Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:start [2014/02/14 08:35] – [Index de la rubrique cisco] pteu
+++ informatique:cisco:start [2026/04/02 14:25] (current) – export de la partie "Configurer un port" pteu
@@ Line 81: / Line 81: @@
 C'est une séquence de touches qui, lorsqu'elle est envoyée à un équipement Cisco lors du boot, le fait basculer en rommon (l'IOS minimal). Cette séquence dépend du terminal utilisé ; Cisco liste les plus connues sur cette page : [[http://www.cisco.com/warp/public/701/61.html|Standard Break Key Sequence Combinations During Password Recovery]].
+Avec Putty, on peut faire juste un clic droit sur le titre de la fenêtre, puis Special Command > Break.
 ====Commandes filtres====
@@ Line 244: / Line 245: @@
 =====Configurer un port=====
-Il faut passer en mode configuration du port ''(config-if)''
+Accéder à l'article [[informatique:cisco:configurer_un_port]].
-  Switch>en
-  Switch#conf t
-  Switch(config)#int Fa0/1
-  Switch(config-if)#
-Dans l'exemple si dessus on passe à l'interface de configuration du port FastEthernet n°1 du module (carte) 0 du switch.
-Voici les paramètres classiques qu'on peut retrouver configurés sur un port :
-  * ''description <desc de l'interf>'' description de l'interface
-  * ''duplex full'' forcer le mode full-duplex
-  * ''speed 100'' forcer la vitesse à 100Mbps
-  * ''spanning-tree portfast'' pour les ports utilisateur, permet de réduire le temps de négociation du SPT. A noter qu'on peut passer la commande globale ''spanning-tree portfast default'' pour passer en //portfast// tous les ports qui ne sont pas en //mode trunk//. C'est une sécurité pour le bon fonctionnement du STP de votre réseau (il ne faut pas qu'un utilisateur puisse émettre des bpdu) ; de plus ça permet à l'interface de monter plus vite.
-Autre vraie sécurité du STP : activer le **bpduguard** sur les ports utilisateurs ''Switch(conf-if)#spanning-tree bpduguard enable''.
-  * ''no cdp enable'' pour désactiver le protocole Cisco Discovery Protocol sur ce port
-A ceux-là s'ajoute la commande ''shutdown'' qui permet de couper administrativement le port. On le verra avec un ''sh interface description'' en état "administratively down". Pour réactiver le port, il suffit de faire un ''no shutdown'' sur le port.
-Cela est bien pratique pour préconfigurer un nouveau switch : on peut configurer un "range" de port c'est à dire une suite de ports qui se suivent. Par exemple, pour configurer les ports Fa0/1 jusqu'au Fa0/24 :
-  Switch(config)#int range Fa0/1 - 24
-Les ports d'un même "range" doivent être de même type et contigus ; si on veut rajouter des ports gigas, on devra écrire :
-  Switch(config)#int range Fa0/1 - 24, Gi0/1 - 2
-====Switchport====
-Pour configurer le niveau 2 d'un port on utilise la commande switchport, généralement soit en mode access (vers une machine) soit en mode trunk (vers un autre switch ou un routeur) :
-  * soit en mode access (vers un PC) :
-  switchport
-  switchport mode access
-  switchport access vlan x
-  * soit en mode trunk (vers un autre switch)
-  switchport
-  switchport mode trunk
-  switchport trunk encapsulation dot1q
-  switchport trunk allowed vlan x,y
-====port-security====
-On peut ajouter une sécurité par vérification d'adresse MAC source :
-  * ''switchport port-security mac-address <adresse MAC>'' pour limiter l'accès au port à seulement cette adresse MAC (on peut en spécifier plusieurs en repassant la commande pour chaque adresse MAC)
-  * ''switchport port-security mac-address sticky'' permet au switch d'apprendre la ou les prochaines adresses MAC qui se connectent au port (il les ajoutent dynamiquement dans sa conf) ; pour limiter le nombre des adresses apprises : ''switchport port-security maximum <nombre max>''.
-Pour déterminer le comportement du switch s'il rencontre une mauvaise adresse MAC :
-  * ''switchport port-security violation {protect | restrict | shutdown}''
-    * **protect** drop les trames incorrectes mais ne log pas l'incident
-    * **restrict** comme protect mais log une alerte et envoie un trap SNMP
-    * **shutdown** une alerte est émise (log + SNMP) et l'interface passe en errdisabled (elle est désactivée) jusqu'à ce qu'un administrateur vienne réactiver
-Pour info, l'adresse MAC est codée en hardware sur la carte réseau de la machine, elle est attribuée de manière unique parmi tous les périphériques réseaux sortant des usines. Cependant elle n'est en __aucun cas__ sécurisée puisqu'on peut changer cette adresse de manière software (sous Linux ou Windows XP par exemple). Cette sécurité est donc juste une corde anti script-kiddies ;).\\
-Cela permet aussi d'éviter les flood de trames d'adresse source différentes qui remplissent la table d'adresse MAC du switch (CAM), pouvant aboutir dans le pire des cas à transformer le switch en hub (si sa CAM est pleine).
-Pour vérifier la configuration :
-<code bash>
-show port-security [interface fa0/1 [address]]
-</code>
-ou
-<code bash>
-show port-security address
-</code>
-Pour réactiver toutes les interfaces bloquées en err-disabled : passer en mode conf-t :
-<code bash>
-errdisable recovery cause psecure-violation
-</code>
-Pour changer une adresse MAC sticky :
-<code bash>
-int GiX/Y
- no switchport port-security mac-address sticky
- switchport port-security mac-address sticky
-</code>
-Il peut être utile, si cela ne fonctionne pas :
-  * de désactiver également le port-security sur l'interface
-<code bash>
-int GiX/Y
- no switchport port-security mac-address sticky
- no switchport port-security
- switchport port-security
- switchport port-security mac-address sticky
-</code>
-  * de relancer l'interface
-<code bash>
- shut
- no shut
-</code>
-  * de vérifier que l'adresse MAC n'est pas assignée à un autre port dans la configuration
-<code bash>
-show run | i XXXX.YYYY.ZZZZ
- switchport port-security mac-address sticky XXXX.YYYY.ZZZZ
-</code>
-//(tiens, elle était en sticky sur un autre port ! -> duplicate address)//
-Pour supprimer le cache d'adresses MAC apprises dynamiquement :
-<code bash>
-clear port-security dynamic [address XXXX.YYYY.ZZZZ] | [interface GiX/Y]
-</code>
-====port serie====
-Vérifier si le port est en DCE ou DTE :
-  Router#sh controller serial 0/0 | include DCE
-   DCE V.35, clock rate 64000
-Là il est DCE, c'est à dire que c'est lui qui a la vitesse d'horloge du lien. Il faut la configurer (nb : là elle l'est déjà) :
-  Router(config)#int se0/0
-  Router(config-if)#clock rate 64000
-====Gestion de la file d'attente====
-Il est possible de configurer la file d'attente d'une interface en précisant le mode de gestion : FIFO par défaut (tail drop), faire-queue :
-  (config-if)#fair-queue [<CDT> <max-q> <RSVP>]
-On peut le vérifier avec :
-  show int se0/1/0 | i Queueing strategy
-   Queueing strategy: weighted fair
-====Troubleshooting de port====
-<code bash>
-Switch#show interface GigabitEthernet7/13
-GigabitEthernet7/13 is up, line protocol is up (connected)
-  Hardware is C6k 1000Mb 802.3, address is 0011.93XX.XXXX (bia 0011.93XX.XXXX)
-  Description: Gi7/13 - attention pb
-  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
-     reliability 255/255, txload 1/255, rxload 1/255
-  Encapsulation ARPA, loopback not set
-  Keepalive set (10 sec)
-  Full-duplex, 1000Mb/s, media type is 10/100/1000BaseT
-  input flow-control is off, output flow-control is on
-  Clock mode is auto
-  ARP type: ARPA, ARP Timeout 04:00:00
-  Last input 40w5d, output 40w5d, output hang never
-  Last clearing of "show interface" counters never
-  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 173510
-  Queueing strategy: fifo
-  Output queue: 0/40 (size/max)
-minute input rate 0 bits/sec, 0 packets/sec
-minute output rate 4000 bits/sec, 8 packets/sec
-     11805518907 packets input, 5433554007048 bytes, 0 no buffer
-     Received 4863341 broadcasts (4421997 multicasts)
-runts, 0 giants, 0 throttles
-input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
-watchdog, 0 multicast, 0 pause input
-input packets with dribble condition detected
-     18374938262 packets output, 23940953868607 bytes, 0 underruns
-output errors, 0 collisions, 8 interface resets
-babbles, 0 late collision, 0 deferred
-lost carrier, 0 no carrier, 0 PAUSE output
-output buffer failures, 0 output buffers swapped out
-</code>
-Lancer cette commande et vérifier :
-  * que l'interface est "up/up" (''<interface> is up, line protocol is up''). Le premier "up" indique que la couche 1 OSI (couche physique) est montée elle peut être "disabled" si trop d'erreurs ont été reçues dans un intervalle de keepalive (+ de 5000 erreurs en moins de 10s, par défaut) ; le second, //line protocol//, indique que la couche 2 (liaison de données) est montée. Si le port est configuré comme destination d'une "monitor session", il apparait en ''up/down''.
-  * la MTU de l'interface (Maximum Transmission Unit) qui doit être de 1500 par défaut.
-  * BW : bandwidth (bande passante de l'interface)
-  * ''reliability 255/255, txload 1/255, rxload 1/255'' indique la disponibilité et la charge de l'interface.
-  * les ''input errors'' (avec tout ce qui suit : CRC (problème de bruit ou de transmission), frame, overrun, ignored, etc...)
-  * les ''output errors'' : s'il y en a, c'est à cause du buffer de sortie de l'interface qui est full. Souvent, cela apparait quand on a un lien de forte capacité (1 giga) et un autre de plus faible capacité (100 méga). Dans ce cas le lien 100 méga risque d'être surchargé en cas de burst sur le lien giga.
-  * les ''collisions'' : il est normal d'en voir apparaitre sur des interfaces en half duplex, mais il ne devrait pas y en avoir sur celles en full duplex ; auquel cas il peut y avoir un problème de configuration de duplex.
-  * les ''restarts'' (si l'interface a du redémarrer à cause d'erreurs).
-  * runts/giants : paquets resp. trop petits/grands pour le medium
-  * CRC : problème d'intégrité du Contrôle de Redondance Cyclique (Cyclic Redundancy Checksum) du paquet. Cela indique une altération du paquet reçu par rapport à celui envoyé (et dont l'émetteur a calculé et envoyé un hash). Cela est souvent provoqué par des collisions ou une mauvaise émission du paquet (interface réseau, GBIC ou transciever défectueux).
-  * frame : erreur de réception d'un paquet (CRC + nombre d'octets incohérent).
-  * overrun : nombre de fois ou l'interface a reçu trop de paquets par rapport à sa capacité de réception = dépassement du buffer de réception de l'interface
-  * underrun : nombre de fois ou l'émetteur à fonctionner plus rapidement que la vitesse de traitement de l'équipement.
-  * ignored : nombre de paquets ignorés pour cause de quasi-saturation des buffers internes. Souvent lié à des tempêtes de broadcast ou des burst de paquets altérés (//burst of noise//).
-  * interface resets : nombre de reset des compteurs d'interface (''clear counter'').
-  * lost carrier : nombre de perte de signal pendant émission
-  * no carrier : nombre de fois ou le signal n'était pas présent pendant l'émission
-''5 minute input/output rate'' : cela indique la moyenne du trafic en input et output, sur 5 minutes. On peut baisser la période de récupération de ces données avec la commande :
-<code bash>
-int gi0/1
- load-interval <seconds>
-</code>
-<code bash>
-Switch#sh interface ethernet
-</code>
-Vérifier que les collisions ne dépassent pas 0.1 % des paquets émis
-Vérifier le ''speed'' et le ''duplex'' du port, ainsi que la protection par adresse MAC (''port-protection'').
-source : [[http://www.cisco.com/en/US/docs/ios/12_0/interface/command/reference/irshowin.html#wp1018148|Interface Commands (show interfaces -- show interfaces vg-anylan)]]
 =====Gestion des accès=====
@@ Line 440: / Line 254: @@
 =====Mot de passe oublié=====
-//Testé avec un Catalyst 2940//
-Mode opératoire pour récupérer l'accès à un switch dont on a oublier le mot de passe d'accès.
+====avec un switch Catalyst====
+//Testé avec un Catalyst 2940 et c3750//
+**password recovery** : Mode opératoire pour récupérer l'accès à un switch dont on a oublier le mot de passe d'accès ou enable.
   * Débrancher le switch
-  * Le rebrancher en maintenant le bouton "mode" enfoncé, jusqu'à ce que le menu de boot apparaisse
+  * S'y connecter sur le port console
+  * Le rebrancher en maintenant le bouton "mode" enfoncé, jusqu'à ce que le menu de boot apparaisse (''switch:'')
 <code bash>
@@ Line 465: / Line 283: @@
 </code>
-(la complétion automatique ne fonctionne pas)
+Taper ensuite ces commandes (la complétion automatique ne fonctionne pas) :
-  * ''flash_init''
+<code bash>
-  * ''load_helper''
+flash_init
-  * Sauvegarder la config : ''rename flash:config.text flash:config.old''
+load_helper
-  * Démarrer : ''boot''
+rename flash:config.text flash:config.old      # renommer la config
-  * Passer en mode //enable// : ''enable''
+boot                                           # redémarrer
-  * Restaurer la config : ''copy flash:config.old flash:config.text''
+# un fois redémarré :
-  * Sauver la conf : ''copy flash:config.text system:running-config''
+enable
-  * Changer le mot de passe : ''(config)# enable secret <pwd>''
+copy flash:config.old flash:config.text        # restaurer la config
-  * Sauvegarder la conf sur la flash : ''write memory''
+copy flash:config.text system:running-config   # réinjecter la conf
+config t
+# remplacer le mot de passe perdu :
+enable secret <NEW_PWD>
+line con 0
+   password <NEW_PWD_CON>
+line vty 0 15
+   password <NEW_PWD_SSH-TELNET>
+   login
+write memory                                   # sauvegarder les modifications
+reload                                         # redémarrer
+</code>
 source : [[http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml|Password Recovery Procedures]] sur cisco.com
+====avec un routeur c888====
+src :  https://www.cisco.com/c/en/us/support/docs/routers/800-series-routers/12065-pswdrec-827.html
+  * redémarrer le routeur en se connectant sur la console
+  * dans les 60s suivant le boot, envoyer un Break (avec putty, ouvrir le menu puis "Special Command" > Break)
+  * cela coupe la séquence de boot et charge la console de Rommon ; y saisir
+<code bash>
+rommon 1 > confreg 0x2142
+rommon 2 > reset
+</code>
+  * un fois que l'équipement a rebooté avec sa configuration par défaut, se logguer dessus sans mot de passe, puis :
+<code bash>
+Router>enable
+# charger la configuration pour pouvoir la modifier
+Routeur#copy startup-config running-config
+# changer le mot de passe enable
+Routeur#config t
+Routeur(config)#enable secret cisco
+# modifier les registres pour booter sur cette conf au prochain démarrage
+Routeur(config)#config-register 0x2102
+Routeur(config)#exit
+# sauvegarder la configuration
+Routeur#write mem
+Routeur#reload
+</code>
 =====MAJ IOS via Rommon=====
 //merci les gars j'ai enfin réussi
@@ Line 1017: / Line 878: @@
   * ''show platform health'' permet d'obtenir la consommation de ressources par ports, processus, etc...
   * ''show platform cpu packet statistics'' : //show CPU packet statistics//
+  * ''show platform tcam utilization'' : voir un résumé de l'utilisation de la TCAM
   * ''show environment connector'' affiche un ersatz de la commande ci-dessus, mais sur des petits modèles
   * ''show environment temperature all'' affiche toutes les sondes de températures du châssis 6500
@@ Line 1226: / Line 1088: @@
 ====Régler l'heure====
-Pour ajuster l'heure du Switch, on utilise la commande ''clock set''. Cependant vu le niveau de criticité des équipements réseau il est conseillé d'utiliser le protocole NTP qui permet une mise à l'heure automatique et très précise.
+Pour ajuster l'heure du Switch, on utilise la commande ''clock set'' (en mode enable), par exemple :
+<code bash>
+clock set 14:03:40 12 february 2016
+</code>
+Cependant vu le niveau de criticité des équipements réseau, il est fortement conseillé d'utiliser le protocole NTP qui permet une mise à l'heure automatique et très précise : en mode config :
+<code bash>
+# configuration de la zone de temps (Paris, UTC+1) :
+clock timezone UTC 1
+ntp server 10.0.0.1 prefer
+ntp server 10.0.0.2
+# vérifications
+show ntp status
+show ntp associations
+</code>
+source : [[http://www.cisco.com/c/en/us/td/docs/ios/12_2/configfun/command/reference/ffun_r/frf012.html#wp1018092|cisco]]
 ====Commandes en vrac====
@@ Line 1456: / Line 1335: @@
   * http://packetlife.net/
   * http://www.nemako.net/
+  * http://www.iplogos.fr/diagnostic-ladjacence-ospf-ne-monte-pas/