
-Switch#show interface GigabitEthernet7/13
+rommon 1 > confreg 0x2142
-GigabitEthernet7/13 is up, line protocol is up (connected)
+rommon 2 > reset
-  Hardware is C6k 1000Mb 802.3, address is 0011.93XX.XXXX (bia 0011.93XX.XXXX)
-  Description: Gi7/13 - attention pb
-  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
-     reliability 255/255, txload 1/255, rxload 1/255
-  Encapsulation ARPA, loopback not set
-  Keepalive set (10 sec)
-  Full-duplex, 1000Mb/s, media type is 10/100/1000BaseT
-  input flow-control is off, output flow-control is on
-  Clock mode is auto
-  ARP type: ARPA, ARP Timeout 04:00:00
-  Last input 40w5d, output 40w5d, output hang never
-  Last clearing of "show interface" counters never
-  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 173510
-  Queueing strategy: fifo
-  Output queue: 0/40 (size/max)
-minute input rate 0 bits/sec, 0 packets/sec
-minute output rate 4000 bits/sec, 8 packets/sec
-     11805518907 packets input, 5433554007048 bytes, 0 no buffer
-     Received 4863341 broadcasts (4421997 multicasts)
-runts, 0 giants, 0 throttles
-input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
-watchdog, 0 multicast, 0 pause input
-input packets with dribble condition detected
-     18374938262 packets output, 23940953868607 bytes, 0 underruns
-output errors, 0 collisions, 8 interface resets
-babbles, 0 late collision, 0 deferred
-lost carrier, 0 no carrier, 0 PAUSE output
-output buffer failures, 0 output buffers swapped out
 </code>
+  * un fois que l'équipement a rebooté avec sa configuration par défaut, se logguer dessus sans mot de passe, puis :
-Lancer cette commande et vérifier :
-  * que l'interface est "up/up" (''<interface> is up, line protocol is up''). Le premier "up" indique que la couche 1 OSI (couche physique) est montée elle peut être "disabled" si trop d'erreurs ont été reçues dans un intervalle de keepalive (+ de 5000 erreurs en moins de 10s, par défaut) ; le second, //line protocol//, indique que la couche 2 (liaison de données) est montée. Si le port est configuré comme destination d'une "monitor session", il apparait en ''up/down''.
-  * la MTU de l'interface (Maximum Transmission Unit) qui doit être de 1500 par défaut.
-  * BW : bandwidth (bande passante de l'interface)
-  * ''reliability 255/255, txload 1/255, rxload 1/255'' indique la disponibilité et la charge de l'interface.
-  * les ''input errors'' (avec tout ce qui suit : CRC (problème de bruit ou de transmission), frame, overrun, ignored, etc...)
-  * les ''output errors'' : s'il y en a, c'est à cause du buffer de sortie de l'interface qui est full. Souvent, cela apparait quand on a un lien de forte capacité (1 giga) et un autre de plus faible capacité (100 méga). Dans ce cas le lien 100 méga risque d'être surchargé en cas de burst sur le lien giga.
-  * les ''collisions'' : il est normal d'en voir apparaitre sur des interfaces en half duplex, mais il ne devrait pas y en avoir sur celles en full duplex ; auquel cas il peut y avoir un problème de configuration de duplex.
-  * les ''restarts'' (si l'interface a du redémarrer à cause d'erreurs).
-  * runts/giants : paquets resp. trop petits/grands pour le medium
-  * CRC : problème d'intégrité du Contrôle de Redondance Cyclique (Cyclic Redundancy Checksum) du paquet. Cela indique une altération du paquet reçu par rapport à celui envoyé (et dont l'émetteur a calculé et envoyé un hash). Cela est souvent provoqué par des collisions ou une mauvaise émission du paquet (interface réseau, GBIC ou transciever défectueux).
-  * frame : erreur de réception d'un paquet (CRC + nombre d'octets incohérent).
-  * overrun : nombre de fois ou l'interface a reçu trop de paquets par rapport à sa capacité de réception = dépassement du buffer de réception de l'interface
-  * underrun : nombre de fois ou l'émetteur à fonctionner plus rapidement que la vitesse de traitement de l'équipement.
-  * ignored : nombre de paquets ignorés pour cause de quasi-saturation des buffers internes. Souvent lié à des tempêtes de broadcast ou des burst de paquets altérés (//burst of noise//).
-  * interface resets : nombre de reset des compteurs d'interface (''clear counter'').
-  * lost carrier : nombre de perte de signal pendant émission
-  * no carrier : nombre de fois ou le signal n'était pas présent pendant l'émission
-''5 minute input/output rate'' : cela indique la moyenne du trafic en input et output, sur 5 minutes. On peut baisser la période de récupération de ces données avec la commande :
 <code bash>
-int gi0/1
+Router>enable
- load-interval <seconds>
-</code>
-<code bash>
+# charger la configuration pour pouvoir la modifier
-Switch#sh interface ethernet
+Routeur#copy startup-config running-config
-</code>
-Vérifier que les collisions ne dépassent pas 0.1 % des paquets émis
-Vérifier le ''speed'' et le ''duplex'' du port, ainsi que la protection par adresse MAC (''port-protection'').
+# changer le mot de passe enable
+Routeur#config t
-source : [[http://www.cisco.com/en/US/docs/ios/12_0/interface/command/reference/irshowin.html#wp1018148|Interface Commands (show interfaces -- show interfaces vg-anylan)]]
+Routeur(config)#enable secret cisco
-=====Gestion des accès=====
-[[informatique:cisco:gestion_des_acces|Gestion_des_acces]]
-=====Mot de passe oublié=====
-//Testé avec un Catalyst 2940//
-Mode opératoire pour récupérer l'accès à un switch dont on a oublier le mot de passe d'accès.
-  * Débrancher le switch
-  * Le rebrancher en maintenant le bouton "mode" enfoncé, jusqu'à ce que le menu de boot apparaisse
-  C2940 Boot Loader (C2940-HBOOT-M) Version 12.1(13r)AY1, RELEASE SOFTWARE (fc1)
-  Compiled Mon 30-Jun-03 15:16 by antonino
-  WS-C2940-8TF-S starting...
-  Base ethernet MAC Address: 00:12:80:81:42:c0
-  Xmodem file system is available.
-  The password-recovery mechanism is enabled.
-  The system has been interrupted prior to initializing the
-  flash filesystem.  The following commands will initialize
-  the flash filesystem, and finish loading the operating
-  system software:
-      flash_init
-      load_helper
-      boot
-(la complétion automatique ne fonctionne pas)
-  * ''flash_init''
-  * ''load_helper''
-  * Sauvegarder la config : ''rename flash:config.text flash:config.old''
-  * Démarrer : ''boot''
-  * Passer en mode //enable// : ''enable''
-  * Restaurer la config : ''copy flash:config.old flash:config.text''
-  * Sauver la conf : ''copy flash:config.text system:running-config''
-  * Changer le mot de passe : ''(config)# enable secret <pwd>''
-  * Sauvegarder la conf sur la flash : ''write memory''
+# modifier les registres pour booter sur cette conf au prochain démarrage
+Routeur(config)#config-register 0x2102
+Routeur(config)#exit
+# sauvegarder la configuration
+Routeur#write mem
+Routeur#reload
+</code>
 =====MAJ IOS via Rommon=====
 //merci les gars j'ai enfin réussi
@@ Line 1013: / Line 878: @@
   * ''show platform health'' permet d'obtenir la consommation de ressources par ports, processus, etc...
   * ''show platform cpu packet statistics'' : //show CPU packet statistics//
+  * ''show platform tcam utilization'' : voir un résumé de l'utilisation de la TCAM
   * ''show environment connector'' affiche un ersatz de la commande ci-dessus, mais sur des petits modèles
   * ''show environment temperature all'' affiche toutes les sondes de températures du châssis 6500
@@ Line 1222: / Line 1088: @@
 ====Régler l'heure====
-Pour ajuster l'heure du Switch, on utilise la commande ''clock set''. Cependant vu le niveau de criticité des équipements réseau il est conseillé d'utiliser le protocole NTP qui permet une mise à l'heure automatique et très précise.
+Pour ajuster l'heure du Switch, on utilise la commande ''clock set'' (en mode enable), par exemple :
+<code bash>
+clock set 14:03:40 12 february 2016
+</code>
+Cependant vu le niveau de criticité des équipements réseau, il est fortement conseillé d'utiliser le protocole NTP qui permet une mise à l'heure automatique et très précise : en mode config :
+<code bash>
+# configuration de la zone de temps (Paris, UTC+1) :
+clock timezone UTC 1
+ntp server 10.0.0.1 prefer
+ntp server 10.0.0.2
+# vérifications
+show ntp status
+show ntp associations
+</code>
+source : [[http://www.cisco.com/c/en/us/td/docs/ios/12_2/configfun/command/reference/ffun_r/frf012.html#wp1018092|cisco]]
 ====Commandes en vrac====
@@ Line 1452: / Line 1335: @@
   * http://packetlife.net/
   * http://www.nemako.net/
+  * http://www.iplogos.fr/diagnostic-ladjacence-ospf-ne-monte-pas/