| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| informatique:cisco:start [2011/11/07 20:17] – correction du lien : gestion des accès pteu | informatique:cisco:start [2019/02/27 16:26] (current) – [password recovery avec un c888] pteu |
|---|
| {{tag>informatique réseaux cisco}} | {{tag>informatique réseaux cisco}} |
| |
| ====== Index de la rubrique cisco ====== | ======Cisco====== |
| | |
| ~~DIR::informatique:cisco?cols=page;date;user;tags~~ | |
| |
| {{ http://www.eecs.berkeley.edu/IPRO/WICSE/images/cisco%20logo.gif}} | {{ http://www.eecs.berkeley.edu/IPRO/WICSE/images/cisco%20logo.gif}} |
| |
| //à valider et insérer\\ | Cisco est un équipementier de matériels réseaux et sécurité, renommé dans le routage et la commutation notamment. |
| telnet 192.168.103.24 8000 /source-interface vlan8\\ | |
| PVID = n° du VLAN non taggué (le VLAN en access sur un port access et le VLAN natif sur un port trunk)\\ | |
| bla// | |
| |
| Cette page est un recueil de l'expérience que j'ai acquise en travaillant sur des équipements Cisco. Il s'agit dans la majorité des cas du B.A.-BA assez superficiel qui me sert d'aide-mémoire. | Cette page est un recueil de l'expérience que j'ai acquise en travaillant sur des équipements Cisco. Il s'agit dans la majorité des cas du B.A.-BA assez superficiel qui me sert d'aide-mémoire. |
| |
| ====Les types de mémoire==== | ====Les types de mémoire==== |
| * **DRAM** Dynamic Random-Access Memory ou **RAM** tout court ; mémoire rapide et non permanente (elle s'efface lors d'un reboot ou d'un arrêt) ; elle contient la running-config, la table de routage, les caches, etc... | * **DRAM** (Dynamic Random-Access Memory) ou **RAM** tout court : mémoire vive, rapide et non permanente (elle s'efface lors d'un arrêt électrique) ; elle contient la running-config, la table de routage, les caches, etc... |
| * **ROM** (Read-Only Memory) contient un IOS minimal et le code, chargé au boot du routeur, qui lance l'IOS présent sur la flash | * **ROM** (Read-Only Memory) : mémoire morte (inverse de vive !) qui contient un IOS minimal et le code, chargé au boot du routeur, qui lance l'IOS présent sur la flash |
| * **Flash memory** (EEPROM ou carte PCMCIA) contient l'IOS, les sauvegardes des confs, le serveur http, etc... | * **Flash memory** (EEPROM ou carte PCMCIA) contient l'IOS, les sauvegardes des confs, le serveur http, etc... |
| * **NVRAM** (Non-Volatile RAM) contient la startup-config | * **NVRAM** (Non-Volatile RAM) contient la startup-config ; la flash en fait partie de même que les différents slot de mémoire additionnelle. |
| |
| Sur les IOS, il existe 2 versions de la configuration : la running-config et la startup-config : | Sur les IOS, il existe 2 versions de la configuration : la running-config et la startup-config : |
| * **running-config** c'est la configuration courante ; elle est modifiée dynamiquement/automatiquement quand on tape une commande, mais on la perd quand on reboot car elle est située dans la mémoire vive de l'équipement. C'est la "copie de travail" de la startup. | * **running-config** c'est la configuration courante ; elle est modifiée dynamiquement et automatiquement quand on tape une commande, mais elle disparait quand on reboot car elle est située dans la mémoire vive de l'équipement (la DRAM). C'est une "copie de travail" de la startup-config. |
| * **startup-config** c'est une sauvegarde pérenne de la running-config, elle est stockée sur la NVRAM et est donc conservée lors de l'arrêt de l'équipement. Quand on démarre un équipement, cette dernière est copiée dans la RAM, ce qui créer la running-config. | * **startup-config** c'est une sauvegarde pérenne de la running-config ; elle est stockée sur la NVRAM et est donc conservée lors de l'arrêt de l'équipement. Quand on démarre un équipement, cette dernière est copiée dans la RAM, ce qui créer la running-config. |
| |
| ====Les 2 niveaux d'accès==== | ====Les 2 niveaux d'accès==== |
| Il existe 2 modes liés à différents privilèges, que l'on peut comparé aux consoles //utilisateur// ($) et //root// (#) sous Unix : | Il existe 2 modes associés à différents privilèges, que l'on peut comparer aux consoles //utilisateur// ($) et //root// (#) sous Unix : |
| * **mode utilisateur** ''Switch>'' : le mode par défaut quand on accède au switch | * **mode utilisateur** : le mode auquel on accède quand on se connecte au switch ; le prompt est reconnaissable au symbole "supérieur" : ''Switch>'' |
| * **mode privilégié** ''Switch#'' : on y accède depuis le mode utilisateur par la commande ''enable'' et on le quitte avec ''disable'' | * **mode privilégié** (ou mode enable) : on y accède depuis le mode utilisateur par la commande ''enable'' ; on le quitte avec ''disable''. Ce mode est symbolisé par un prompt avec un dièse : ''Switch#'' |
| |
| Le **mode configuration** ''Switch(config)#'' est une sous-partie du mode privilégié, accessible depuis le mode privilégié par la commande ''configure terminal'' (''conf t'' pour les intimes). | Le **mode configuration** ''Switch(config)#'' est une sous-partie du mode privilégié, accessible depuis le mode privilégié par la commande ''configure terminal'' (''conf t'' pour les intimes). Comme son nom l'indique, ce mode sert à passer des commandes qui seront inscrite dans la running-config ; le mode enable servant plutôt à passer des commandes de diagnostique (show). |
| Switch> | <code bash> |
| Switch>en | Switch> |
| Password: | Switch>en |
| Switch#conf t | Password: |
| Enter configuration commands, one per line. End with CNTL/Z. | Switch#conf t |
| Switch(config)# | Enter configuration commands, one per line. End with CNTL/Z. |
| On peut protéger l'accès à chaque mode de privilège (utilisateur et privilégié). | Switch(config)# |
| | </code> |
| | |
| | On peut (c'est même recommandé) protéger l'accès à chaque mode de privilège (utilisateur et privilégié). |
| |
| Depuis le mode configuration global (conf t) on peut accéder aux modes de configuration : | Depuis le mode configuration global (conf t) on peut accéder aux sous-menus de configuration : |
| * d'une interface ''Router(config-if)#'' | * d'une interface ''Router(config-if)#'' |
| * d'une sous-interface ''Router(config-subif)#'' | * d'une sous-interface ''Router(config-subif)#'' |
| * d'une ligne ''Router(config-line)#'' | * d'une ligne ''Router(config-line)#'' |
| * du router ''Router(config-router)#'' | * du router ''Router(config-router)#'' |
| | |
| |
| ====Commandes de base==== | ====Commandes de base==== |
| IOS permet : | |
| | Les fonctionnalités de base d'IOS sont : |
| * la complétion automatique (comme les UNIX) avec la touche ''<tab>'' | * la complétion automatique (comme les UNIX) avec la touche ''<tab>'' |
| Mais à la différence d'UNIX, on peut ne taper que le début d'une commande pour qu'elle soit interprétée (s'il n'y a pas de conflit) : par exemple ''conf t'' pour ''configure terminal''. | Mais à la différence d'UNIX, on peut ne taper que le début d'une commande pour qu'elle soit interprétée (s'il n'y a pas de conflit) : par exemple ''conf t'' pour ''configure terminal''. |
| On quitte un mode avec la commande ''exit'' ou avec la combinaison de touches ''ctrl+z'' | On quitte un mode avec la commande ''exit'' ou avec la combinaison de touches ''ctrl+z'' |
| * ''do'' permet de lancer des commandes privilégiées (réservées au mode privilégié donc) lorsqu'on est en mode configuration | * ''do'' permet de lancer des commandes privilégiées (réservées au mode privilégié donc) lorsqu'on est en mode configuration |
| * la plupart du temps, pour annuler une commande, on utilise le mot ''no'' suivit de la commande à supprimer (ex : ''no ip address'' pour supprimer l'adresse IP d'une interface). | * la plupart du temps, pour annuler une commande, on utilise le mot ''no'' suivit de la commande à supprimer (par ex : ''no ip address'' pour supprimer l'adresse IP d'une interface). |
| |
| ====Raccourcis clavier==== | ====Raccourcis clavier==== |
| * ''ctrl+d'' supprime un caractère à gauche du curseur (équivalent du ''backspace'') | * ''ctrl+d'' supprime un caractère à gauche du curseur (équivalent du ''backspace'') |
| |
| Le rappel des dernières commandes passées peut se faire avec les flèches ''haut'' et ''bas'' ou avec ''ctrl+p'' et ''ctrl+n''. De même pour déplacer le curseur à gauche ou à droite on peut se servir des flèches ou des combinaisons ''ctrl+b'' et ''ctrl+f''. | Le rappel des dernières commandes passées peut se faire avec les flèches ''haut'' et ''bas'' ou avec ''ctrl+p'' et ''ctrl+n''. De même, pour déplacer le curseur à gauche ou à droite on peut se servir des flèches ou des combinaisons ''ctrl+b'' et ''ctrl+f''. |
| |
| ===Les signaux=== | ===Les signaux=== |
| Sous Linux on peut utiliser le raccourcis clavier ctrl+C pour envoyer un SIGINT qui provoque l'interruption d'un processus long ou bloqué. | Sous Linux on peut utiliser le raccourcis clavier ctrl+c pour envoyer un SIGINT qui provoque l'interruption d'un processus. Sous IOS, on utilise l'équivalent : ''ctrl+shift+6'' ou ''ctrl+shift+9'' + "x". |
| Sous les IOS on utilise l'équivalent : ''ctrl+shift+6'' ou ''ctrl+shift+9'' + "x". | |
| |
| ===Séquence d'échappement=== | ===Séquence d'échappement=== |
| C'est une séquence de touches qui, lorsqu'elle est envoyée à un équipement Cisco lors du boot, le fait basculer en rommon. Cette séquence dépend du logiciel utilisé ; Cisco liste les plus connues sur cette page : [[http://www.cisco.com/warp/public/701/61.html|Standard Break Key Sequence Combinations During Password Recovery]]. | C'est une séquence de touches qui, lorsqu'elle est envoyée à un équipement Cisco lors du boot, le fait basculer en rommon (l'IOS minimal). Cette séquence dépend du terminal utilisé ; Cisco liste les plus connues sur cette page : [[http://www.cisco.com/warp/public/701/61.html|Standard Break Key Sequence Combinations During Password Recovery]]. |
| |
| | Avec Putty, on peut faire juste un clic droit sur le titre de la fenêtre, puis Special Command > Break. |
| ====Commandes filtres==== | ====Commandes filtres==== |
| |
| Quand on fait une commande qui renvoie une grosse sortie, on peut le filtrer le résultat avec le caractère ''|'' (pipe) (entouré d'espaces, c'est obligatoire à la différence de Linux) suivi les mots-clés ''include'' ou ''exclude'', suivi d'un texte. Cela ne sélectionnera que les lignes qui, respectivement, contiennent ou ne contiennent pas le texte spécifié. | Quand on fait une commande qui renvoie un résultats sur de nombreuses lignes, on peut les filtrer avec le caractère ''|'' (pipe) (entouré d'espaces, c'est obligatoire à la différence de Linux) suivi des mots-clés ''include'' ou ''exclude'', suivi d'un texte. Cela ne sélectionnera que les lignes qui, respectivement, contiennent ou ne contiennent pas le texte spécifié. |
| |
| Le mot-clé ''begin'' permet de positionner le fenêtre de lecture sur la première occurrence de la chaîne qui le suit (ex : ''show run | begin router ospf'' pour voir le résultat à partir de la configuration de l'OSPF - pour un routeur bien sur.) | Le mot-clé ''begin'' permet de positionner le fenêtre de lecture sur la première occurrence de la chaîne qui le suit (ex : ''show run | begin router ospf'' pour voir le résultat à partir de la configuration de l'OSPF - pour un routeur bien sur.) |
| |
| ====IP de management==== | ====IP de management==== |
| Dans le cas d'un switch, il n'y a pas de traitement de paquet niveau 3 normalement (hors ACLs, mais disons pas de routage comme sur un routeur). Pourtant, on a besoin d'attribuer une adresse IP à ce dernier pour pouvoir l'administrer : c'est ce qu'on appelle l'IP de management. | Dans le cas d'un switch, il n'y a pas de traitement de paquet niveau 3 normalement (hors ACLs, mais disons pas de routage). Pourtant, on a besoin d'attribuer une adresse IP à ce dernier pour pouvoir l'administrer : c'est ce qu'on appelle l'IP de management. |
| On spécifie l'IP d'administration du switch en configurant l'IP de l'interface du **vlan d'administration** (par défaut le vlan 1) : | On spécifie l'IP d'administration du switch en configurant l'IP de l'interface du **vlan d'administration** (qui est par défaut le vlan 1) : |
| Switch(conf t)#int vlan 1 | <code bash> |
| Switch(conf-if)#ip address 10.0.0.1 255.255.255.0 | Switch(conf t)#int vlan 1 |
| | Switch(conf-if)#ip address 10.0.0.1 255.255.255.0 |
| | </code> |
| |
| Un switch ne peut avoir qu'une seule adresse IP de management (sauf s'il s'agit d'un switch multilayer comme un 3500 ou un 3700). | Un switch ne peut avoir qu'une seule adresse IP de management (sauf s'il s'agit d'un switch multilayer comme les séries Catalyst (c3500, c3700, c6500, etc...). |
| |
| |
| ====Passerelle==== | ====Passerelle==== |
| Toujours dans le cas d'un switch, pour sortir du réseau on doit spécifier la passerelle du réseau, c'est à dire l'équipement qui va router les paquets : | Toujours dans le cas d'un switch, et à l’instar d'un PC, pour sortir du réseau on doit spécifier la passerelle (ou le routeur) du réseau : |
| |
| (conf t)#ip default-gateway 10.0.0.254 | <code bash> |
| | (conf t)#ip default-gateway 10.0.0.254 |
| | </code> |
| |
| Évidemment celle-ci doit être dans le VLAN d'administration du switch pour être inaccessible. | Évidemment celle-ci doit être dans le VLAN d'administration du switch pour être inaccessible. |
| |
| Pour les routeurs, voir les commandes ''ip default-network'' et ''ip route 0.0.0.0 0.0.0.0'' (plus d'info sur cisco.com : [[http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094374.shtml|Configuring a Gateway of Last Resort Using IP Commands]] | Pour les routeurs, on définit la route par défaut ; voir les commandes ''ip default-network'' et ''ip route 0.0.0.0 0.0.0.0'' (plus d'info sur cisco.com : [[http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094374.shtml|Configuring a Gateway of Last Resort Using IP Commands]] |
| |
| ====subnet zero==== | ====subnet zero==== |
| |
| ''no ip domain-lookup'' permet de désactiver les fonctions de résolution de nom (ça évite au routeur de perdre du temps à rechercher une machine lorsqu'on se trompe en tapant une commande) : | ''no ip domain-lookup'' permet de désactiver les fonctions de résolution de nom (ça évite au routeur de perdre du temps à rechercher une machine lorsqu'on se trompe en tapant une commande) : |
| Router#sxow | <code bash> |
| Translating "sxow" ...domain server (255.255.255.255) | Router#sxow |
| % Unknow command or computer name, or unable to find computer address | Translating "sxow" ...domain server (255.255.255.255) |
| | % Unknow command or computer name, or unable to find computer address |
| | </code> |
| |
| ====logging synchronous==== | ====logging synchronous==== |
| | |
| Par défaut on reçoit des messages du routeur, qui troublent la saisie des commandes, par exemple : | Par défaut on reçoit des messages du routeur, qui troublent la saisie des commandes, par exemple : |
| Router#confi | <code bash> |
| %SYS-5-CONFIG_I : Configured from console by console | Router#confi |
| Enter configuration commands, one per line. End with CNTL/Z. | %SYS-5-CONFIG_I : Configured from console by console |
| | Enter configuration commands, one per line. End with CNTL/Z. |
| | </code> |
| |
| Pour retrouver sa ligne de commande on peut faire un ''ctrl+r'' qui ré affiche notre ligne. Mais pour éviter ce problème, on peut demander un **logging synchronous** sur la console : | Pour retrouver sa ligne de commande on peut faire un ''ctrl+r'' qui ré affiche notre ligne. Mais pour éviter ce problème, on peut demander un **logging synchronous** sur la console : |
| Router(config)#line con 0 | <code bash> |
| Router(config-line)#logging synchronous | Router(config)#line con 0 |
| | Router(config-line)#logging synchronous |
| | </code> |
| |
| Voici l'éventuel résultat : | Voici l'éventuel résultat : |
| Router#confi | <code bash> |
| %SYS-5-CONFIG_I : Configured from console by console | Router#confi |
| Router#configure | %SYS-5-CONFIG_I : Configured from console by console |
| | Router#configure |
| | </code> |
| |
| =====Configuration générale===== | =====Configuration générale===== |
| |
| <code bash> | <code bash> |
| Switch#sh int GigabitEthernet7/13 | Switch#show interface GigabitEthernet7/13 |
| GigabitEthernet7/13 is up, line protocol is up (connected) | GigabitEthernet7/13 is up, line protocol is up (connected) |
| Hardware is C6k 1000Mb 802.3, address is 0011.93XX.XXXX (bia 0011.93XX.XXXX) | Hardware is C6k 1000Mb 802.3, address is 0011.93XX.XXXX (bia 0011.93XX.XXXX) |
| |
| Lancer cette commande et vérifier : | Lancer cette commande et vérifier : |
| * que l'interface est "up/up" (''<interface> is up, line protocol is up''). Le premier "up" indique que la couche 1 OSI (couche physique) est montée ; le second indique que la couche 2 (liaison de données) est montée. | * que l'interface est "up/up" (''<interface> is up, line protocol is up''). Le premier "up" indique que la couche 1 OSI (couche physique) est montée elle peut être "disabled" si trop d'erreurs ont été reçues dans un intervalle de keepalive (+ de 5000 erreurs en moins de 10s, par défaut) ; le second, //line protocol//, indique que la couche 2 (liaison de données) est montée. Si le port est configuré comme destination d'une "monitor session", il apparait en ''up/down''. |
| | * la MTU de l'interface (Maximum Transmission Unit) qui doit être de 1500 par défaut. |
| | * BW : bandwidth (bande passante de l'interface) |
| | * ''reliability 255/255, txload 1/255, rxload 1/255'' indique la disponibilité et la charge de l'interface. |
| * les ''input errors'' (avec tout ce qui suit : CRC (problème de bruit ou de transmission), frame, overrun, ignored, etc...) | * les ''input errors'' (avec tout ce qui suit : CRC (problème de bruit ou de transmission), frame, overrun, ignored, etc...) |
| * les ''output errors'' : s'il y en a, c'est à cause du buffer de sortie de l'interface qui est full. Souvent, cela apparait quand on a un lien de forte capacité (1 giga) et un autre de plus faible capacité (100 méga). Dans ce cas le lien 100 méga risque d'être surchargé en cas de burst sur le lien giga. | * les ''output errors'' : s'il y en a, c'est à cause du buffer de sortie de l'interface qui est full. Souvent, cela apparait quand on a un lien de forte capacité (1 giga) et un autre de plus faible capacité (100 méga). Dans ce cas le lien 100 méga risque d'être surchargé en cas de burst sur le lien giga. |
| * les ''collisions'' : il est normal d'en voir apparaitre sur des interfaces en half duplex, mais il ne devrait pas y en avoir sur celles en full duplex ; auquel cas il peut y avoir un problème de configuration de duplex. | * les ''collisions'' : il est normal d'en voir apparaitre sur des interfaces en half duplex, mais il ne devrait pas y en avoir sur celles en full duplex ; auquel cas il peut y avoir un problème de configuration de duplex. |
| * les ''restarts'' (si l'interface a du redémarrer à cause d'erreurs). | * les ''restarts'' (si l'interface a du redémarrer à cause d'erreurs). |
| | * runts/giants : paquets resp. trop petits/grands pour le medium |
| | * CRC : problème d'intégrité du Contrôle de Redondance Cyclique (Cyclic Redundancy Checksum) du paquet. Cela indique une altération du paquet reçu par rapport à celui envoyé (et dont l'émetteur a calculé et envoyé un hash). Cela est souvent provoqué par des collisions ou une mauvaise émission du paquet (interface réseau, GBIC ou transciever défectueux). |
| | * frame : erreur de réception d'un paquet (CRC + nombre d'octets incohérent). |
| | * overrun : nombre de fois ou l'interface a reçu trop de paquets par rapport à sa capacité de réception = dépassement du buffer de réception de l'interface |
| | * underrun : nombre de fois ou l'émetteur à fonctionner plus rapidement que la vitesse de traitement de l'équipement. |
| | * ignored : nombre de paquets ignorés pour cause de quasi-saturation des buffers internes. Souvent lié à des tempêtes de broadcast ou des burst de paquets altérés (//burst of noise//). |
| | * interface resets : nombre de reset des compteurs d'interface (''clear counter''). |
| | * lost carrier : nombre de perte de signal pendant émission |
| | * no carrier : nombre de fois ou le signal n'était pas présent pendant l'émission |
| |
| ''5 minute input/output rate'' : cela indique la moyenne du trafic en input et output, sur 5 minutes. On peut baisser la période de récupération de ces données avec la commande : | ''5 minute input/output rate'' : cela indique la moyenne du trafic en input et output, sur 5 minutes. On peut baisser la période de récupération de ces données avec la commande : |
| Vérifier le ''speed'' et le ''duplex'' du port, ainsi que la protection par adresse MAC (''port-protection''). | Vérifier le ''speed'' et le ''duplex'' du port, ainsi que la protection par adresse MAC (''port-protection''). |
| |
| | source : [[http://www.cisco.com/en/US/docs/ios/12_0/interface/command/reference/irshowin.html#wp1018148|Interface Commands (show interfaces -- show interfaces vg-anylan)]] |
| |
| =====Gestion des accès===== | =====Gestion des accès===== |
| |
| =====Mot de passe oublié===== | =====Mot de passe oublié===== |
| //Testé avec un Catalyst 2940// | |
| |
| Mode opératoire pour récupérer l'accès à un switch dont on a oublier le mot de passe d'accès. | ====avec un switch Catalyst==== |
| | |
| | //Testé avec un Catalyst 2940 et c3750// |
| | |
| | **password recovery** : Mode opératoire pour récupérer l'accès à un switch dont on a oublier le mot de passe d'accès ou enable. |
| |
| * Débrancher le switch | * Débrancher le switch |
| * Le rebrancher en maintenant le bouton "mode" enfoncé, jusqu'à ce que le menu de boot apparaisse | * S'y connecter sur le port console |
| | * Le rebrancher en maintenant le bouton "mode" enfoncé, jusqu'à ce que le menu de boot apparaisse (''switch:'') |
| |
| C2940 Boot Loader (C2940-HBOOT-M) Version 12.1(13r)AY1, RELEASE SOFTWARE (fc1) | <code bash> |
| Compiled Mon 30-Jun-03 15:16 by antonino | C2940 Boot Loader (C2940-HBOOT-M) Version 12.1(13r)AY1, RELEASE SOFTWARE (fc1) |
| WS-C2940-8TF-S starting... | Compiled Mon 30-Jun-03 15:16 by antonino |
| Base ethernet MAC Address: 00:12:80:81:42:c0 | WS-C2940-8TF-S starting... |
| Xmodem file system is available. | Base ethernet MAC Address: 00:12:80:81:42:c0 |
| The password-recovery mechanism is enabled. | Xmodem file system is available. |
| | The password-recovery mechanism is enabled. |
| The system has been interrupted prior to initializing the | |
| flash filesystem. The following commands will initialize | |
| the flash filesystem, and finish loading the operating | |
| system software: | |
| | |
| flash_init | |
| load_helper | |
| boot | |
| |
| (la complétion automatique ne fonctionne pas) | The system has been interrupted prior to initializing the |
| * ''flash_init'' | flash filesystem. The following commands will initialize |
| * ''load_helper'' | the flash filesystem, and finish loading the operating |
| * Sauvegarder la config : ''rename flash:config.text flash:config.old'' | system software: |
| * Démarrer : ''boot'' | |
| * Passer en mode //enable// : ''enable'' | |
| * Restaurer la config : ''copy flash:config.old flash:config.text'' | |
| * Sauver la conf : ''copy flash:config.text system:running-config'' | |
| * Changer le mot de passe : ''(config)# enable secret <pwd>'' | |
| * Sauvegarder la conf sur la flash : ''write memory'' | |
| |
| | flash_init |
| | load_helper |
| | boot |
| | </code> |
| |
| | Taper ensuite ces commandes (la complétion automatique ne fonctionne pas) : |
| | <code bash> |
| | flash_init |
| | load_helper |
| | rename flash:config.text flash:config.old # renommer la config |
| | boot # redémarrer |
| | # un fois redémarré : |
| | enable |
| | copy flash:config.old flash:config.text # restaurer la config |
| | copy flash:config.text system:running-config # réinjecter la conf |
| | |
| | config t |
| | |
| | # remplacer le mot de passe perdu : |
| | enable secret <NEW_PWD> |
| | line con 0 |
| | password <NEW_PWD_CON> |
| | line vty 0 15 |
| | password <NEW_PWD_SSH-TELNET> |
| | login |
| | |
| | write memory # sauvegarder les modifications |
| | reload # redémarrer |
| | </code> |
| | |
| | source : [[http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml|Password Recovery Procedures]] sur cisco.com |
| | |
| | ====avec un routeur c888==== |
| | src : https://www.cisco.com/c/en/us/support/docs/routers/800-series-routers/12065-pswdrec-827.html |
| | |
| | * redémarrer le routeur en se connectant sur la console |
| | * dans les 60s suivant le boot, envoyer un Break (avec putty, ouvrir le menu puis "Special Command" > Break) |
| | * cela coupe la séquence de boot et charge la console de Rommon ; y saisir |
| | <code bash> |
| | rommon 1 > confreg 0x2142 |
| | rommon 2 > reset |
| | </code> |
| | * un fois que l'équipement a rebooté avec sa configuration par défaut, se logguer dessus sans mot de passe, puis : |
| | <code bash> |
| | Router>enable |
| | |
| | # charger la configuration pour pouvoir la modifier |
| | Routeur#copy startup-config running-config |
| | |
| | # changer le mot de passe enable |
| | Routeur#config t |
| | Routeur(config)#enable secret cisco |
| | |
| | # modifier les registres pour booter sur cette conf au prochain démarrage |
| | Routeur(config)#config-register 0x2102 |
| | Routeur(config)#exit |
| | |
| | # sauvegarder la configuration |
| | Routeur#write mem |
| | Routeur#reload |
| | </code> |
| =====MAJ IOS via Rommon===== | =====MAJ IOS via Rommon===== |
| //merci les gars j'ai enfin réussi | //merci les gars j'ai enfin réussi |
| =====Etherchannel===== | =====Etherchannel===== |
| |
| C'est le nom utilisé par CISCO pour désigner du bonding ou channel bonding, c'est à dire un agrégat de ports physiques en un port logique. On peut fusionner jusqu'à 8 interfaces de même nature. Les avantages sont : | C'est le nom utilisé par Cisco pour désigner du bonding, channel bonding ou encore portchannel, c'est à dire un agrégat de plusieurs ports physiques en un port logique. |
| * addition globale (pas de machine à machine) de la bande passante de chaque lien (ex : 4 liens physiques à 100 Mbps ~= 1 lien logique à 400 Mbps). | |
| * redondance d'interface | |
| On l'utilise souvent pour les interconnexions de gros commutateurs, par exemple sur un backbone. | |
| | |
| Il 2 principaux protocoles : le LACP (standart IEEE 802.3ad) et le PAgP (propriétaire Cisco). | |
| | |
| ====Configuration==== | |
| | |
| On créer l'interface logique | |
| Switch(config)#interface PortChannel1 | |
| | |
| On la configure comme une interface normale. | |
| | |
| Pour chaque interface physique que l'on veut ajouter à l'Etherchannel, on ajoute dans la conf : | |
| Switch(config)#interface Gi0/1 | |
| Switch(config-if)#channel-group 1 mode active | |
| | |
| On peut spécifier le mode par : | |
| | |
| active Enable LACP unconditionally | |
| auto Enable PAgP only if a PAgP device is detected | |
| desirable Enable PAgP unconditionally | |
| on Enable Etherchannel only | |
| passive Enable LACP only if a LACP device is detected | |
| |
| Les ports physiques d'un Etherchannel doivent être de même type et de même vitesse ; ils doivent avoir la même configuration. | voir la page dédiée : [[informatique:Cisco:etherchannel]] |
| |
| |
| |
| ====Numéros de série==== | ====Numéros de série==== |
| | |
| Pour récupérer le //serial number// d'un équipement sans avoir un accès physique pour regarder l'étiquette : | Pour récupérer le //serial number// d'un équipement sans avoir un accès physique pour regarder l'étiquette : |
| |
| * pour les c65XX : ''show module'' | * pour les c65XX : ''show module'' |
| * pour les c3825 : ''show diag'' | * pour les c3825 : ''show diagnostic'' |
| |
| | On peut récupérer les SNs des GBICs, alimentations, carte FAN, châssis... avec la commande ''show inventory''. |
| ====show==== | ====show==== |
| |
| * ''show platform health'' permet d'obtenir la consommation de ressources par ports, processus, etc... | * ''show platform health'' permet d'obtenir la consommation de ressources par ports, processus, etc... |
| * ''show platform cpu packet statistics'' : //show CPU packet statistics// | * ''show platform cpu packet statistics'' : //show CPU packet statistics// |
| | * ''show platform tcam utilization'' : voir un résumé de l'utilisation de la TCAM |
| * ''show environment connector'' affiche un ersatz de la commande ci-dessus, mais sur des petits modèles | * ''show environment connector'' affiche un ersatz de la commande ci-dessus, mais sur des petits modèles |
| * ''show environment temperature all'' affiche toutes les sondes de températures du châssis 6500 | * ''show environment temperature all'' affiche toutes les sondes de températures du châssis 6500 |
| |
| On peut utiliser la commande ''ping <ip>'' ; on peut aussi faire un **ping étendu** en tapant juste ''ping'' et en répondant aux questions qui s'affichent (notamment pinguer à partir d'une autre IP que celle d'administration (par défaut)). | On peut utiliser la commande ''ping <ip>'' ; on peut aussi faire un **ping étendu** en tapant juste ''ping'' et en répondant aux questions qui s'affichent (notamment pinguer à partir d'une autre IP que celle d'administration (par défaut)). |
| <code> | <code bash> |
| router#ping | router#ping |
| Protocol [ip]: | Protocol [ip]: |
| ... ou directement en spécifiant l'interface source : | ... ou directement en spécifiant l'interface source : |
| <code>ping 1.2.3.4 source Gi0/0.3</code> | <code>ping 1.2.3.4 source Gi0/0.3</code> |
| | |
| | ====Telnet==== |
| | |
| | <code bash> |
| | telnet 192.168.103.24 8000 /source-interface vlan8 |
| | </code> |
| |
| ====Historique==== | ====Historique==== |
| |
| ====Régler l'heure==== | ====Régler l'heure==== |
| Pour ajuster l'heure du Switch, on utilise la commande ''clock set''. Cependant vu le niveau de criticité des équipements réseau il est conseillé d'utiliser le protocole NTP qui permet une mise à l'heure automatique et très précise. | Pour ajuster l'heure du Switch, on utilise la commande ''clock set'' (en mode enable), par exemple : |
| | <code bash> |
| | clock set 14:03:40 12 february 2016 |
| | </code> |
| | |
| | Cependant vu le niveau de criticité des équipements réseau, il est fortement conseillé d'utiliser le protocole NTP qui permet une mise à l'heure automatique et très précise : en mode config : |
| | <code bash> |
| | # configuration de la zone de temps (Paris, UTC+1) : |
| | clock timezone UTC 1 |
| | |
| | ntp server 10.0.0.1 prefer |
| | ntp server 10.0.0.2 |
| | |
| | # vérifications |
| | show ntp status |
| | show ntp associations |
| | </code> |
| | source : [[http://www.cisco.com/c/en/us/td/docs/ios/12_2/configfun/command/reference/ffun_r/frf012.html#wp1018092|cisco]] |
| |
| ====Commandes en vrac==== | ====Commandes en vrac==== |
| Le flex links est configuré sur l'interface qui sera active en lui attribuant une interface backup : | Le flex links est configuré sur l'interface qui sera active en lui attribuant une interface backup : |
| |
| interface Port-channel1 | <code bash> |
| backup interface Port-channel2 | interface Port-channel1 |
| | backup interface Port-channel2 |
| |
| show interfaces description | show interfaces description |
| Interface Status Protocol Description | Interface Status Protocol Description |
| Po1 up up Po actif | Po1 up up Po actif |
| Po2 standby mode down Po standby | Po2 standby mode down Po standby |
| | ! NB : il se peut que l'interface backup soit "up" |
| | |
| | show interfaces switchport backup detail |
| | Switch Backup Interface Pairs: |
| | |
| | Active Interface Backup Interface State |
| | ------------------------------------------------------------------------ |
| | |
| | GigabitEthernet0/11 GigabitEthernet0/12 Active Up/Backup Standby |
| | </code> |
| |
| Pour activer la préemption : | Pour activer la préemption : |
| |
| switchport backup interface po2 preemption mode bandwidth | <code bash> |
| switchport backup interface po2 preemption delay 60 | switchport backup interface po2 preemption mode bandwidth |
| | switchport backup interface po2 preemption delay 60 |
| | </code> |
| |
| Liens : | Liens : |
| source : [[http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/44sg/configuration/guide/swipsla.html|cisco.com]] | source : [[http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/44sg/configuration/guide/swipsla.html|cisco.com]] |
| |
| | ====Forwarding / routing==== |
| | |
| | Le **forwarding** c'est routage effectif des paquets. Tous les routeurs le font par défaut.\\ |
| | Le **routing** implique construction de tables de routage ; un routeur IP fait toujours du forwarding ; mais s'il n'a pas de routage dynamique (OSPF, EIGRP) il ne fait pas de routing. |
| | |
| | ====Changer d'adresse MAC==== |
| | |
| | Sur les châssis Catalyst, qui font du routage et de la commutation, les SVIs utilisent toutes la même adresse MAC. Normalement cela ne pose pas de problème pour les commutateurs intermédiaires car ces adresses sont vues dans des VLANs différents. En revanche si on utilise des technologies bizarres comme du QinQ, qui consiste à encapsuler des VLANs dans un autre, cela peut poser des problèmes d'adresse MAC //duplicate// ou //flapping// : |
| | <code bash> |
| | Feb 28 13:49:17 switch1 425287: Feb 28 13:49:16: %SW_MATM-4-MACFLAP_NOTIF: Host 0023.eaXX.XXX0 in vlan 873 is flapping between port Po1 and port Te2/0/1 |
| | </code> |
| | |
| | Bref, la solution est d'identifier la machine à qui appartient cette adresse MAC : |
| | <code bash> |
| | router1#sh int vlan 724 | i address |
| | Hardware is EtherSVI, address is 0023.eaXX.XXX0 (bia 0023.eaXX.XXX0) |
| | ! |
| | router1#sh int vlan 725 | i address |
| | Hardware is EtherSVI, address is 0023.eaXX.XXX0 (bia 0023.eaXX.XXX0) |
| | </code> |
| | |
| | Puis de trouver une adresse MAC libre (par exemple lister la plage d'adresses MAC réservées au châssis (dans notre cas un c6500)) : |
| | <code bash> |
| | router1#show catalyst6000 chassis-mac-addresses |
| | chassis MAC addresses: 1024 addresses from 0023.eaXX.XXX0 to 0023.eaXX.XXXf |
| | </code> |
| | |
| | On voit que l’adresse MAC attribuée par défaut à toute les SVIs est la première de la plage. Il faut donc en prendre d'autre non utilisées : |
| | <code bash> |
| | interface vlan724 |
| | mac-address 0023.eaXX.XXX1 |
| | ! |
| | interface vlan725 |
| | mac-address 0023.eaXX.XXX2 |
| | ! |
| | ! etc... |
| | </code> |
| =====Notes===== | =====Notes===== |
| |
| 802.3u = 100BASE-TX | 802.3u = 100BASE-TX |
| |
| | =====Troubleshot===== |
| | |
| | * [[http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008072c406.shtml#sup_sub_5|Catalyst 6000/6500 System Crashes Troubleshooting]] |
| | * [[http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a00804916e0.shtml|Catalyst 6500/6000 Switch High CPU Utilization]] |
| =====Liens===== | =====Liens===== |
| |
| * http://packetlife.net/ | * http://packetlife.net/ |
| * http://www.nemako.net/ | * http://www.nemako.net/ |
| | * http://www.iplogos.fr/diagnostic-ladjacence-ospf-ne-monte-pas/ |
| |
