GUIDE D'ADMINISTRATION Guide d'administration du commutateur administrable empilable Cisco série 500 Version 1.3.
Table des matières Table des matières Chapitre 1 : Mise en route 1 Démarrage de l'utilitaire Web de configuration 1 Configuration de l'appareil - Démarrage rapide 5 Conventions de nommage de l'interface 6 Différences entre les périphériques 500 7 Navigation dans les fenêtres 8 Chapitre 2 : État et statistiques 12 Récapitulatif système 12 Affichage des interfaces Ethernet 12 Affichage des statistiques Etherlike 14 Affichage des statistiques GVRP 15 Affichage des statistiques EAP 802.
Table des matières Image active 43 Télécharger/sauvegarder configuration/journal 44 Propriétés des fichiers de configuration 51 Copier/enregistrer la configuration 52 Configuration automatique via DHCP 53 Chapitre 5 : Administration : Gestion des piles 60 Vue d'ensemble 60 Types d'unités dans une pile 62 Topologie de la pile 63 Affectation d'ID d'unité 65 Processus de sélection de l'unité principale 67 Modification apportée à la pile 68 Échec d'unité dans la pile 70 Synchronisatio
Table des matières Paramètres de l'heure 95 Journal système 95 Gestion de fichiers 95 Redémarrage du périphérique 95 Ressources de routage 97 Intégrité 100 Diagnostic 102 Détection - Bonjour 102 Détection - LLDP 102 Détection - CDP 102 Ping 102 Traceroute 104 Chapitre 7 : Administration : Paramètres horaires 106 Options d'heure système 107 Modes SNTP 108 Configuration de l'heure système 109 Chapitre 8 : Administration : Diagnostic 120 Test des ports cuivre 120 Affichage
Table des matières Chapitre 10 : Gestion des ports 162 Configuration des ports 162 Définition de la configuration des ports 163 Agrégation de liaisons 168 UDLD 176 PoE 176 Configuration de Green Ethernet 177 Chapitre 11 : Gestion des ports : Unidirectional Link Detection 186 Vue d'ensemble de la fonction UDLD 186 Fonctionnement de UDLD 187 Instructions d'utilisation 190 Dépendances envers les autres fonctions 191 Configuration et paramètres par défaut 191 Avant de commencer 191
Table des matières Configuration de port intelligent à l'aide de l'interface Web 212 Macros Port intelligent intégrées 218 Chapitre 13 : Gestion des ports : fonctionnalité PoE 230 PoE sur l'appareil 230 Configuration des propriétés PoE 233 Configuration des paramètres de la fonctionnalité PoE 235 Chapitre 14 : Gestion des VLAN 238 VLAN 238 Configuration des paramètres VLAN par défaut 241 Création d'un VLAN 243 Configuration des paramètres d'interface VLAN 244 Définition de l'appartena
Table des matières Chapitre 16 : Gestion des tables d'adresses MAC 291 Configuration d'adresses MAC statiques 292 Gestion des adresses MAC dynamiques 293 Définition d'adresses MAC réservées 294 Chapitre 17 : Multidiffusion 295 Transfert de multidiffusion 295 Définition des propriétés de multidiffusion 299 Ajout d'une adresse MAC de groupe 300 Ajout d'adresses IP de groupe de multidiffusion 303 Configuration de la surveillance de trafic IGMP 304 Surveillance MLD 308 Interrogation du gr
Table des matières Chapitre 20 : Configuration IP : VRRP 398 Vue d'ensemble 398 Éléments configurables de VRRP 401 Configuration de VRRP 405 Chapitre 21 : Sécurité 409 Définition d'utilisateurs 410 Configuration de TACACS+ 414 Configuration de RADIUS 419 Gestion de la clé 424 Méthode d'accès de gestion 427 Authentification de l'accès de gestion 433 Gestion sécurisée des données confidentielles 434 Serveur SSL 435 Serveur SSH 437 Client SSH 438 Configuration des services TCP/UD
Table des matières Configuration de 802.
Table des matières Pages de configuration du serveur SSH 538 Chapitre 26 : Sécurité : Gestion sécurisée des données confidentielles 541 Introduction 541 Règles SSD 542 Propriétés SSD 548 Fichiers de configuration 551 Canaux de gestion SSD 557 Interface de ligne de commande (CLI) et récupération du mot de passe 558 Configuration de SSD 558 Chapitre 27 : Contrôle d'accès 562 Listes de contrôle d'accès 562 Définition d'ACL basées sur MAC 565 ACL basées sur IPv4 567 ACL basées sur IPv
Table des matières Création de groupes SNMP 622 Création d'utilisateurs SNMP 624 Définition de communautés SNMP 626 Définition de paramètres d'interceptions 629 Destinataires de notifications 629 Filtres de notification SNMP 634 Guide d'administration du commutateur administrable empilable Cisco série 500 10
1 Mise en route Cette section offre une introduction à l'utilitaire de configuration Web et inclut les rubriques suivantes : • Démarrage de l'utilitaire Web de configuration • Configuration de l'appareil - Démarrage rapide • Conventions de nommage de l'interface • Différences entre les périphériques 500 • Navigation dans les fenêtres Démarrage de l'utilitaire Web de configuration Cette section explique comment naviguer dans l'utilitaire Web de configuration du commutateur.
Mise en route Démarrage de l'utilitaire Web de configuration 1 Lancement de l'utilitaire de configuration Pour lancer l'utilitaire de configuration Web : ÉTAPE 1 Ouvrez un navigateur Web. ÉTAPE 2 Saisissez l'adresse IP du périphérique que vous configurez dans la barre d'adresse du navigateur, puis appuyez sur Entrée. REMARQUE Lorsque le périphérique utilise l'adresse IP par défaut 192.168.1.254, sa DEL d'alimentation clignote de façon continue.
1 Mise en route Démarrage de l'utilitaire Web de configuration ÉTAPE 2 Si vous n'utilisez pas l'anglais, sélectionnez la langue souhaitée dans le menu déroulant Langue. Pour ajouter une nouvelle langue au périphérique ou mettre à jour une langue existante, reportez-vous à la section Mettre à niveau/sauvegarder micrologiciel/langue.
Mise en route Démarrage de l'utilitaire Web de configuration 1 Expiration du mot de passe La page Nouveau mot de passe s'affiche : • La première fois que vous accédez au périphérique avec le nom d'utilisateur cisco et le mot de passe cisco par défaut, cette page vous oblige à remplacer le mot de passe par défaut. • Lorsque le mot de passe expire, cette page vous oblige à sélectionner un nouveau mot de passe. Déconnexion L'application se déconnecte par défaut au bout de dix minutes d'inactivité.
1 Mise en route Configuration de l'appareil - Démarrage rapide Pour vous déconnecter, cliquez sur Se déconnecter en haut à droite de n'importe quelle page. Le système se déconnecte du périphérique. En cas d'expiration du délai ou si vous vous déconnectez intentionnellement du système, un message apparaît et la page Connexion signalant l'état de déconnexion s'ouvre. Une fois que vous vous êtes connecté, l'application retourne à la page initiale.
1 Mise en route Conventions de nommage de l'interface Catégorie Nom du lien (sur la page) Page correspondante Accès rapide Modifier le mot de passe de l'appareil Page Comptes d'utilisateur Mettre à niveau le logiciel de l'appareil Page Mettre à niveau/ sauvegarder micrologiciel/ langue Configuration de sauvegarde de l'appareil Page Télécharger/ sauvegarder configuration/ journal Créer une ACL basée sur MAC Page ACL basée sur MAC Créer une ACL basée sur IP Page ACL basée sur IPv4 Configurer l
1 Mise en route Différences entre les périphériques 500 - VLAN : celles-ci sont désignées par VLAN. - Tunnel : celles-ci sont désignées par Tunnel. • Numéro d'unité : numéro de l'unité dans la pile. En mode autonome, le numéro est toujours1. • Numéro de logement : le numéro de logement est 1 ou 2. • Numéro d'interface : ID du port, LAG, tunnel ou VLAN Différences entre les périphériques 500 Ce guide concerne les périphériques Sx500, SG500X, SG500XG et ESW2-550X.
1 Mise en route Navigation dans les fenêtres Navigation dans les fenêtres Cette section décrit les fonctions de l'utilitaire Web de configuration du commutateur. En-tête d'application L'en-tête d'application s'affiche sur toutes les pages.
1 Mise en route Navigation dans les fenêtres Nom du lien d'application Description Menu Langue Ce menu comprend les options suivantes : • Sélectionner une langue : choisissez une des langues qui apparaît dans le menu. Il s'agira de la langue utilisée par l'utilitaire de configuration Web. • Télécharger une langue : ajoute une nouvelle langue au périphérique. • Supprimer une langue : supprime la deuxième langue du périphérique. La première langue (anglais) ne peut pas être supprimée.
1 Mise en route Navigation dans les fenêtres Boutons de gestion Le tableau suivant décrit les boutons couramment utilisés qui s'affichent sur différentes pages du système. Nom du bouton Description Servez-vous du menu déroulant pour configurer le nombre d'entrées par page. Indique un champ obligatoire. Ajout Cliquez sur ce bouton pour afficher la page Ajouter correspondante et ajouter une entrée à une table.
1 Mise en route Navigation dans les fenêtres Nom du bouton Description Effacer les journaux Efface les fichiers journaux. Effacer la table Efface les entrées de la table. Fermer Permet de revenir à la page principale. Un message s'affiche si des modifications n'ont pas été appliquées à la Configuration d'exécution. Copier les paramètres Une table comporte généralement une ou plusieurs entrées contenant des paramètres de configuration.
2 État et statistiques Cette section décrit comment afficher les statistiques du périphérique. Elle couvre les rubriques suivantes : • Récapitulatif système • Affichage des interfaces Ethernet • Affichage des statistiques Etherlike • Affichage des statistiques GVRP • Affichage des statistiques EAP 802.1X • Affichage du taux d'utilisation TCAM • Intégrité • Gestion du contrôle à distance (RMON) • Afficher le journal Récapitulatif système Reportez-vous à la section Paramètres système.
2 État et statistiques Affichage des interfaces Ethernet Pour afficher les statistiques Ethernet et/ou définir la fréquence d'actualisation : ÉTAPE 1 Cliquez sur État et statistiques > Interface. ÉTAPE 2 Saisissez les paramètres. • Interface : sélectionnez le type d'interface et l'interface spécifique pour laquelle les statistiques Ethernet doivent être affichées. • Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation des statistiques Ethernet de l'interface.
2 État et statistiques Affichage des statistiques Etherlike Pour effacer ou afficher les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs de l'interface affichée. • Cliquez sur Voir les statistiques de toutes les interfaces pour visualiser l'ensemble des ports sur une seule et même page. Affichage des statistiques Etherlike La page Etherlike affiche les statistiques par port sur la base de la définition standard MIB Etherlike.
2 État et statistiques Affichage des statistiques GVRP • Erreurs de réception MAC internes : trames rejetées en raison d'erreurs de destination. • Trames de pause reçues : trames de pause de contrôle de flux reçues. • Trames de pause transmises : trames de pause de contrôle de flux transmises à partir de l'interface sélectionnée. Pour effacer les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs sélectionnés.
État et statistiques Affichage des statistiques EAP 802.1X 2 • Vide : nombre de paquets Vide GVRP reçus/transmis. • Sortie (vide) : nombre de paquets Sortie (vide) GVRP reçus/transmis. • Connexion : nombre de paquets Connexion GVRP reçus/transmis. • Sortie : nombre de paquets Sortie GVRP reçus/transmis. • Sortie (tous) : nombre de paquets Sortie (tous) GVRP reçus/transmis. La section Statistiques d'erreurs GVRP affiche les compteurs d'erreurs GVRP.
2 État et statistiques Affichage des statistiques EAP 802.1X Les valeurs sont affichées pour l'interface sélectionnée. • Trames EAPOL reçues : trames EAPOL valides reçues sur le port. • Trames EAPOL transmises : trames EAPOL valides transmises par le port. • Trames EAPOL de début reçues : affiche le nombre de trames EAPOL de début qui ont été reçues sur le port. • Trames EAPOL de déconnexion reçues : affiche le nombre de trames EAPOL de déconnexion qui ont été reçues sur le port.
2 État et statistiques Affichage du taux d'utilisation TCAM Affichage du taux d'utilisation TCAM L'architecture du périphérique utilise une mémoire TCAM (Ternary Content Addressable Memory) pour prendre en charge les actions des paquets à vitesse filaire. La mémoire TCAM contient les règles produites par d'autres applications, telles que les règles ACL (Access Control Lists, listes de contrôle d'accès), les règles QoS (Qualité de service), les règles de routage IP et les règles créées par l'utilisateur.
2 État et statistiques Intégrité • Règles non-IP - Utilisée : nombre d'entrées TCAM utilisées pour les règles non IP. - Maximum : nombre d'entrées TCAM disponibles pour une utilisation par les règles non IP. Pour savoir comment modifier l'attribution en fonction des divers processus (pour la série 500), reportez-vous à la section Ressources du routeur. Intégrité Reportez-vous à la section Intégrité.
État et statistiques Gestion du contrôle à distance (RMON) 2 Affichage des statistiques RMON La page Statistiques affiche des informations détaillées sur la taille des paquets, ainsi que des informations sur les erreurs de couche physique. Les informations affichées sont conformes à la norme RMON. Un paquet surdimensionné est défini en tant que trame Ethernet avec les critères suivants : • La longueur du paquet est supérieure à la taille en octets MRU. • Un événement de collision n'a pas été détecté.
2 État et statistiques Gestion du contrôle à distance (RMON) • Paquets de taille excessive : nombre de paquets de taille excessive (plus de 2 000 octets) reçus. • Fragments : nombre de fragments (paquets de moins de 64 octets, à l'exception des bits de synchronisation, mais incluant les octets FCS) reçus. • Jabbers : nombre total de paquets reçus ayant une longueur supérieure à 1 632 octets.
État et statistiques Gestion du contrôle à distance (RMON) 2 Configuration de l'historique RMON La fonction RMON vous permet de contrôler les statistiques de chaque interface. Vous pouvez configurer la fréquence d'échantillonnage, la quantité d'échantillons à stocker, ainsi que le port à partir duquel recueillir les données via la page Table de contrôle de l'historique.
2 État et statistiques Gestion du contrôle à distance (RMON) ÉTAPE 5 Cliquez sur Table d'historique pour afficher les statistiques réelles. Affichage de la table d'historique RMON La page Table d'historique affiche les échantillonnages réseau statistiques propres à l'interface. Les échantillons ont été configurés dans la table de contrôle de l'historique décrite ci-dessus. Pour afficher les statistiques de l'historique RMON : ÉTAPE 1 Cliquez sur État et statistiques > RMON > Historique.
État et statistiques Gestion du contrôle à distance (RMON) 2 • Paquets de taille excessive : paquets de taille excessive (plus de 2 000 octets) reçus. • Fragments : fragments (paquets de moins de 64 octets) reçus, à l'exception des bits de synchronisation, mais incluant les octets FCS. • Jabbers : nombre total de paquets reçus dont la taille dépassait 2 000 octets.
2 État et statistiques Gestion du contrôle à distance (RMON) • Communauté : saisissez la chaîne de communauté SNMP à inclure lors de l'envoi d'interceptions (facultatif). Veuillez noter que la communauté doit être définie à l'aide des pages Définition de destinataires de notifications SNMPv1,2 ou Définition de destinataires de notification SNMPv3 pour que l'interception atteigne la station de gestion du réseau. • Description : saisissez un nom pour l'événement.
État et statistiques Gestion du contrôle à distance (RMON) 2 Affichage des journaux d'événements RMON La page Table du journal d'événements affiche le journal des événements (actions) qui se sont produits. Deux types d'événements peuvent être journalisés : Journal ou Journal et interception. L'action de l'événement est réalisée lorsque l'événement est associé à une alarme (reportez-vous à la page Alarmes) et que les conditions de déclenchement de l'alarme sont remplies.
2 État et statistiques Gestion du contrôle à distance (RMON) Pour entrer des alarmes RMON : ÉTAPE 1 Cliquez sur État et statistiques > RMON > Alarmes. Toutes les alarmes définies précédemment sont affichées. Les champs sont décrits dans la page Ajouter une alarme RMON ci-dessous. En plus de ces champs, le champ suivant apparaît : • Valeur du compteur : affiche la valeur de la statistique lors de la dernière période d'échantillonnage. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les paramètres.
2 État et statistiques Afficher le journal - Hausse et baisse : des valeurs en hausse et en baisse déclenchent l'alarme. • Intervalle : saisissez l'intervalle (en secondes) entre les alarmes. • Propriétaire : saisissez le nom de l'utilisateur ou du système de gestion du réseau qui reçoit l'alarme. ÉTAPE 4 Cliquez sur Appliquer. L'alarme RMON est consignée dans le fichier de Configuration d'exécution. Afficher le journal Reportez-vous à la section Affichage des journaux de la mémoire.
3 Administration : Journal système Cette section décrit la fonction Journal système, qui permet à l'appareil de générer plusieurs journaux indépendants. Chaque journal correspond à un ensemble de messages décrivant les événements système. L'appareil génère les journaux locaux suivants : • Journal envoyé à l'interface de la console • Journal enregistré dans une liste cyclique d'événements journalisés dans la mémoire RAM et effacé au redémarrage de l'appareil.
Administration : Journal système Définition des paramètres de journalisation système 3 Les niveaux de sévérité des événements sont répertoriés du niveau le plus élevé au plus faible, comme suit : • Urgence : le système n'est pas utilisable. • Alerte : une action est requise. • Critique : le système est dans un état critique. • Erreur : le système subit une condition d'erreur. • Avertissement : un avertissement système a été généré.
3 Administration : Journal système Définition des paramètres de journalisation distante • Temps d'agrégation max. : saisissez la période pendant laquelle les messages SYSLOG sont agrégés. • Identifiant d'initiateur : permet d'ajouter un identifiant d'origine aux messages SYSLOG. Les options sont les suivantes : - Aucun : aucun identifiant d'origine n'est ajouté aux messages SYSLOG. - Nom d'hôte : le nom d'hôte système est ajouté aux messages SYSLOG.
Administration : Journal système Définition des paramètres de journalisation distante • 3 Interface source IPv6 : sélectionnez l'interface source dont l'adresse IPv6 sera utilisée comme adresse IPv6 source des messages SYSLOG envoyés aux serveurs SYSLOG. REMARQUE : si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. ÉTAPE 3 Cliquez sur Ajouter. ÉTAPE 4 Saisissez les paramètres.
3 Administration : Journal système Affichage des journaux de la mémoire ÉTAPE 5 Cliquez sur Appliquer. La page Ajouter serveur de journalisation distant se ferme ; le serveur SYSLOG est ajouté et le fichier de Configuration d'exécution est mis à jour.
Administration : Journal système Affichage des journaux de la mémoire 3 Mémoire Flash La page Mémoire Flash affiche, dans l'ordre chronologique, les messages enregistrés dans la mémoire Flash. Le niveau de gravité minimal de la journalisation peut être configuré sur la page Paramètres des journaux. Les journaux de la mémoire Flash sont conservés au redémarrage du commutateur. Vous pouvez effacer les journaux manuellement.
4 Administration : Gestion de fichiers Cette section se concentre sur la gestion des fichiers système.
Administration : Gestion de fichiers Fichiers système 4 Les fichiers de configuration de l'appareil sont définis en fonction de leur type et comportent les réglages et valeurs de paramètre de l'appareil. Lorsqu'une configuration est référencée sur l'appareil, cette opération s'effectue en fonction de son type de fichier de configuration (par exemple, Configuration de démarrage ou Configuration d'exécution) et non en fonction d'un nom de fichier modifiable par l'utilisateur.
4 Administration : Gestion de fichiers Fichiers système - aucune modification n'a été apportée à la Configuration d'exécution au cours des dernières 24 heures ; - la Configuration de démarrage est identique à la Configuration d'exécution. Seul le système peut copier la Configuration de démarrage sur la Configuration miroir. Vous pouvez toutefois copier la Configuration miroir vers d'autres types de fichiers ou sur un autre appareil.
Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue 4 • Enregistrer les fichiers de configuration de l'appareil dans un répertoire situé sur un autre appareil, comme décrit à la section Télécharger/ sauvegarder configuration/journal • Effacer les types de fichiers de Configuration de démarrage ou de Configuration de sauvegarde, comme décrit dans la section Propriétés des fichiers de configuration • Copier un type de fichier de configuration dans un autre type de fich
4 Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue Lorsqu'un nouveau fichier de langue est chargé sur l'appareil, la langue y correspondant peut être sélectionnée dans le menu déroulant. Notez que redémarrer l'appareil n'est pas nécessaire. Le nouveau fichier de langue sélectionné est automatiquement copié sur tous les appareils de la pile. Toutes les images logicielles de la pile doivent être identiques pour garantir le bon fonctionnement de la pile.
Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue 4 Mise à niveau et sauvegarde des fichiers de micrologiciel ou de langue Pour télécharger ou sauvegarder une image logicielle ou un fichier de langue : ÉTAPE 1 Cliquez sur Administration > Gestion de fichiers > Mettre à niveau/sauvegarder micrologiciel/langue. ÉTAPE 2 Cliquez sur la Méthode de transfert. Procédez comme suit : • Si vous avez sélectionné TFTP, passez à l'ÉTAPE 3.
4 Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée). • Adresse IP/Nom serveur TFTP : saisissez l'adresse IP ou le nom de domaine du serveur TFTP.
Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue 4 Authentification du client SSH : l'authentification du client peut être effectuée de l'une des manières suivantes : • Utiliser les informations d'identification système du client SSH : définit les informations d'identification permanentes de l'utilisateur SSH.
4 Administration : Gestion de fichiers Image active - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste de liaison locale. • Adresse IP/Nom serveur SCP : saisissez l'adresse IP ou le nom de domaine du serveur SCP. • (Pour une mise à niveau) Nom du fichier source : saisissez le nom du fichier source.
Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal 4 • Image active après redémarrage : affiche l'image active après le redémarrage. • Numéro de version de l'image active après redémarrage : affiche la version du micrologiciel de l'image active utilisée après redémarrage. ÉTAPE 2 Sélectionnez l'image dans le menu Image active après redémarrage pour identifier l'image du micrologiciel à utiliser en tant qu'image active une fois l'appareil redémarré.
4 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal Compatibilité descendante du fichier de configuration Lors de la restauration des fichiers de configuration depuis un périphérique externe vers l'appareil, les problèmes de compatibilité suivants sont susceptibles de se présenter : • Modification du mode de files d'attente de 4 à 8 : les options de configuration des files d'attente doivent être examinées et ajustées de sorte à répondre aux objectifs QoS du nouveau mode d
Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal 4 Téléchargement ou sauvegarde d'un fichier de configuration ou d'un journal Pour sauvegarder ou restaurer le fichier de configuration système : ÉTAPE 1 Cliquez sur Administration > Gestion de fichiers > Télécharger/sauvegarder configuration/journal. ÉTAPE 2 Sélectionnez la Méthode de transfert. ÉTAPE 3 Si vous avez sélectionné via TFTP, saisissez les paramètres. Sinon, passez à l'ÉTAPE 4.
4 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal g. Type du fichier de destination : saisissez le type du fichier de configuration de destination. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) Mode d'enregistrement Sauvegarder : spécifie qu'un type de fichier doit être copié vers un fichier situé sur un autre appareil. Renseignez les champs suivants : a.
Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal 4 REMARQUE : les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD. h. Nom du fichier de destination : saisissez le nom du fichier de destination.
4 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal REMARQUE : les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD. c. Cliquez sur Appliquer. Le fichier est mis à niveau ou sauvegardé.
Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal 4 existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste de liaison locale. • Adresse IP/Nom serveur SCP : saisissez l'adresse IP ou le nom de domaine du serveur SCP.
4 Administration : Gestion de fichiers Propriétés des fichiers de configuration ÉTAPE 6 Cliquez sur Appliquer. Le fichier est mis à niveau ou sauvegardé. Propriétés des fichiers de configuration La page Propriétés des fichiers de configuration vous permet de savoir quand les différents fichiers de configuration du système ont été créés. Elle permet également de supprimer les fichiers de Configuration de démarrage et de Configuration de secours.
Administration : Gestion de fichiers Copier/enregistrer la configuration 4 Copier/enregistrer la configuration Lorsque vous cliquez sur Appliquer dans une quelconque fenêtre, les modifications que vous avez apportées aux paramètres de configuration de l'appareil sont stockées uniquement dans la Configuration d'exécution. Pour conserver les paramètres de la Configuration d'exécution, celle-ci doit être copiée sur un autre type de configuration ou enregistrée sur un autre appareil.
4 Administration : Gestion de fichiers Configuration automatique via DHCP - Chiffré : inclure les données sensibles dans la sauvegarde, mais en les cryptant. - Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte en clair. REMARQUE : les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD.
Administration : Gestion de fichiers Configuration automatique via DHCP 4 La configuration automatique via DHCPv4 se déclenche dans les cas suivants : • Après redémarrage quand une adresse IP est allouée ou renouvelée dynamiquement (via DHCPv4). • Lors d'une demande explicite de renouvellement DHCPv4 et si l'appareil et le serveur sont configurés pour agir ainsi. • Lors du renouvellement automatique du bail DHCPv4.
4 Administration : Gestion de fichiers Configuration automatique via DHCP Protocole de téléchargement de la configuration automatique (TFTP ou SCP) Le protocole de téléchargement de la configuration automatique peut être configuré comme suit : • Automatique par extension de fichier (option par défaut) : lorsque vous sélectionnez cette option, l'extension de fichier définie par l'utilisateur indique que les fichiers présentant cette extension doivent être téléchargés à l'aide du protocole SCP (sur SSH) ta
Administration : Gestion de fichiers Configuration automatique via DHCP 4 Processus de configuration automatique Lorsque le processus de configuration automatique est déclenché, la séquence suivante d'événements se produit : • Le serveur DHCP est sollicité pour permettre l'acquisition du nom/de l'adresse du serveur TFTP/SCP ainsi que du nom/du chemin du fichier de configuration (options DHCPv4 : 66,150 et 67, options DHCPv6 : 59 et 60).
4 Administration : Gestion de fichiers Configuration automatique via DHCP Si le processus d'authentification du serveur SSH est activé et si le serveur SSH ne figure pas dans la liste des serveurs SSH sécurisés, le processus de configuration automatique est interrompu. • Si cette information est en revanche disponible, le serveur TFTP/SCP est sollicité et le téIéchargement du fichier s'effectue à partir de ce serveur.
Administration : Gestion de fichiers Configuration automatique via DHCP 4 Notez les considérations suivantes se rapportant au processus de configuration automatique DHCP : • Un fichier de configuration placé sur le serveur TFTP/SCP doit correspondre aux exigences en termes de forme et de format du fichier de configuration pris en charge.
4 Administration : Gestion de fichiers Configuration automatique via DHCP • Paramètres SSH pour SCP : lorsque vous utilisez le protocole SCP pour télécharger les fichiers de configuration, sélectionnez l'une des options suivantes : - Authentification du serveur SSH distant : cliquez sur le lien Activer/ désactiver pour accéder à la page Authentification du serveur SSH.
5 Administration : Gestion des piles Cette section décrit la façon dont les piles sont gérées.
5 Administration : Gestion des piles Vue d'ensemble La pile est basée sur un modèle d'unité principale/de secours unique et de plusieurs unités asservies. L'exemple ci-dessous illustre une pile de huit périphériques connectés : Architecture de pile (topologie en chaîne) Une pile offre les avantages suivants : 61 • La capacité du réseau peut être dynamiquement augmentée ou diminuée.
Administration : Gestion des piles Types d'unités dans une pile 5 Types d'unités dans une pile Une pile comporte huit unités maximum. Une unité de pile peut avoir l'un des types suivants : • Principale : l'ID de l'unité principale doit être 1 ou 2. La pile est gérée par l'intermédiaire de l'unité principale qui, elle-même, gère l'unité de secours et les unités asservies. • Secours : en cas d'échec de l'unité principale, c'est l'unité de secours qui endosse le rôle de l'unité principale (basculement).
5 Administration : Gestion des piles Topologie de la pile DEL d'unité Les périphériques sont pourvus de quatre DEL, numérotées de 1 à 4, lesquelles sont utilisées pour indiquer l'ID de chaque unité (p. ex., sur l'unité ayant pour ID 1, la DEL 1 est allumée et les trois autres DEL sont éteintes).
Administration : Gestion des piles Topologie de la pile 5 Pile dans une topologie en anneau Une topologie en anneau est plus fiable qu'une topologie en chaîne. L'échec d'une liaison dans un anneau n'affecte pas le fonctionnement de la pile, alors que l'échec d'une liaison dans une connexion en chaîne peut entraîner la division de la pile. Détection de la topologie Une pile est établie par un processus appelé la détection de la topologie.
5 Administration : Gestion des piles Affectation d'ID d'unité Affectation d'ID d'unité Lorsque la détection de la topologie est terminée, chaque unité présente dans une pile se voit affecter un ID d'unité unique. Pour définir l'ID d'unité sur la page Mode du système et gestion des piles, vous pouvez recourir à l'une ou l'autre des méthodes ci-dessous : • Automatiquement (Auto) : l'ID d'unité est affecté par le processus de détection de la topologie. Il s’agit du paramètre par défaut.
Administration : Gestion des piles Affectation d'ID d'unité 5 Unité dupliquée fermée L'illustration suivante présente un exemple dans lequel une des unités dupliquées (numérotées automatiquement) est renumérotée. Unité dupliquée renumérotée L'illustration suivante présente un exemple dans lequel une des unités dupliquées est renumérotée.
5 Administration : Gestion des piles Processus de sélection de l'unité principale Duplication entre deux unités avec ID d'unité numéroté automatiquement REMARQUE Si une nouvelle pile comporte plus d'unités que le nombre d'unités maximal (8), toutes les unités supplémentaires sont fermées. Processus de sélection de l'unité principale L'unité principale est sélectionnée parmi les unités définies comme unités principales (1 ou 2).
Administration : Gestion des piles Modification apportée à la pile 5 REMARQUE Pour qu'une pile fonctionne, elle doit comporter une unité principale. Une unité principale peut être définie comme l'unité active qui prend le rôle principal. La pile doit contenir une unité1 et/ou une unité 2 après le processus de sélection de l'unité principale.
5 Administration : Gestion des piles Modification apportée à la pile • Il existe un ou plusieurs ID d'unité dupliqués. La numérotation automatique résout les conflits et affecte des ID d'unité. En cas de numérotation manuelle, seule une unité conserve son ID d'unité et les autres sont fermées. • Le nombre d'unités dans la pile dépasse le nombre maximal d'unités autorisé. Les nouvelles unités qui viennent de rejoindre la pile sont fermées et un message SYSLOG s'affiche sur l'unité principale.
Administration : Gestion des piles Échec d'unité dans la pile 5 L'illustration suivante indique ce qui se passe lorsqu'une unité définie comme unité principale, affectée par l'utilisateur et portant l'ID d'unité1 intègre une pile qui comporte déjà une unité principale dont l'ID d'unité1 a été affecté par l'utilisateur. La nouvelle unité1 n'intègre pas la pile et cette unité est fermée.
5 Administration : Gestion des piles Échec d'unité dans la pile Si une unité est insérée dans une pile en cours d'exécution et qu'elle est sélectionnée en tant qu'unité de secours, l'unité principale procède à sa synchronisation pour qu'elle dispose d'une configuration à jour, puis génère un message SYSLOG pour signaler la fin du processus de synchronisation. Ce message SYSLOG est unique en son genre et s'affiche uniquement en cas de convergence entre l'unité de secours et l'unité principale.
Administration : Gestion des piles Synchronisation automatique du logiciel dans la pile 5 REMARQUE : l'inondation de paquets vers les adresses MAC de monodiffusion inconnues se produit tant que les adresses MAC ne sont pas apprises ou réapprises. Reconnexion de l'unité principale d'origine après le basculement Après le basculement, si l'unité d'origine est de nouveau connectée, le processus de sélection de l'unité principale est mis en œuvre.
5 Administration : Gestion des piles Mode de l'unité de pile • Pile hybride de base : un périphérique fonctionnant en mode Pile hybride de base de l'unité de pile peut être connecté à des périphériques Sx500 et SG500X/ESW2-550X pour former une pile. L'absence de prise en charge des technologies VRRP et RIP constitue l'unique restriction (raison pour laquelle ce mode se nomme Pile hybride de base par opposition au mode Pile hybride avancée).
5 Administration : Gestion des piles Mode de l'unité de pile Configuration de pile possible Possible prise en charge des technologies RIP/VRRP Débit des ports de la pile La pile se compose uniquement d'unités Sx500 fonctionnant en mode Pile native. Non prises en charge 1G/5G (par défaut) ou 1G cuivre/SFP (combinés) La pile se compose de divers types d'appareils fonctionnant en mode Pile hybride de base.
5 Administration : Gestion des piles Mode de l'unité de pile Homogénéité des modes d'unité de pile au sein d'une même pile Toutes les unités de la pile doivent utiliser le même mode d'unité de pile. À l'initialisation de la pile, un algorithme de détection de la topologie est exécuté afin de recueillir des informations sur les unités en présence.
Administration : Gestion des piles Mode de l'unité de pile 5 • périphériques SG500X/ESW2-550X : lorsque l'appareil se trouve en mode Autonome ou Pile native, le mode système est toujours redéfini sur Couche 2 ou Couche 3. Lorsque l'appareil se trouve en mode Pile hybride de base ou Pile hybride avancée, le mode système se comporte de la même manière que le mode système des périphériques Sx500, comme décrit ci-dessus.
5 Administration : Gestion des piles Ports de pile - Mode Autonome redéfini sur mode Hybride de base : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 - Mode Pile native redéfini sur mode Hybride de base : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 Ports de pile Certains ports de la pile doivent être réservés pour assurer les fonctions suivantes : • Po
5 Administration : Gestion des piles Ports de pile Paires de ports Le tableau ci-après indique les différentes paires de ports disponibles sur l'appareil en fonction du mode d'unité de pile défini : Type d'appareil/ Paire de ports Sx500 Empilage • Mode Pile native : utilisables à la fois comme ports réseau et comme ports de pile • Modes Pile hybride : utilisables comme ports de pile Sx500 • Emplacement mixte 1G Fibre/ Cuivre Mode Pile native : utilisables à la fois comme ports réseau et comme port
5 Administration : Gestion des piles Ports de pile Vitesse des ports La vitesse des ports de pile peut être définie manuellement ou configurée sur sélection automatique.
5 Administration : Gestion des piles Ports de pile Types de câbles Chaque type de port de pile peut être utilisé avec des types de câbles spécifiques. Lorsque le mode pile est défini sur Pile native, le câble d'empilage peut être un câble en cuivre ou un câble en fibre. Lorsque les deux types de câbles (fibre et cuivre) sont raccordés, la fibre est le support privilégié. Une double connexion offre une fonction de redondance.
5 Administration : Gestion des piles Ports de pile Ports de pile Ports réseau Type de connecteur S1-S2-5G S1, S2 dans pour Sx500 SG500X/ ESW2-550X et S3-S4 pour Sx500 S1, S2 - XG dans SG500X/ ESW2-550X S1, S2 - 5G S1, S2 pour dans SG500X et Sx500 S3, S4 pour Sx500 S1, S2 - XG dans SG500X 1G SFP Module MGBT1 1G 1G 1G 1G 1G 1G 1G SFP Module MGBLX1 1G 1G 1G 1G 1G 1G 1G SFP Module MGBBX1 1G 1G 1G 1G 1G 1G 100Mbit/s SFP Module MFELX1 Non pris en charge Non pris en charge Non pris
5 Administration : Gestion des piles Configuration par défaut Ports de pile ou ports réseau Type de connecteur Tous les ports 1G SFP Module MGBLX1 1G 1G SFP Module MGBBX1 1G 100Mbit/s SFP Module MFELX1 Non pris en charge 100Mbit/s SFP Module MFEFX1 Non pris en charge 100Mbit/s SFP Module MFEBX1 Non pris en charge Autres SFP 1G Configuration par défaut Les valeurs par défaut des périphériques dans les différents modes de pile sont spécifiées ci-dessous : Type d'appareil Mode pile Ports de
5 Administration : Gestion des piles Interactions avec les autres fonctions Interactions avec les autres fonctions Les technologies RIP et VRRP ne sont pas prises en charge par le mode Pile hybride de base.
Administration : Gestion des piles Modes système 5 fixés dans le cadre du nouveau mode de files d'attente défini. Le changement apporté au mode de files d'attente devient effectif après le redémarrage du système. Les options de configuration des files d'attente non compatibles avec le nouveau mode de files d'attente sont rejetées. • Mode de pile : le mode de pile a été amélioré via l'intégration de deux nouveaux modes Pile hybride.
5 Administration : Gestion des piles Modes système • Unité principale de la pile : affiche l'ID de l'unité principale de la pile. • État du choix de l'unité principale : affiche la façon dont l'unité principale de la pile a été sélectionnée. Reportez-vous à la section Processus de sélection de l'unité principale. ÉTAPE 2 Pour configurer le mode système après le redémarrage, sélectionnez le mode Couche 2 ou le mode Couche 3.
6 Administration Cette section décrit comment afficher les informations relatives au système et configurer différentes options sur le périphérique.
6 Administration Modèles de périphériques Modèles de périphériques Tous les modèles peuvent être entièrement gérés via l'utilitaire Web de configuration du commutateur. REMARQUE Chaque modèle peut être défini en mode système Couche 3 via la page Mode du système et gestion des piles. Lorsque le périphérique fonctionne en mode système Couche 3, les gestionnaires de stratégie de limite du débit VLAN et de QoS ne sont pas opérationnels.
6 Administration Modèles de périphériques Nom du modèle ID du produit (PID) Description des ports de l'appareil Puissance dédiée au PoE Nbre de ports gérant PoE SG500-28 SG5000-28K9 Commutateur administrable empilable Gigabit à 28 ports N/A N/A SG50028MPP SG50028MPP-K9 Commutateur administrable PoE Gigabit à 28 ports 740 W 24 SG500-28P SG500-28PK9 Commutateur administrable empilable PoE Gigabit à 28 ports 180 W 24 SG500-52 SG500-52-K9 Commutateur administrable empilable Gigabit à 52
6 Administration Paramètres système Paramètres système La page Récapitulatif du système fournit une vue graphique du périphérique et affiche l'état du périphérique, des informations sur le matériel, des informations sur le micrologiciel, l'état PoE (Power-over-Ethernet) général, etc. Affichage du récapitulatif du système Pour afficher les informations se rapportant au système, cliquez sur État et statistiques > Récapitulatif du système.
6 Administration Paramètres système • Nom d'hôte : nom du périphérique. Cliquez sur Modifier pour accéder à la page Paramètres système, afin d'entrer cette valeur. Par défaut, le nom d'hôte du périphérique se compose du mot commutateur concaténé avec les trois octets les moins significatifs de l'adresse MAC du périphérique (les six chiffres hexadécimaux les plus à droite).
6 Administration Paramètres système • Total de contrôle MD5 de démarrage : total de contrôle MD5 de la version de démarrage. • Paramètres régionaux : paramètres régionaux de la première langue (toujours définis sur Anglais). • Version de langue : version du module linguistique de la première langue ou de la langue anglaise. • Total de contrôle MD5 de langue : total de contrôle MD5 du fichier de langue. État des services TCP/UDP : • Service HTTP : indique si HTTP est activé ou désactivé.
6 Administration Paramètres système Paramètres système Pour accéder aux paramètres système : ÉTAPE 1 Cliquez sur Administration > Paramètres système. ÉTAPE 2 Permet d'afficher ou de modifier les paramètres système. • Description du système : affiche une description du périphérique. • Emplacement du système : indiquez l'emplacement physique du périphérique. • Contact système : saisissez le nom d'une personne à contacter. • Nom d'hôte : sélectionnez le nom d'hôte de ce périphérique.
6 Administration Paramètres de console (prise en charge du débit de bauds automatiques) Paramètres de console (prise en charge du débit de bauds automatiques) Le débit du port de console peut être défini sur l'une des valeurs suivantes : 4 800, 9 600, 19 200, 38 400, 57 600 et 115 200 ou détection automatique. En activant la détection automatique, le périphérique détecte automatiquement le débit de votre console pour vous éviter de le définir explicitement.
Administration Mode du système et gestion des piles 6 Mode du système et gestion des piles Reportez-vous à la section Administration : Gestion des piles. Comptes d'utilisateur Reportez-vous à la section Définition d'utilisateurs.
6 Administration Paramètres de l'heure Paramètres de l'heure Reportez-vous à la section Administration : Paramètres horaires. Journal système Reportez-vous à la section Administration : Journal système. Gestion de fichiers Reportez-vous à la section Administration : Gestion de fichiers. Redémarrage du périphérique Certaines modifications apportées à la configuration, telles que l'activation de la prise en charge des trames Jumbo, nécessitent le redémarrage du système pour être effectives.
6 Administration Redémarrage du périphérique • Le rechargement du périphérique provoque la perte de connexion dans le réseau, en raison du redémarrage retardé, vous pouvez planifier le redémarrage à une heure plus propice pour les utilisateurs (par exemple tard dans la nuit). Pour redémarrer le périphérique : ÉTAPE 1 Cliquez sur Administration > Redémarrer. ÉTAPE 2 Cliquez sur l'un des boutons de Redémarrage pour redémarrer le périphérique. • Redémarrer : permet de redémarrer le périphérique.
6 Administration Ressources de routage Le fichier de configuration miroir n'est pas supprimé lorsque vous restaurez les paramètres d'origine. • Effacer le fichier de configuration de démarrage : choisissez cette option pour effacer la configuration du périphérique la prochaine fois qu'il démarrera. REMARQUE : si le périphérique est en mode Pile native, ce bouton restaure les paramètres d'origine dans l'intégralité de la pile.
6 Administration Ressources de routage Si le routage IPv6 est activé sur le périphérique, le tableau suivant décrit le nombre d'entrées TCAM utilisées pour les diverses fonctionnalités : Entité logique IPv4 IPv6 (TCAM PCL) IPv6 (TCAM routeur) Voisin IP 1 entrée 1 entrée 4 entrées Adresse IP sur une interface 2 entrées 2 entrées 8 entrées Acheminement distant IP 1 entrée 1 entrée 4 entrées 1 entrée 4 entrées Préfixe de lien La page Ressources du routeur vous permet d'ajuster l'allocation
6 Administration Ressources de routage • Entrées maximales : sélectionnez l'une des options suivantes : - Valeurs par défaut : sur Sx500, le nombre d'entrées TCAM est de 25 % de la taille TCAM. Sur SG500X/SG500XG, le nombre d'entrées TCAM du routeur est de 50 % de la taille TCAM du routeur. - Défini par l'utilisateur : saisissez une valeur.
6 Administration Intégrité ÉTAPE 3 Enregistrez les nouveaux paramètres en cliquant sur Appliquer. Le système vérifie si l'allocation TCAM est possible. Si l'opération est incorrecte, un message d'erreur s'affiche. Si l'opération est correcte, l'allocation est enregistrée dans le fichier de Configuration d'exécution et un redémarrage est effectué. Intégrité La page Intégrité affiche l'état du ventilateur sur tous les périphériques équipés de ventilateurs.
6 Administration Intégrité Événement Action La période de refroidissement qui suit le seuil critique a été dépassée (tous les capteurs indiquent une valeur inférieure de 2 °C au seuil d'avertissement) Lorsque tous les capteurs ont atteint une valeur inférieure de 2 °C au seuil d'avertissement, le PHY est réactivé et tous les ports sont rétablis. Si l'état du VENTILATEUR est OK, les ports sont activés. (Sur les périphériques qui prennent PoE en charge) les circuits PoE sont activés.
6 Administration Diagnostic Diagnostic Reportez-vous à la section Administration : Diagnostic. Détection - Bonjour Reportez-vous à la section Bonjour. Détection - LLDP Reportez-vous à la section Configuration de LLDP. Détection - CDP Reportez-vous à la section Configuration de CDP. Ping Ping est un utilitaire servant à déterminer si un hôte distant peut être atteint et à mesurer la durée aller-retour de transfert de paquets entre le périphérique et un périphérique de destination.
6 Administration Ping • Version IP : si l'interface source est identifiée par son adresse IP, sélectionnez IPv4 ou IPv6 pour indiquer qu'elle sera entrée au format sélectionné. • IP source : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme adresse IPv4 source pour la communication avec la cible. Si le champ Définition de l'hôte a été défini sur Par nom, toutes les adresses IPv4 et IPv6 seront affichées dans ce champ déroulant.
6 Administration Traceroute ÉTAPE 4 Vous pouvez consulter le résultat de l'opération Ping au sein de la section Compteurs et état du Ping de cette page. Traceroute Traceroute détecte les routes IP et indique également les paquets qui ont été transférés en envoyant un paquet IP à l'hôte cible et en le renvoyant au périphérique. La page Traceroute affiche chaque saut entre le dispositif et un hôte cible, ainsi que la durée de l'aller-retour de tels sauts. ÉTAPE 1 Cliquez sur Administration > Traceroute.
6 Administration Traceroute • Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez son lieu de réception. • Adresse IP/Nom hôte : entrez l'adresse ou le nom de l'hôte. • TTL : entrez le nombre maximal de sauts autorisés par Traceroute. Cela permet d'éviter les situations où la trame envoyée entre dans une boucle sans fin. La commande Traceroute se termine lorsque la destination ou que cette valeur est atteinte.
7 Administration : Paramètres horaires Les horloges système synchronisées constituent un cadre de référence pour tous les périphériques du réseau. La synchronisation de l'heure du réseau est cruciale car chaque aspect de la gestion, de la sécurité, de la planification et du débogage d'un réseau implique de déterminer le moment où se produit l'événement.
7 Administration : Paramètres horaires Options d'heure système Options d'heure système L'heure système peut être réglée manuellement par l'utilisateur, définie dynamiquement à partir d'un serveur SNTP ou synchronisée à partir de l'ordinateur qui exécute l'interface utilisateur graphique (GUI). Si un serveur SNTP est choisi, les paramètres d'heure manuels sont écrasés lorsque des communications avec le serveur sont établies.
Administration : Paramètres horaires Modes SNTP 7 Une fois que l'heure a été définie par l'une des sources ci-dessus, elle n'est pas redéfinie par le navigateur. REMARQUE SNTP est la méthode recommandée pour le réglage de l'heure.
7 Administration : Paramètres horaires Configuration de l'heure système - Mode Serveur SNTP monodiffusion : le périphérique envoie des requêtes de monodiffusion à une liste de serveurs SNTP configurés manuellement et attend une réponse. Le périphérique prend en charge tous les modes mentionnés ci-dessus et actifs en même temps, et sélectionne la meilleure heure système reçue d'un serveur SNTP, conformément à un algorithme basé sur la strate la plus proche (distance par rapport à l'horloge de référence).
Administration : Paramètres horaires Configuration de l'heure système 7 également appliquer l'authentification des sessions SNTP via la page Authentification SNTP. • Source d'horloge alternative (ordinateur via des sessions HTTP/HTTPS actives) : sélectionnez cette option pour définir la date et l'heure depuis l'ordinateur effectuant la configuration via le protocole HTTP.
7 Administration : Paramètres horaires Configuration de l'heure système • Compensation d'heure définie : entrez le nombre de minutes de décalage par rapport à l'heure GMT (entre 1 et 1 440). La valeur par défaut est 60. • Type d'heure d'été : cliquez sur l'un des éléments suivants : - États-Unis : l'heure d'été est définie selon les dates utilisées aux ÉtatsUnis. - Europe : l'heure d'été est définie selon les dates utilisées par l'Union Européenne et d'autres pays qui appliquent cette norme.
Administration : Paramètres horaires Configuration de l'heure système - 7 Mois : mois de l'année au cours duquel l'heure d'été prend fin chaque année. - Heure : heure à laquelle l'heure d'été prend fin chaque année. ÉTAPE 3 Cliquez sur Appliquer. Les valeurs d'heure système sont écrites dans le fichier de Configuration d'exécution. Ajout d'un serveur de monodiffusion SNTP Seize serveurs de monodiffusion SNTP maximum peuvent être configurés.
7 Administration : Paramètres horaires Configuration de l'heure système • ID de clé d'authentification : l'identification de clé sert à communiquer entre le serveur SNTP et le périphérique. • Niveau de strate : distance par rapport à l'horloge de référence, exprimée sous la forme d'une valeur numérique. Un serveur SNTP ne peut pas être le serveur principal (niveau de strate 1), sauf si l'intervalle d'interrogation est activé. • État : état du serveur SNTP.
Administration : Paramètres horaires Configuration de l'heure système 7 REMARQUE : pour spécifier un serveur SNTP connu, le périphérique doit être connecté à internet et configuré avec un serveur DNS, ou configuré de manière à ce qu'un serveur DNS soit identifié en utilisant le serveur DHCP. (Voir Paramètres DNS.) • Version IP : sélectionnez la version de l'adresse IP : Version 6 ou Version 4. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
7 Administration : Paramètres horaires Configuration de l'heure système ÉTAPE 6 Cliquez sur Appliquer. Le serveur SNTP est ajouté et vous retournez à la page principale. Configuration du mode SNTP Le périphérique peut être en mode actif et/ou passif (Consultez la rubrique Modes SNTP pour plus d'informations.
Administration : Paramètres horaires Configuration de l'heure système 7 Définition de l'authentification SNTP Les clients SNTP peuvent authentifier les réponses à l'aide de HMAC-MD5. Un serveur SNTP est associé à une clé, qui est utilisée en guise d'entrée de la fonction MD5 avec la réponse elle-même, le résultat de la fonction MD5 étant également inclus dans le paquet de réponse.
7 Administration : Paramètres horaires Configuration de l'heure système ÉTAPE 6 Cliquez sur Appliquer. Les paramètres d'authentification SNTP sont écrits dans le fichier de Configuration d'exécution.
Administration : Paramètres horaires Configuration de l'heure système 7 Période absolue Pour définir une période absolue : ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Période. Les périodes existantes s'affichent. ÉTAPE 2 Pour ajouter une nouvelle période, cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • Nom de période : saisissez un nouveau nom de période.
7 Administration : Paramètres horaires Configuration de l'heure système ÉTAPE 4 Renseignez les champs suivants : • Heure de début récurrente : saisissez la date et l'heure auxquelles la période débute sur une base récurrente. Heure de fin récurrente : saisissez la date et l'heure auxquelles la période se termine de façon récurrente.
8 Administration : Diagnostic Cette section comporte des informations relatives à la configuration de la mise en miroir des ports, à l'exécution de tests de câbles et à l'affichage des informations opérationnelles se rapportant à l'appareil.
8 Administration : Diagnostic Test des ports cuivre Conditions préalables à l'exécution du test des ports cuivre Avant d'exécuter le test, procédez comme suit : • (Obligatoire) Désactivez le mode Courte portée (reportez-vous à la page Gestion des ports > Green Ethernet > Propriétés) • (Facultatif) Désactivez EEE (reportez-vous à la page Gestion des ports > Green Ethernet > Propriétés) Utilisez un câble de données CAT5 pour exécuter le test de tous les câbles (VCT).
Administration : Diagnostic Affichage de l'état des modules optiques - 8 Résultat de test inconnu : une erreur s'est produite. • Distance au défaut : distance entre le port et l'emplacement du câble où le problème a été détecté. • État du port opérationnel : indique si le port est actif ou inactif.
8 Administration : Diagnostic Affichage de l'état des modules optiques Les émetteurs-récepteurs SFP GE (1 000 Mbit/s) suivants sont pris en charge : • MGBBX1 : émetteur-récepteur SFP 1000BASE-BX-20U pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 40 km. • MGBLH1 : émetteur-récepteur SFP 1000BASE-LH pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 40 km. • MGBLX1 : émetteur-récepteur SFP 1000BASE-LX pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 10 km.
Administration : Diagnostic Configuration de la mise en miroir des ports et de VLAN 8 Configuration de la mise en miroir des ports et de VLAN La mise en miroir des ports est utilisée sur un appareil réseau pour envoyer une copie des paquets réseau détectés sur un port d'appareil, plusieurs ports d'appareil ou l'intégralité d'un VLAN vers une connexion de surveillance réseau située sur un autre port de l'appareil.
8 Administration : Diagnostic Configuration de la mise en miroir des ports et de VLAN • Interface source : interface, port ou VLAN à partir duquel le trafic est envoyé au port de l'analyseur. • Type : type de surveillance ; entrant sur le port (réception), sortant du port (émission) ou les deux. • État : affiche l'une des valeurs suivantes : - Actif : les interfaces source et de destination sont actives et transfèrent le trafic.
Administration : Diagnostic Affichage de l'utilisation du CPU et fonction Secure Core Technology (SCT) 8 Affichage de l'utilisation du CPU et fonction Secure Core Technology (SCT) Cette section décrit la fonction Secure Core Technology (SCT) et la façon d'afficher l'utilisation du CPU.
9 Administration : Détection Cette section fournit des informations sur la configuration de la détection. Elle couvre les rubriques suivantes : • Bonjour • LLDP et CDP • Configuration de LLDP • Configuration de CDP Bonjour En tant que client Bonjour, le périphérique diffuse périodiquement des paquets de protocole de détection Bonjour vers un ou plusieurs sous-réseaux IP à connexion directe, annonçant ainsi sa propre existence et les services qu'il offre ; par exemple HTTP, HTTPs et Telnet.
Administration : Détection Bonjour 9 Lorsque vous désactivez la détection Bonjour, le périphérique cesse toute annonce de type de service et ne répond à aucune demande de service émanant des applications de gestion réseau. Pour activer Bonjour globalement lorsque le système est en mode système Couche 2 : ÉTAPE 1 Cliquez sur Administration > Détection - Bonjour. ÉTAPE 2 Sélectionnez Activer pour activer globalement la détection Bonjour sur le périphérique. ÉTAPE 3 Cliquez sur Appliquer.
9 Administration : Détection LLDP et CDP Pour configurer Bonjour lorsque le périphérique fonctionne en mode système Layer 3 : ÉTAPE 1 Cliquez sur Administration > Détection - Bonjour. ÉTAPE 2 Sélectionnez Activer pour activer globalement la détection Bonjour. ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le fichier de Configuration d'exécution. ÉTAPE 4 Pour activer Bonjour sur une interface, cliquez sur Ajouter. ÉTAPE 5 Sélectionnez l'interface et cliquez sur Appliquer.
9 Administration : Détection LLDP et CDP CDP/LLDP lorsque CDP/LLDP est désactivé au niveau global. Vous pouvez configurer l'élimination/inondation des paquets CDP et LLDP entrants respectivement sur les pages Propriétés CDP et Propriétés LLDP. • La fonction Port intelligent automatique requiert l'activation de CDP et/ou LLDP. La fonction Port intelligent automatique configure automatiquement une interface basée sur l'annonce CDP/LLDP reçue de l'interface.
9 Administration : Détection Configuration de LLDP Configuration de LLDP Cette section explique comment configurer LLDP.
9 Administration : Détection Configuration de LLDP Flux de travail de configuration de LLDP Voici des exemples d'actions qu'il est possible de réaliser avec la fonction LLDP, dans l'ordre suggéré. Pour obtenir des instructions supplémentaires sur la configuration de LLDP, reportez-vous à la section LLDP/CDP. Les pages de configuration de LLDP sont accessibles sous le menu Administration > Détection LLDP. 1.
9 Administration : Détection Configuration de LLDP • Intervalle d'annonce TLV : définissez, en nombre de secondes, la fréquence d'envoi des mises à jour des annonces LLDP ou utilisez la valeur par défaut. • Intervalle de notification SNMP de changement de topologie : saisissez le délai minimal entre deux notifications SNMP. • Multiplicateur de conservation : saisissez la durée de conservation des paquets LLDP avant leur élimination, en multiples de l'intervalle d'annonce TLV.
9 Administration : Détection Configuration de LLDP Pour définir des paramètres de port LLDP : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Paramètres des ports. Cette page affiche les informations LLDP des ports. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. Cette page contient les champs suivants : • Interface : sélectionnez le port à modifier. • État administratif : sélectionnez l'option de publication LLDP pour le port.
9 Administration : Détection Configuration de LLDP - Fonctionnalités du système : fonctions principales du périphérique. L'écran indique aussi si ces fonctions sont activées sur le périphérique. Les fonctionnalités sont indiquées par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur, Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et Station. Les bits 8 à 15 sont réservés. - MAC-PHY 802.
9 Administration : Détection Configuration de LLDP Stratégie réseau LLDP MED LLDP Media Endpoint Discovery (LLDP MED) est une extension de LLDP qui fournit les fonctionnalités supplémentaires suivantes pour la prise en charge des périphériques d'extrémité de média. Voici quelques caractéristiques de la stratégie réseau LLDP MED : • Permet l'annonce et la découverte des stratégies réseau pour les applications en temps réel telles que la voix et/ou la vidéo.
9 Administration : Détection Configuration de LLDP En outre, l'administrateur peut demander au périphérique de générer et d'annoncer automatiquement une stratégie réseau pour l'application vocale qui est basée sur le VLAN voix géré par le périphérique. Pour plus d'informations sur la façon dont le périphérique gère son VLAN voix, reportez-vous à la section VLAN voix automatique. Pour définir une stratégie réseau LLDP MED : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Stratégie réseau LLDP MED.
9 Administration : Détection Configuration de LLDP Configuration des paramètres des ports LLDP MED La page Paramètres des ports LLDP-MED permet de sélectionner les TLV LLDPMED et/ou les stratégies réseau à inclure dans l'annonce LLDP sortante pour les interfaces souhaitées. Vous pouvez configurer les stratégies réseau sur la page Stratégie réseau LLDP MED.
9 Administration : Détection Configuration de LLDP Pour inclure une ou plusieurs stratégies réseau définies par l'utilisateur dans l'annonce, vous devez aussi sélectionner Stratégie réseau dans les TLV facultatives disponibles. REMARQUE : vous devez remplir les champs suivants, au format hexadécimal, en respectant exactement le format de données défini dans la norme LLDP MED (ANSI-TIA-1057_final_for_publication.
9 Administration : Détection Configuration de LLDP • Description du système : description du périphérique, au format alphanumérique. • Fonctionnalités système prises en charge : fonctions principales du périphérique, comme Pont, Point d'accès WLAN ou Routeur. • Fonctionnalités système activées : fonctions principales activées sur le périphérique. • Sous-type de l'ID du port : type d'ID de port affiché. Table d'état des ports LLDP • Interface : identificateur de port.
9 Administration : Détection Configuration de LLDP Globale • Sous-type de l'ID du châssis : type d'ID de châssis (adresse MAC, par exemple). • ID du châssis : identificateur du châssis. Si vous avez choisi l'adresse MAC comme sous-type d'ID de châssis, l'adresse MAC du périphérique s'affiche. • Nom du système : nom du périphérique. • Description du système : description du périphérique, au format alphanumérique.
9 Administration : Détection Configuration de LLDP • Négociation automatique activée : état d'activation de la négociation automatique du débit de port. • Fonctionnalités annoncées de négociation automatique : fonctions de négociation automatique du débit de port. Exemples : mode half-duplex 1000BASE-T ou mode full duplex 100BASE-TX. • Type de MAU opérationnel : type de MAU (Medium Attachment Unit, unité de raccordement au support).
9 Administration : Détection Configuration de LLDP Détails MED • Fonctionnalités prises en charge : fonctions MED prises en charge sur le port. • Fonctionnalités actuelles : fonctions MED activées sur le port. • Classe de périphérique : classe du périphérique d'extrémité LLDP MED. Les classes disponibles sont les suivantes : - Classe de point de terminaison 1 : indique une classe de point de terminaison générique offrant des services LLDP de base.
9 Administration : Détection Configuration de LLDP • ECS ELIN : numéro ELIN (Emergency Location Identification Number, numéro d'identification de l'emplacement en cas d'urgence) pour l'ECS (Emergency Call Service, service d'appel d'urgence). Table des stratégies réseau • Type d'application : type d'application de la stratégie réseau. Exemple : Voix. • ID VLAN : ID du VLAN pour lequel la stratégie réseau est définie. • Type VLAN : type de VLAN pour lequel la stratégie réseau est définie.
9 Administration : Détection Configuration de LLDP • ID du port : identificateur du port. • Nom du système : nom publié du périphérique. • Durée de vie : durée en secondes à l'issue de laquelle les informations concernant ce voisin sont supprimées. ÉTAPE 2 Sélectionnez un port local puis cliquez sur Détails. La page Informations de voisinage LLDP comporte les champs suivants : Détails du port • Port local : numéro du port.
9 Administration : Détection Configuration de LLDP Table des adresses de gestion • Sous-type de l'adresse : sous-type d'adresse gérée. Exemple : MAC ou IPv4. • Adresse : adresse gérée. • Sous-type de l'interface : sous-type de port. • Numéro de l'interface : numéro de port. Détails MAC/PHY • Négociation automatique prise en charge : état de prise en charge de la négociation automatique du débit de port. Les valeurs admises sont Vrai et Faux.
9 Administration : Détection Configuration de LLDP Détails 802.3 • Taille de trame maximale 802.3 : taille maximale de trame annoncée comme possible sur le port. Agrégation de liaisons 802.3 • Capacité d'agrégation : indique si le port peut faire l'objet d'une agrégation. • État de l'agrégation : indique si le port est actuellement agrégé. • ID du port d'agrégation : ID du port agrégé annoncé. 802.
9 Administration : Détection Configuration de LLDP - Classe de point de terminaison 3 : indique une classe de périphérique de communications offrant tous les services de classe1 et de classe 2, ainsi que des fonctions de reconnaissance de l'emplacement, d'appel d'urgence, de prise en charge des commutateurs Layer 2 et de gestion des informations de périphérique. • Type de périphérique PoE : type PoE du port. Exemple : alimenté. • Source d'alimentation PoE : source d'alimentation du port.
9 Administration : Détection Configuration de LLDP Informations sur l'emplacement Saisissez les structures de données suivantes au format hexadécimal, conformément à la section 10.2.4 de la norme ANSI-TIA-1057 : • Physique : adresse physique ou postale. • Coordonnées : coordonnées géographiques de l'emplacement : latitude, longitude et altitude.
9 Administration : Détection Configuration de LLDP • • - Éliminé : nombre des trames reçues qui ont été éliminées. - Erreurs : nombre total des trames reçues comportant des erreurs. TLV reçues - Éliminé : nombre total de TLV reçues qui ont été éliminées. - Non reconnu : nombre total de TLV reçues non reconnues. Nombre de suppressions d'informations du voisin : nombre d'expirations du délai maximal du voisin sur l'interface.
9 Administration : Détection Configuration de LLDP Cette page contient les informations suivantes pour chaque TLV envoyée sur le port : • • • TLV LLDP obligatoires - Taille (octets) : taille totale des TLV obligatoires, en octets. - État : indique si un groupe de TLV obligatoires est en cours de transmission ou si une surcharge est intervenue. Fonctionnalités LLDP MED - Taille (octets) : taille totale des paquets de fonctionnalités LLDP MED, en octets.
9 Administration : Détection Configuration de CDP • TLV LLDP facultatives - Taille (octets) : taille totale des paquets de TLV LLDP MED facultatives, en octets. - État : indique si les paquets de TLV LLDP MED facultatives ont été envoyés ou si une surcharge est intervenue. • Inventaire LLDP MED - Taille (octets) : taille totale des paquets de TLV d'inventaire LLDP MED, en octets. - État : indique si les paquets de TLV d'inventaire LLDP MED ont été envoyés ou si une surcharge est intervenue.
9 Administration : Détection Configuration de CDP Flux de travail de configuration de CDP Vous trouverez ci-après un exemple de flux de travail pour la configuration de CDP sur le périphérique. Vous trouverez également des instructions de configuration de CDP supplémentaires à la section LLDP/CDP. ÉTAPE 1 Entrez les paramètres globaux CDP sur la page Propriétés CDP. ÉTAPE 2 Configurez CDP sur chaque interface via la page Paramètres d'interface.
9 Administration : Détection Configuration de CDP • • • • Délai d'attente CDP : durée de conservation des paquets CDP avant leur élimination, en multiples de l'intervalle d'annonce TLV. Par exemple, si l'intervalle d'annonce TLV est de 30 secondes et si le multiplicateur de conservation est 4, les paquets LLDP seront éliminés après 120 secondes. Les options suivantes sont disponibles : - Valeurs par défaut : utilisez la durée par défaut (180 secondes).
9 Administration : Détection Configuration de CDP • Non-concordance duplex Syslog : cochez cette option pour envoyer un message SYSLOG lorsque les informations duplex ne correspondent pas. Cela signifie que les informations duplex dans la trame entrante ne correspondent pas à l'élément annoncé par le périphérique local. ÉTAPE 3 Cliquez sur Appliquer. Les propriétés LLDP sont définies.
9 Administration : Détection Configuration de CDP • Détails des informations de voisinage CDP : ouvre la page Administration > Détection - CDP > Informations de voisinage CDP. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. Cette page contient les champs suivants : • Interface : sélectionnez l'interface à définir. • État CDP : sélectionnez cette option pour activer/désactiver l'option de publication CDP pour le port.
9 Administration : Détection Configuration de CDP ÉTAPE 2 Sélectionnez un port local ; les champs suivants s'affichent : • Interface : numéro du port local. • État CDP : indique si CDP est activé. • TLV d'ID de périphérique • - Type d'ID de périphérique : type d'ID de périphérique annoncé dans la TLV d'ID de périphérique. - ID de périphérique : ID de périphérique annoncé dans la TLV d'ID de périphérique.
9 Administration : Détection Configuration de CDP • • TLV du dispositif - ID du dispositif : type de périphérique associé au port annoncé dans la TLV de dispositif. - ID du VLAN du dispositif : VLAN du périphérique utilisé par le dispositif ; par exemple, si le dispositif est un téléphone IP, il s'agit du VLAN voix. TLV de confiance étendue - • CoS pour le TLV des ports non sécurisés - • Confiance étendue : l'activation de cette option indique que le port est sécurisé.
9 Administration : Détection Configuration de CDP - Niveau de gestion d'alimentation : affiche la demande du fournisseur au périphérique alimenté pour connaître sa TLV de consommation électrique. Le périphérique affiche toujours « Aucune préférence » dans ce champ. Affichage des informations de voisinage CDP La page Informations de voisinage CDP affiche les informations CDP reçues des périphériques voisins.
9 Administration : Détection Configuration de CDP • Version d'annonce : version du protocole CDP. • Durée de vie : durée en secondes à l'issue de laquelle les informations concernant ce voisin sont supprimées. • Fonctionnalités : fonctions principales du périphérique. Les fonctionnalités sont indiquées par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur, Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et Station. Les bits 8 à 15 sont réservés.
9 Administration : Détection Configuration de CDP Pour afficher les statistiques CDP : ÉTAPE 1 Cliquez sur Administration> Détection - CDP > Statistiques CDP. Les champs suivants sont affichés pour chaque interface : Paquets reçus/transmis : • Version 1 : nombre de paquets CDP de version 1 reçus/transmis. • Version 2 : nombre de paquets CDP de version 2 reçus/transmis. • Total : nombre total de paquets CDP reçus/transmis. La section Statistiques d'erreurs CDP affiche les compteurs d'erreurs CDP.
10 Gestion des ports Cette section décrit la configuration des ports, l'agrégation de liaisons et la fonction Green Ethernet. Elle couvre les rubriques suivantes : • Configuration des ports • Définition de la configuration des ports • Agrégation de liaisons • UDLD • Configuration de Green Ethernet Configuration des ports Pour configurer des ports, procédez comme suit : 1. Configurez le port sur la page Paramètres des ports. 2.
10 Gestion des ports Définition de la configuration des ports 7. Si la PoE (Power on Ethernet, alimentation sur Ethernet) est prise en charge pour le périphérique concerné, configurez ce dernier en suivant les instructions de la rubrique Gestion des ports : fonctionnalité PoE. Définition de la configuration des ports Les ports peuvent être configurés dans les pages suivantes. Paramètres des ports La page Paramètres des ports affiche les paramètres globaux de tous les ports ainsi que ceux de chaque port.
10 Gestion des ports Définition de la configuration des ports • Type de port : affiche le type et le débit du port. Les options disponibles sont les suivantes : - Ports cuivre : les ports standard, non mixtes, prennent en charge les valeurs suivantes : 10M, 100M et 1000M (type : Cuivre). - Ports cuivre Combo : un port Combo connecté à un câble cuivre CAT5 prend en charge les valeurs suivantes : 10M, 100M et 1000M (type : ComboC).
10 165 Gestion des ports Définition de la configuration des ports • Négociation automatique : sélectionnez cette option pour activer la négociation automatique sur le port. La négociation automatique permet à un port d'annoncer sa vitesse de transmission, son mode duplex et ses fonctions de contrôle de flux à son partenaire de liaison. • Négociation automatique opérationnelle : affiche l'état actuel de la négociation automatique sur le port.
10 Gestion des ports Définition de la configuration des ports • Annonce opérationnelle : affiche les fonctionnalités actuellement publiées à l'attention du voisin des ports. Les options disponibles sont celles spécifiées dans le champ Annonce administrative. • Annonce de voisin : affiche les fonctionnalités publiées par le périphérique de voisinage réseau (partenaire de liaison).
10 Gestion des ports Définition de la configuration des ports • - La protection des ports ne dépend pas de l'appartenance aux VLAN. Les périphériques connectés à des ports protégés ne peuvent pas communiquer entre eux, même s'ils sont membres du même VLAN. - Les ports et les LAG peuvent être munis ou non d'une protection. Les LAG protégés sont décrits à la section Configuration des paramètres des LAG.
10 Gestion des ports Agrégation de liaisons Pour réactiver manuellement un port : ÉTAPE 1 Cliquez sur Gestion des ports > Paramètres de récupération d'erreur. La liste des interfaces désactivées et leur Motif de la suspension s'affichent. ÉTAPE 2 Sélectionnez l'interface que vous souhaitez réactiver. ÉTAPE 3 Cliquez sur Réactiver. Agrégation de liaisons Cette section explique comment configurer les LAG.
10 Gestion des ports Agrégation de liaisons • Dynamique : un LAG est dynamique si le protocole LACP est activé sur celui-ci. Les ports attribués à un LAG dynamique sont des ports candidats. Le protocole LACP détermine les ports candidats qui sont des ports membres actifs. Les ports candidats non actifs sont des ports de réserve prêts à remplacer n'importe quel port membre actif défaillant.
10 Gestion des ports Agrégation de liaisons • Bien que cette fonction puisse être activée sur le LAG, vous devez désactiver la négociation automatique sur tous les ports d'un LAG. • Lorsqu'un port est ajouté à un LAG, la configuration du LAG est appliquée au port. Lorsque vous retirez ce port du LAG, il reprend sa configuration d'origine. • Les divers protocoles, comme Spanning Tree, considèrent tous les ports d'un LAG comme étant un port unique.
10 Gestion des ports Agrégation de liaisons Définition de la gestion des LAG La page Gestion des LAG affiche les paramètres globaux ainsi que ceux de chaque LAG. Cette page vous permet également de configurer les paramètres globaux, mais aussi de sélectionner et de modifier le LAG souhaité sur la page Modifier l'appartenance du LAG. Pour sélectionner l'algorithme d'équilibrage de charge du LAG : ÉTAPE 1 Cliquez sur Gestion des ports > Agrégation de liaisons > Gestion des LAG.
10 Gestion des ports Agrégation de liaisons ÉTAPE 3 Cliquez sur Appliquer. L'appartenance LAG est enregistrée dans le fichier de Configuration d'exécution. Configuration des paramètres des LAG La page Paramètres des LAG affiche une table des paramètres actuels de tous les LAG. Vous pouvez configurer les paramètres des LAG sélectionnés et réactiver les LAG suspendus sur la page Modifier les paramètres des LAG.
10 173 Gestion des ports Agrégation de liaisons • Négociation automatique administrative : permet d'activer ou de désactiver la négociation automatique sur le LAG. La négociation automatique est un protocole établi entre deux partenaires de liaison qui permet à un LAG d'annoncer sa vitesse de transmission et son contrôle de flux à son partenaire (la valeur par défaut pour le contrôle de flux est Désactivé).
10 Gestion des ports Agrégation de liaisons ÉTAPE 4 Cliquez sur Appliquer. Le fichier de Configuration d'exécution est mis à jour. Configuration de LACP Un LAG dynamique est un LAG où LACP est activé ; le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation de liaisons) est exécuté sur chaque port candidat défini dans le LAG.
10 Gestion des ports Agrégation de liaisons • Si la priorité LACP du port de la liaison est inférieure à celle des membres de liaison actuellement actifs et si le nombre maximal de membres actifs a déjà été atteint, la liaison devient inactive et est placée en mode de réserve.
10 Gestion des ports UDLD Pour définir les paramètres LACP : ÉTAPE 1 Cliquez sur Gestion des ports > Agrégation de liaisons > LACP. ÉTAPE 2 Saisissez la priorité du système LACP. Reportez-vous à la section Priorité et règles LACP. ÉTAPE 3 Sélectionnez un port et cliquez sur Modifier. ÉTAPE 4 Saisissez les valeurs pour les champs suivants : • Port : sélectionnez le numéro du port auquel s'appliquent les valeurs de délai et de priorité.
10 Gestion des ports Configuration de Green Ethernet Configuration de Green Ethernet Cette section décrit la fonction Green Ethernet qui est conçue pour réduire la consommation d'énergie du périphérique.
Gestion des ports Configuration de Green Ethernet 10 Outre les fonctions Green Ethernet ci-dessus, la fonction 802.3az Energy Efficient Ethernet (EEE) est disponible sur les périphériques prenant en charge les ports GE. EEE réduit la consommation électrique lorsqu'il n'y a pas de trafic sur le port. Pour plus d'informations, reportez-vous à Fonction 802.3az Energy Efficient Ethernet (uniquement sur les modèles GE). EEE est activé par défaut au niveau global.
10 Gestion des ports Configuration de Green Ethernet Sur la page des Propriétés >Green Ethernet, le périphérique permet à l'utilisateur de désactiver les DEL des ports afin d'économiser l'énergie. Fonction 802.3az Energy Efficient Ethernet Cette section décrit la fonction 802.3az Energy Efficient Ethernet (EEE). Elle couvre les rubriques suivantes : • Présentation de 802.3az EEE • Négociation des fonctionnalités d'annonce • Découverte de niveau de liaison pour 802.3az EEE • Disponibilité de 802.
10 Gestion des ports Configuration de Green Ethernet Les deux extrémités d'une connexion (le port du périphérique et le périphérique en cours de connexion) doivent prendre en charge 802.3az EEE pour qu'elle fonctionne. Lorsqu'il n'y a aucun trafic, les deux extrémités envoient des signaux indiquant que la consommation va être réduite.
10 Gestion des ports Configuration de Green Ethernet Configuration par défaut Par défaut, les fonctions 802.3az EEE et EEE LLDP sont activées au niveau global et pour chaque port. Interactions entre les fonctions Les interactions de 802.3az EEE avec les autres fonctions sont décrites ci-après : • Si la négociation automatique n'est pas activée sur le port, l'état opérationnel de la fonction 802.3az EEE est désactivé.
10 Gestion des ports Configuration de Green Ethernet ÉTAPE 3 Assurez-vous que la fonction 802.3az EEE est activée sur un port en ouvrant la page Green Ethernet > Paramètres des ports. a. Sélectionnez un port et ouvrez la page Modifier le paramètre de port. b. Activez le mode 802.3 Efficient Energy Ethernet (EEE) sur le port (il est activé par défaut). c. Indiquez si vous souhaitez activer ou désactiver l'annonce des fonctionnalités 802.3az EEE via LLDP dans LLDP 802.
10 Gestion des ports Configuration de Green Ethernet • Économies d'énergie : affiche le pourcentage d'énergie économisé grâce aux modes Green Ethernet et Courte portée. Les économies d'énergie affichées ne concernent que l'énergie économisée grâce aux modes Courte portée et Détection d'énergie. Les économies d'énergie EEE sont de nature dynamique, étant donné qu'elles sont basées sur l'utilisation des ports et qu'elles ne sont par conséquent pas prises en compte.
10 Gestion des ports Configuration de Green Ethernet • • Détection d'énergie : état du mode Détection d'énergie sur le port : - Administratif : indique si le mode Détection d'énergie est activé. - Opérationnel : indique si le mode Détection d'énergie est actuellement opérationnel. - Motif : si le mode Détection d'énergie n'est pas opérationnel, indique le motif. Courte portée : état du mode Courte portée sur le port : - Administratif : indique si le mode Courte portée est activé.
10 Gestion des ports Configuration de Green Ethernet REMARQUE : cette fenêtre affiche les paramètres Courte portée, Détection d'énergie et EEE de chaque port. Pour autant, vous ne pouvez pas les activer sur un port s'ils ne sont pas aussi activés globalement via la page Propriétés. Pour activer globalement les modes Courte portée et EEE, consultez Définition des propriétés Green Ethernet globales. ÉTAPE 2 Sélectionnez un port puis cliquez sur Modifier.
11 Gestion des ports : Unidirectional Link Detection Cette section décrit la fonction Unidirectional Link Detection (UDLD).
11 Gestion des ports : Unidirectional Link Detection Fonctionnement de UDLD Tous les périphériques connectés doivent prendre en charge UDLD pour que le protocole puisse détecter les liaisons unidirectionnelles. Si seul le périphérique local prend en charge UDLD, le périphérique ne pourra pas détecter l'état de la liaison. Dans ce cas, l'état de la liaison est défini sur indéterminé. L'utilisateur peut spécifier si les ports ayant l'état indéterminé sont fermés ou déclenchent simplement des notifications.
Gestion des ports : Unidirectional Link Detection Fonctionnement de UDLD • 11 Agressif Si la liaison est unidirectionnelle ou indéterminée, le port est fermé. UDLD est activé sur un port lorsque l'une des situations suivantes se produit : • Le port est un port fibre et UDLD est activé globalement. • Le port est un port cuivre et vous activez spécifiquement UDLD sur celui-ci.
11 Gestion des ports : Unidirectional Link Detection Fonctionnement de UDLD Un port qui a été fermé peut être réactivé manuellement sur la page Gestion des ports > Paramètres de récupération d'erreur. Pour plus d'informations, reportezvous à la section Réactivation d'un port fermé. Si une interface est arrêtée et que UDLD est activé, le périphérique supprime toutes les informations de voisinage et envoie au moins un message ULDL aux voisins pour leur indiquer que le port est fermé.
Gestion des ports : Unidirectional Link Detection Instructions d'utilisation 11 Réactivation d'un port fermé Vous pouvez réactiver un port qui a été fermé par UDLD en procédant de l'une des manières suivantes : • Automatiquement : vous pouvez configurer le système pour qu'il réactive automatiquement les ports fermés par UDLD sur la page Gestion des ports > Paramètres de récupération d'erreur.
11 Gestion des ports : Unidirectional Link Detection Dépendances envers les autres fonctions Dépendances envers les autres fonctions • UDLD et Couche1. Lorsque UDLD est activé sur un port, UDLD s'exécute activement sur ce port tant que le port est actif. Lorsque le port est fermé, UDLD passe à l'état de fermeture UDLD. Dans cet état, UDLD supprime tous les voisins appris. Lorsque le port repasse de fermé à ouvert, UDLD est de nouveau exécuté activement.
Gestion des ports : Unidirectional Link Detection Tâches UDLD courantes 11 Tâches UDLD courantes Cette section décrit quelques tâches courantes permettant de configurer UDLD. Flux de travail 1 : pour activer globalement UDLD sur les ports fibre, procédez comme suit : ÉTAPE 1 Ouvrez la page Gestion des ports > Paramètres globaux UDLD. a. Saisissez le Délai de message. b. Sélectionnez l'état UDLD global Désactivé, Normal ou Agressif. ÉTAPE 2 Cliquez sur Appliquer.
11 Gestion des ports : Unidirectional Link Detection Configuration de UDLD Paramètres globaux UDLD L'État UDLD par défaut du port fibre s'applique uniquement aux ports fibre. Le champ Délai de message s'applique aux ports cuivre et fibre. Pour configurer UDLD globalement : ÉTAPE 1 Cliquez sur Gestion des ports> UDLD > Paramètres globaux UDLD. ÉTAPE 2 Renseignez les champs suivants : • Délai de message : entrez l'intervalle entre deux messages UDLD envoyés. Ce champ est destiné aux ports fibre et cuivre.
Gestion des ports : Unidirectional Link Detection Configuration de UDLD 11 Pour configurer UDLD pour une interface : ÉTAPE 1 Cliquez sur Gestion des ports> UDLD > Paramètres d'interface UDLD. Les informations sont affichées pour tous les ports sur lesquels UDLD est activé. Toutefois, si vous avez effectué un filtrage sur un groupe de ports spécifique, les informations sont affichées pour ce groupe de ports uniquement. • Port : identifiant du port.
11 Gestion des ports : Unidirectional Link Detection Configuration de UDLD ÉTAPE 3 Modifiez la valeur de l'état UDLD. Si vous sélectionnez Par défaut, le port reçoit la valeur de l'État UDLD par défaut du port fibre défini sur la page Paramètres globaux UDLD. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de Configuration d'exécution.
Gestion des ports : Unidirectional Link Detection Configuration de UDLD 11 • Délai d'expiration du voisin (sec) : indique le délai devant expirer avant la détermination de l'état UDLD du port. Il correspond à trois fois le délai de message. • Heure du message du voisin (sec) : indique le délai entre les messages UDLD.
12 Port intelligent Ce document décrit la fonction Port intelligent.
12 Port intelligent Qu'est-ce qu'un port intelligent ? Il est possible d'appliquer une macro Port intelligent à une interface par nom de macro ou par Type de port intelligent associé à la macro. L'application d'une macro Port intelligent par nom de macro s'effectue uniquement via l'interface de ligne de commande. Pour plus d'informations, reportez-vous au guide de l'interface de ligne de commande (CLI).
12 Port intelligent Types de port intelligent Types de port intelligent Les Types de port intelligent se réfèrent aux types des appareils associés ou devant être associés aux ports intelligents.
12 Port intelligent Types de port intelligent Le tableau suivant décrit la relation entre les Types de port intelligent et le Port intelligent automatique.
12 Port intelligent Macros Port intelligent Si le Port intelligent automatique attribue un Type de port intelligent à une interface et que l'interface n'est pas configurée pour être persistante au Port intelligent automatique, alors son Type de port intelligent est réinitialisé aux valeurs par défaut dans les cas suivants : • - Une opération de désactivation/activation de la liaison est effectuée sur l'interface. - L'appareil est redémarré.
12 Port intelligent Macros Port intelligent La source de la macro peut être trouvée en laissant exécuter la commande Show parser macro name [macro_name] en mode d'exécution privilégié de l'interface de ligne de commande (CLI) ou en cliquant sur le bouton Afficher la source de la macro de la page Paramètres de type de port intelligent. Une macro et l'anti-macro correspondante sont couplées en association avec chaque Type de port intelligent. La macro applique la configuration et l'anti-macro la supprime.
12 Port intelligent Échec de la macro et opération de réinitialisation • Si le fichier de Configuration de démarrage spécifie un Type de port intelligent statique, le Type de port intelligent de l'interface est défini sur ce type statique. • Si le fichier de Configuration de démarrage spécifie un Type de port intelligent qui a été dynamiquement attribué par la fonction Port intelligent automatique.
Port intelligent Fonctionnement de la fonction Port intelligent 12 Fonctionnement de la fonction Port intelligent Il est possible d'appliquer une macro Port intelligent à une interface par nom de macro ou par Type de port intelligent associé à la macro. L'application d'une macro Port intelligent par nom de macro s'effectue uniquement via l'interface de ligne de commande. Pour plus d'informations, reportez-vous au guide de l'interface de ligne de commande (CLI).
12 Port intelligent Port intelligent automatique Port intelligent automatique Pour que le Port intelligent automatique attribue automatiquement des Types de port intelligent aux interfaces, la fonction Port intelligent automatique doit être activée au niveau global et sur les interfaces pertinentes que le port intelligent automatique doit être autorisé à configurer. Par défaut, le Port intelligent automatique est activé et autorisé à configurer toutes les interfaces.
12 Port intelligent Port intelligent automatique Identification du Type de port intelligent Si le Port intelligent automatique est activé au niveau global (sur la page Propriétés) et sur une interface (sur la page Paramètres d'interface), l'appareil applique une macro Port intelligent à l'interface conformément au Type de port intelligent de l'appareil en cours d'association.
12 Port intelligent Port intelligent automatique Mappage des fonctionnalités CDP au Type de port intelligent (Suite) Nom de la fonctionnalité Bit CDP Type de port intelligent Téléphone VoIP 0x80 ip_phone Appareil géré à distance 0x100 Ignorer Port de téléphone CAST 0x200 Ignorer Relais MAC à deux ports 0x400 Ignorer Mappage des fonctionnalités LLDP au Type de port intelligent Nom de la fonctionnalité Bit LLDP Type de port intelligent Autres 1 Ignorer Répéteur IETF RFC 2108 2 Ignorer
12 Port intelligent Port intelligent automatique Plusieurs appareils associés au port L'appareil détecte le Type de port intelligent d'un appareil connecté via les fonctionnalités que l'appareil annonce dans ses paquets CDP et/ou LLDP. Si plusieurs appareils sont connectés à l'appareil par le biais d'une seule interface, le Port intelligent automatique utilise chaque annonce de fonctionnalité qu'il reçoit via cette interface pour attribuer le Type de port intelligent correct.
12 Port intelligent Gestion des erreurs REMARQUE La persistance des Types de port intelligent appliqués aux interfaces est effective entre les redémarrages uniquement si la configuration d'exécution avec le Type de port intelligent appliqué aux interfaces est enregistrée dans le fichier de Configuration de démarrage.
Port intelligent Tâches courantes de port intelligent 12 Tâches courantes de port intelligent Cette section décrit quelques tâches courantes permettant de configurer le Port intelligent et le Port intelligent automatique.
12 Port intelligent Tâches courantes de port intelligent ÉTAPE 5 Cliquez sur Appliquer. Flux de travail 3 : pour définir les valeurs par défaut des paramètres de macro Port intelligent et/ou lier une paire de macros définie par l'utilisateur à un Type de port intelligent, procédez comme suit : Cette procédure vous permet d'effectuer les tâches suivantes : • Afficher la source de la macro. • Modifier les valeurs par défaut des paramètres. • Restaurer les paramètres d'usine.
Port intelligent Configuration de port intelligent à l'aide de l'interface Web 12 ÉTAPE 4 Cliquez sur Modifier. Une nouvelle fenêtre s'ouvre. Cliquez sur Réinitialiser pour réinitialiser l'interface.
12 Port intelligent Configuration de port intelligent à l'aide de l'interface Web Propriétés de port intelligent Pour configurer la fonction Port intelligent de façon globale : ÉTAPE 1 Cliquez sur Port intelligent> Propriétés. ÉTAPE 2 Saisissez les paramètres. • 213 Port intelligent automatique administratif : sélectionnez cette option pour activer ou désactiver globalement le Port intelligent automatique.
Port intelligent Configuration de port intelligent à l'aide de l'interface Web 12 ÉTAPE 3 Cliquez sur Appliquer. Vous appliquez ainsi les paramètres de Port intelligent globaux sur l'appareil. Paramètres de type de port intelligent Utilisez la page Paramètres de type de port intelligent pour modifier les paramètres de type de port intelligent et afficher la source de la macro. Par défaut, chaque Type de port intelligent est associé à une paire de macros Port intelligent intégrées.
12 Port intelligent Configuration de port intelligent à l'aide de l'interface Web • Nom de la macro : affiche le nom de la macro Port intelligent actuellement associée au Type de port intelligent. • Type de macro : indiquez si la paire macro/anti-macro associée à ce Type de port intelligent est intégrée ou définie par l'utilisateur. • Macro définie par l'utilisateur : si vous le souhaitez, sélectionnez la macro définie par l'utilisateur à associer au Type de port intelligent sélectionné.
Port intelligent Configuration de port intelligent à l'aide de l'interface Web 12 Paramètres d'interface de port intelligent Utilisez la page Paramètres d'interface pour effectuer les tâches suivantes : • Appliquez de manière statique un Type de port intelligent spécifique à une interface, avec des valeurs spécifiques à l'interface pour les paramètres de macro. • Activez le Port intelligent automatique sur une interface.
12 Port intelligent Configuration de port intelligent à l'aide de l'interface Web ÉTAPE 2 Diagnostic de port intelligent. Si une macro Port intelligent échoue, le Type de port intelligent de l'interface est Inconnu. Sélectionnez une interface dont le type est inconnu, puis cliquez sur Afficher les diagnostics. Le système affiche la commande où l'application de la macro a échoué. Pour obtenir des conseils de dépannage, reportez-vous à la zone de flux de travail dans Tâches courantes de port intelligent.
12 Port intelligent Macros Port intelligent intégrées • État persistant : sélectionnez cette option pour activer l'État persistant. S'il est activé, l'association d'un Type de port intelligent à une interface est conservée même si l'interface est désactivée ou que l'appareil est redémarré. L'État persistant s'applique uniquement si l'Application de port intelligent de l'interface est Port intelligent automatique.
12 Port intelligent Macros Port intelligent intégrées • ip_phone_desktop • switch • router • ap desktop [desktop] #interface configuration, for increased network security and reliability when connecting a desktop device, such as a PC, to a switch port. (configuration d'interface pour une sécurité et une fiabilité réseau accrues au moment de connecter un périphérique de bureau, tel qu'un PC à un port de commutateur.
Port intelligent Macros Port intelligent intégrées 12 no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ printer [printer] #macro description printer #macro keywords $native_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port #Default Values are #$native_vlan = Default VLAN # #the port type cannot be detect
12 Port intelligent Macros Port intelligent intégrées no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ guest [guest] #macro description guest #macro keywords $native_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port #Default Values are #$native_vlan = Default VLAN # #the port type cannot be detected automatically # switchport mode access switchpor
Port intelligent Macros Port intelligent intégrées 12 # spanning-tree portfast auto # @ server [server] #macro description server #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$max_hosts = 10 # #the port type cannot be detected automatically # #the default mode is trunk smartport switchport trunk native vlan
12 Port intelligent Macros Port intelligent intégrées # @ host [host] #macro description host #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$max_hosts = 10 # #the port type cannot be detected automatically # #the default mode is trunk smartport switchport trunk native vlan $native_vlan # port security max $m
Port intelligent Macros Port intelligent intégrées 12 # @ ip_camera [ip_camera] #macro description ip_camera #macro keywords $native_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port #Default Values are #$native_vlan = Default VLAN # switchport mode access switchport access vlan $native_vlan # #single host port security max 1 port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control includ
12 Port intelligent Macros Port intelligent intégrées ip_phone [ip_phone] #macro description ip_phone #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 #$max_hosts = 10 # #the default mode is trunk smartport switchport trunk allowed vlan add $voice_vlan s
Port intelligent Macros Port intelligent intégrées 12 no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_phone_desktop [ip_phone_desktop] #macro description ip_phone_desktop #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1
12 Port intelligent Macros Port intelligent intégrées smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ switch [switch] #macro description switch #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $
12 Port intelligent Macros Port intelligent intégrées router [router] #macro description router #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix # #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 # #the default mode is trunk smartport switchport trunk allowed vlan add all smartport switchport trunk native vlan $native_vlan # smartport storm-control broadcast level 10 smartport st
12 Port intelligent Macros Port intelligent intégrées ap [ap] #macro #macro # #macro sur le 229 description ap keywords $native_vlan $voice_vlan key description: port $native_vlan: VLAN sans balise qui sera configuré Guide d'administration du commutateur administrable Cisco Small Business séries 200, 300 et 500 (version interne)
13 Gestion des ports : fonctionnalité PoE La fonctionnalité PoE (Power over Ethernet) n'est disponible que sur les appareils basés sur PoE. Une liste de ces appareils vous est présentée à la section Modèles de périphériques. Cette section décrit comment utiliser la fonctionnalité PoE. REMARQUE La fonctionnalité PoE n'est pas activée sur les périphériques SG500XG/ESW2-550X.
13 Gestion des ports : fonctionnalité PoE PoE sur l'appareil • Élimine le besoin de déployer des systèmes à double câblage dans une entreprise et permet ainsi de réduire de façon significative les coûts d'installation. PoE peut être utilisé dans tout réseau d'entreprise déployant des appareils de puissance relativement faible connectés au LAN Ethernet et notamment : • les téléphones IP, • les points d'accès sans fil, • les passerelles IP, • les appareils de surveillance audio et vidéo à distance.
Gestion des ports : fonctionnalité PoE PoE sur l'appareil 13 Considérations relatives à la configuration de PoE Deux facteurs sont à prendre en considération dans la fonctionnalité PoE : • la quantité de puissance que le PSE peut fournir ; • la quantité de puissance que le PD essaie véritablement de consommer.
13 Gestion des ports : fonctionnalité PoE Configuration des propriétés PoE ! AVERTISSEMENT Tenez compte des éléments suivants lorsque vous connectez des commutateurs capables de fournir une alimentation PoE : les modèles PoE des séries Sx200, Sx300 et SF500 sont des appareils PSE (Power Sourcing Equipment) qui peuvent fournir une alimentation CC à des périphériques connectés (PD, Powered Devices). Ces derniers englobent notamment des téléphones VoIP, des caméras IP et des points d'accès sans fil.
Gestion des ports : fonctionnalité PoE Configuration des propriétés PoE 13 Pour configurer la fonctionnalité PoE sur l'appareil et surveiller la puissance consommée : ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Propriétés. ÉTAPE 2 Saisissez les valeurs pour les champs suivants : • Mode d'alimentation : sélectionnez l'une des options suivantes : - Limite du port : la limite maximale de puissance par port est configurée par l'utilisateur.
13 Gestion des ports : fonctionnalité PoE Configuration des paramètres de la fonctionnalité PoE Configuration des paramètres de la fonctionnalité PoE La page Paramètres PoE affiche les informations PoE système pour l'activation de PoE sur les interfaces et la surveillance de la consommation actuelle ainsi que de la limite maximale de puissance par port. REMARQUE La fonctionnalité PoE de l'appareil peut être configurée pour un laps de temps limité.
Gestion des ports : fonctionnalité PoE Configuration des paramètres de la fonctionnalité PoE 13 Vous devez entrer ces priorités sur la page Paramètres PoE. Reportez-vous à la section Modèles de périphériques pour obtenir une description des modèles d'appareils qui prennent en charge la fonctionnalité PoE et connaître la puissance maximale pouvant être allouée aux ports PoE. Pour configurer les paramètres de port PoE : ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Paramètres.
13 Gestion des ports : fonctionnalité PoE Configuration des paramètres de la fonctionnalité PoE • Classe : ce champ s'affiche uniquement si le mode d'alimentation Limite de classe est défini sur la page Propriétés PoE.
14 Gestion des VLAN Cette section couvre les rubriques suivantes : • VLAN • Configuration des paramètres VLAN par défaut • Création d'un VLAN • Configuration des paramètres d'interface VLAN • Définition de l'appartenance VLAN • Paramètres GVRP • Groupes VLAN • VLAN voix • Accès VLAN TV port multidiffusion • VLAN TV port client multidiffusion VLAN Un VLAN est un groupe de ports logique qui permet aux périphériques qui lui sont associés de communiquer entre eux sur une couche MAC Ethernet
14 Gestion des VLAN VLAN Un port en mode Accès VLAN ne peut faire partie que d'un seul VLAN. S'il est en mode Général ou Liaison, le port peut faire partie d'un ou plusieurs VLAN. Les VLAN traitent les problèmes de sécurité et d'extensibilité. Le trafic d'un VLAN reste à l'intérieur du VLAN et se termine à ses périphériques. II facilite également la configuration réseau en connectant logiquement les périphériques sans les transférer physiquement.
14 Gestion des VLAN VLAN Le routeur IP peut être un routeur traditionnel où chacune de ses interfaces se connecte à un seul VLAN. Le trafic depuis et vers un routeur IP traditionnel doit être balisé VLAN. Le routeur IP peut être un routeur tenant compte du VLAN où chacune de ses interfaces peut se connecter à un ou plusieurs VLAN. Le trafic depuis et vers un routeur IP tenant compte du VLAN peut être balisé ou non balisé VLAN.
14 Gestion des VLAN Configuration des paramètres VLAN par défaut Un autre avantage de QinQ est qu'il n'est pas nécessaire de configurer les dispositifs de bordure du client. Vous pouvez activer QinQ sur la page Gestion des VLAN > Paramètres d'interface. Charge de travail de la configuration VLAN Pour configurer les VLAN : 1. Dans la mesure où cela est requis, modifiez le VLAN par défaut en utilisant la section Configuration des paramètres VLAN par défaut. 2.
Gestion des VLAN Configuration des paramètres VLAN par défaut 14 • Il ne peut pas être utilisé pour un rôle spécial tel qu'un VLAN non authentifié ou un VLAN voix. Cette option ne concerne que les VLAN voix définis sur OUI activé. • Si un port n'est plus membre d'un VLAN, le périphérique le configure automatiquement en tant que membre non balisé du VLAN par défaut. Un port n'est plus membre d'un VLAN si le VLAN est supprimé ou s'il est supprimé du VLAN.
14 Gestion des VLAN Création d'un VLAN Création d'un VLAN Vous pouvez créer un VLAN mais cela n'a aucun effet tant que le VLAN n'est pas manuellement ou dynamiquement lié à au moins un port. Les ports doivent toujours appartenir à un ou plusieurs VLAN. Chaque VLAN doit être configuré avec un VID unique (ID VLAN) dont la valeur est comprise entre 1 et 4 094. Le périphérique conserve le VID 4 095 comme VLAN d'abandon.
Gestion des VLAN Configuration des paramètres d'interface VLAN 14 Configuration des paramètres d'interface VLAN La page Paramètres d'interface affiche et active la configuration des paramètres VLAN pour toutes les interfaces Pour configurer les paramètres VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres d'interface. ÉTAPE 2 Sélectionnez un type d'interface (Port ou LAG) et cliquez sur OK. Les ports ou LAG et leurs paramètres VLAN s'affichent.
14 Gestion des VLAN Définition de l'appartenance VLAN • - Admettre balisées uniquement : l'interface accepte uniquement les trames balisées. - Admettre non balisées uniquement : l'interface accepte uniquement les trames de priorité et non balisées. Filtrage d'entrée (uniquement disponible en mode Général) : sélectionnez cette option pour activer le Filtrage d'entrée.
14 Gestion des VLAN Définition de l'appartenance VLAN Les trames balisées VLAN peuvent traverser d'autres périphériques réseau prenant ou non en compte les VLAN. Si un nœud d'extrémité de destination ne prend pas en compte le VLAN, mais doit recevoir du trafic depuis un VLAN, alors le dernier périphérique prenant en compte le VLAN (s'il existe) doit envoyer les trames du VLAN de destination au nœud d'extrémité non balisé.
14 Gestion des VLAN Définition de l'appartenance VLAN ÉTAPE 4 Cliquez sur Appliquer. Les interfaces sont attribuées au VLAN et écrites dans le fichier de Configuration d'exécution. Vous pouvez continuer d'afficher et/ou de configurer l'appartenance de port à un autre VLAN en sélectionnant l'ID d'un autre VLAN. Configuration d'une appartenance VLAN La page Appartenance VLAN des ports affiche tous les ports du périphérique, ainsi qu'une liste des VLAN auxquels chaque port appartient.
14 Gestion des VLAN Paramètres GVRP ÉTAPE 4 Saisissez les valeurs pour les champs suivants : • Interface : sélectionnez un port/LAG. Sélectionnez l'unité/logement sur un périphérique de la série 500. • Mode : affiche le mode VLAN du port qui a été sélectionné sur la page Paramètres d'interface. • Sélectionner le VLAN : pour associer un port à un ou plusieurs VLAN, déplacez le ou les ID VLAN de la liste de gauche vers la liste de droite à l'aide des flèches.
14 Gestion des VLAN Paramètres GVRP Lorsqu'un port est connecté à un VLAN via GVRP, il est ajouté au VLAN en tant que membre dynamique, sauf si cette action a été expressément interdite sur la page Appartenance VLAN des ports. Si le VLAN n'existe pas, il est dynamiquement créé lorsque la création de VLAN dynamiques est activée pour ce port (sur la page Paramètres GVRP). Le GVRP doit être activé globalement et sur chaque port. Lorsqu'il est activé, il transmet et reçoit des GPDU (GARP Packet Data Units).
14 Gestion des VLAN Groupes VLAN Groupes VLAN Les groupes VLAN sont utilisés pour l'équilibrage de charge du trafic sur un réseau de couche 2. Les paquets sont affectés à un VLAN selon diverses classifications qui ont été configurées (comme des groupes VLAN). Si plusieurs systèmes de classification sont définis, les paquets sont affectés à un VLAN dans l'ordre suivant : • Balise : si le paquet est balisé, le VLAN est extrait de la balise.
14 Gestion des VLAN Groupes VLAN Référence Mode système Groupes VLAN basés sur MAC pris en charge Sx500, Sx500ESW2550X Couche 2 Oui Couche 3 Non SG500X Natif Oui Hybride de base Couche 2 Oui Hybride de base Couche 3 Non Identique à Sx500 Oui SG500XG Flux de travail Pour définir un groupe VLAN basé sur MAC : 1. Attribuez une adresse MAC à un ID de groupe VLAN (à l'aide de la page Groupes basés sur MAC). 2. Pour chaque interface requise : a.
14 Gestion des VLAN Groupes VLAN • • Masque : saisissez l'une des informations suivantes : - Hôte : hôte source de l'adresse MAC - Longueur : préfixe de l'adresse MAC ID de groupe : saisissez un numéro d'ID de groupe VLAN créé par l'utilisateur. ÉTAPE 4 Cliquez sur Appliquer. L'adresse MAC est assignée à un groupe VLAN. Mappage d'un groupe VLAN à un VLAN par interface Reportez-vous au Tableau 1 pour obtenir une description de la disponibilité de cette fonction.
14 Gestion des VLAN Groupes VLAN VLAN basés sur le protocole Des groupes de protocoles peuvent être définis, puis liés à un port. Lorsqu'un groupe de protocoles a été lié à un port, chaque paquet originaire d'un protocole du groupe est affecté au VLAN configuré sur la page Groupes basés sur les protocoles. Flux de travail Pour définir un groupe VLAN basé sur protocole : 1. Définissez un groupe de protocoles (à l'aide de la page Groupes basés sur les protocoles). 2.
14 Gestion des VLAN Groupes VLAN - LLC-SNAP (rfc1042) : si cette option est sélectionnée, saisissez la Valeur de protocole. - LLC : si cette option est sélectionnée, sélectionnez les Valeurs DSAPSSAP. • Type Ethernet : sélectionnez le Type Ethernet pour l'encapsulation Ethernet V2. Il s'agit du champ à deux octets dans la trame Ethernet utilisé pour indiquer quel protocole est encapsulé dans la charge utile du paquet Ethernet pour le groupe VLAN.
14 Gestion des VLAN VLAN voix • ID du groupe : ID de groupe de protocoles • ID VLAN : attache l'interface à un ID VLAN défini par l'utilisateur. ÉTAPE 4 Cliquez sur Appliquer. Les ports de protocoles sont mappés à des VLAN et écrits dans le fichier de Configuration d'exécution. VLAN voix Dans un LAN, les périphériques vocaux tels que les téléphones IP, les points d'extrémité VoIP et les systèmes vocaux sont placés dans le même VLAN. On appelle ce VLAN un VLAN voix.
14 Gestion des VLAN VLAN voix • PBX IP tiers hébergé : les téléphones SBTG CP-79xx et SPA5xx ainsi que les points d'extrémité SPA8800 Cisco prennent en charge ce modèle de déploiement. Dans ce modèle, le VLAN utilisé par les téléphones est déterminé par la configuration réseau. Il peut éventuellement y avoir des VLAN voix et données séparés. Les téléphones et points d'extrémité VoIP s'inscrivent sur un PBX IP sur site.
14 Gestion des VLAN VLAN voix Lorsque le périphérique est en mode OUI de téléphonie et qu'un port est configuré manuellement comme candidat au VLAN voix, le périphérique ajoute dynamiquement le port au VLAN voix s'il reçoit un paquet dont l'adresse MAC source correspond à celle des OUI de téléphonie configurés. Un OUI correspond aux trois premiers octets d'une adresse MAC Ethernet. Pour plus d’informations sur le mode OUI de téléphonie, reportez-vous à la section Configuration de l'OUI de téléphonie.
14 Gestion des VLAN VLAN voix Le périphérique attend des périphériques vocaux en cours de raccordement qu'ils envoient des paquets VLAN balisés. Sur les ports où le VLAN voix est également le VLAN natif, les paquets VLAN voix non balisés sont possibles.
14 Gestion des VLAN VLAN voix VLAN voix automatique Le mode VLAN voix automatique permet de gérer le VLAN voix, mais dépend de la fonction Port intelligent automatique pour gérer l'appartenance des ports VLAN voix. Le mode VLAN voix automatique offre les fonctions suivantes lorsqu'il est opérationnel : • Il détecte les informations VLAN voix dans les annonces CDP provenant des périphériques voisins à connexion directe.
14 Gestion des VLAN VLAN voix REMARQUE : si le périphérique est en mode système de couche 2, il peut uniquement se synchroniser avec les commutateurs compatibles VSDP situés dans le même VLAN de gestion. Si le périphérique est en mode système de couche 3, il peut se synchroniser avec les commutateurs compatibles VSDP, situés sur les sous-réseaux IP à connexion directe configurés sur le périphérique.
14 Gestion des VLAN VLAN voix vocaux OUI de téléphonie, vous pouvez remplacer la qualité de service et éventuellement re-marquer la valeur 802.1p des flux vocaux en spécifiant les valeurs CoS/802.1p souhaitées et en utilisant l'option de re-marquage sous OUI de téléphonie. Contraintes du VLAN voix Les contraintes suivantes doivent être prises en compte : • Seul un VLAN voix est pris en charge. • Un VLAN défini en tant que VLAN voix ne peut pas être supprimé.
14 Gestion des VLAN VLAN voix Flux de travail 1 : pour configurer le VLAN voix automatique : ÉTAPE 1 Ouvrez la page Gestion des VLAN > VLAN voix > Propriétés. ÉTAPE 2 Sélectionnez l'ID du VLAN voix. Il ne peut pas être défini sur l'ID de VLAN 1 (cette étape n'est pas obligatoire pour le VLAN voix dynamique). ÉTAPE 3 Sélectionnez VLAN voix dynamique pour activer le mode VLAN voix automatique. ÉTAPE 4 Sélectionnez la méthode Activation du VLAN voix automatique.
14 Gestion des VLAN VLAN voix Configuration du VLAN voix Cette section explique comment configurer le VLAN voix. Elle couvre les rubriques suivantes : • Configuration des propriétés du VLAN voix • Affichage des Paramètres du VLAN voix automatique • Configuration de l'OUI de téléphonie Configuration des propriétés du VLAN voix Utilisez la page Propriétés du VLAN voix pour effectuer les tâches suivantes : • Affichez les paramètres de configuration actuels du VLAN voix.
14 Gestion des VLAN VLAN voix • DSCP : sélection de valeurs DSCP utilisées par LLDP-MED en tant que stratégie réseau de voix. Pour plus d'informations, reportez-vous à Administration > Détection > LLDP > Stratégie réseau LLDP MED. • VLAN voix dynamique : sélectionnez ce champ pour désactiver ou activer la fonction VLAN voix de l'une des manières suivantes : - Activer le VLAN voix automatique : active le VLAN voix dynamique en mode VLAN voix automatique.
14 Gestion des VLAN VLAN voix Pour afficher les paramètres VLAN voix automatique : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > VLAN voix automatique. Le bloc d'état opérationnel figurant sur cette page affiche des informations sur le VLAN voix actuel et sa source : • État de VLAN voix automatique : indique si le VLAN voix automatique est activé. • ID du VLAN voix : identificateur du VLAN voix actuel.
14 Gestion des VLAN VLAN voix • Type de source : type d'UC à partir duquel la configuration de voix a été reçue. Les options suivantes sont disponibles : - Par défaut : configuration VLAN voix par défaut sur le périphérique. - Statique : configuration VLAN voix définie par l'utilisateur programmée sur le périphérique. - CDP : indique que l'UC qui a annoncé la configuration VLAN voix exécute CDP. - LLDP : indique que l'UC qui a annoncé la configuration VLAN voix exécute LLDP.
14 Gestion des VLAN VLAN voix Cette rubrique aborde les points suivants : • Ajout de OUI à la Table des OUI de téléphonie • Ajout d'interfaces au VLAN voix sur la base des OUI Ajout de OUI à la Table des OUI de téléphonie Utilisez la page OUI de téléphonie pour configurer les propriétés QoS des OUI de téléphonie. Vous pouvez également configurer le Délai d'expiration d'appartenance automatique. Si la période expire sans aucune activité téléphonique, le port est supprimé du VLAN voix.
14 Gestion des VLAN VLAN voix Pour supprimer tous les OUI, cochez la case du haut. Tous les OUI sont sélectionnés et peuvent être supprimés en cliquant sur Supprimer. Si vous cliquez ensuite sur Restaurer les OUI par défaut, le système récupère les OUI connus. ÉTAPE 4 Pour ajouter un nouveau OUI, cliquez sur Ajouter. ÉTAPE 5 Saisissez les valeurs pour les champs suivants : • OUI de téléphonie : saisissez un nouvel OUI. • Description : saisissez un nom d'OUI. ÉTAPE 6 Cliquez sur Appliquer.
14 Gestion des VLAN Accès VLAN TV port multidiffusion • Adhésion VLAN OUI de téléphonie : si cette option est activée, l'interface est un port candidat du VLAN voix basé sur les OUI de téléphonie. Lorsque des paquets correspondant à l'un des OUI de téléphonie configurés sont reçus, le port est ajouté au VLAN voix. • Mode de QoS OUI de téléphonie : sélectionnez l'une des options suivantes : - Tous : les attributs QoS sont appliqués à tous les paquets catégorisés comme VLAN voix.
14 Gestion des VLAN Accès VLAN TV port multidiffusion Les ports récepteurs de l'abonné ne peuvent être associés au VLAN TV de multidiffusion que s'ils sont définis dans l'un des deux types suivants : • Port d'accès • Port client (voir VLAN TV port client multidiffusion) Il est possible d'associer un ou plusieurs groupes d'adresses de multidiffusion IP au même VLAN TV de multidiffusion. Tout VLAN peut être configuré en tant que VLAN TV de multidiffusion.
14 Gestion des VLAN Accès VLAN TV port multidiffusion • Sinon, le message IGMP est associé au VLAN d'accès et transmis uniquement au sein de ce VLAN. • Le message IGMP est abandonné si : - L'état STP/RSTP sur le port d'accès est Abandonner. - L'état MSTP du VLAN d'accès est Abandonner. - L'état MSTP du VLAN TV de multidiffusion est Abandonner et le message IGMP est associé à ce VLAN TV de multidiffusion.
14 Gestion des VLAN Accès VLAN TV port multidiffusion Configuration Flux de travail Configurez un VLAN TV à l'aide des étapes suivantes : 1. Définissez un VLAN TV en associant un groupe de multidiffusion à un VLAN (à l'aide de la page Groupe multidiffusion aux VLAN). 2. Spécifiez les ports d'accès dans chaque VLAN de multidiffusion (à l'aide de la page Appartenance VLAN du port multidiffusion).
14 Gestion des VLAN VLAN TV port client multidiffusion ÉTAPE 4 Cliquez sur Appliquer. Les paramètres VLAN TV de multidiffusion sont modifiés et écrits dans le fichier de Configuration d'exécution.
14 Gestion des VLAN VLAN TV port client multidiffusion • VLAN TV multidiffusion Le VLAN interne (C-Tag) est la balise qui détermine la destination dans le réseau de l'abonné (via la boîte CPE MUX). Flux de travail 1. Configurez un port d'accès en tant que port client (à l'aide de la page Gestion des VLAN > Paramètres d'interface). Pour plus d'informations, reportez-vous à la section QinQ. 2.
14 Gestion des VLAN VLAN TV port client multidiffusion • VLAN TV de multidiffusion : sélectionnez le VLAN TV de multidiffusion qui est mappé au VLAN CPE. ÉTAPE 4 Cliquez sur Appliquer. Le mappage de VLAN CPE est modifié et écrit dans le fichier de Configuration d'exécution. Appartenance VLAN CPE du port multidiffusion Les ports associés aux VLAN de multidiffusion doivent être configurés en tant que ports clients (voir Configuration des paramètres d'interface VLAN).
15 Arbre recouvrant Cette section décrit le protocole STP (Spanning Tree Protocol) (IEEE802.1D et IEEE802.
15 Arbre recouvrant Configuration de l'état STP et des paramètres globaux Le protocole STP fournit une topologie en arborescence pour l'agencement de commutateurs et de liens d'interconnexion afin de créer un chemin d'accès unique entre des stations d'arrivée sur un réseau et d'éliminer les boucles. Le périphérique prend en charge les versions de protocole STP suivantes : • Le STP classique fournit un chemin d'accès unique entre deux stations d'arrivée afin d'empêcher et d'éliminer les boucles.
Arbre recouvrant Configuration de l'état STP et des paramètres globaux 15 Pour définir l'état et les paramètres globaux STP : ÉTAPE 1 Cliquez sur Spanning Tree > État STP et paramètres globaux. ÉTAPE 2 Saisissez les paramètres. Paramètres globaux : • Spanning Tree State : activez ou désactivez le protocole STP sur le périphérique. • Mode de fonctionnement STP : sélectionnez un mode STP.
15 Arbre recouvrant Définition des paramètres d'interface du Spanning Tree • Délai de transfert : définissez la durée en secondes durant laquelle le pont reste en mode d'apprentissage avant de transférer des paquets. Pour plus d’informations, reportez-vous à la section Définition des paramètres d'interface du Spanning Tree. Racine désignée : • ID du pont : la priorité du pont est concaténée avec l'adresse MAC du périphérique.
Arbre recouvrant Définition des paramètres d'interface du Spanning Tree 15 ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez le port ou le LAG sur lequel Spanning Tree est configuré. • STP : active ou désactive STP sur le port. • Port de bordure : active ou désactive Fast Link sur le port. Si le mode Fast Link est activé pour un port, le port est automatiquement placé en mode Transfert lorsque le lien du port est actif. Fast Link optimise la convergence du protocole STP.
15 Arbre recouvrant Définition des paramètres d'interface du Spanning Tree • 281 Gestion BPDU : définissez la façon dont les paquets BPDU sont gérés lorsque le protocole STP est désactivé sur le port ou le périphérique. Les BPDU sont utilisés pour transmettre des informations du Spanning Tree. - Utiliser les paramètres globaux : sélectionnez cette option pour utiliser les paramètres définis sur la page État et paramètres globaux STP.
Arbre recouvrant Configuration des paramètres Rapid Spanning Tree 15 • Transitions de transfert : affiche le nombre de fois où le port est passé de l'état Blocage à l'état Transfert. • Vitesse : affiche la vitesse du port. • LAG : affiche le LAG auquel appartient le port. Si un port est membre d'un LAG, les paramètres du LAG remplacent ceux du port. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres d'interface sont écrits dans le fichier de Configuration d'exécution.
15 Arbre recouvrant Configuration des paramètres Rapid Spanning Tree ÉTAPE 6 Configurez les paramètres suivants : • Interface : définissez l'interface et précisez le port ou LAG où RSTP doit être configuré. • État administratif point à point : définissez l'état du lien point à point. Les ports définis en tant que Full Duplex sont considérés comme liens de port point à point.
15 Arbre recouvrant Multiple Spanning Tree • • État opérationnel Fast Link : indique si Fast Link (port de bordure) est activé, désactivé ou automatique pour l'interface. Les valeurs disponibles sont les suivantes : - Activé : Fast Link est activé. - Désactivé : Fast Link est désactivé. - Auto : le mode Fast Link s'active quelques secondes après l'activation de l'interface. État des ports : affiche l'état RSTP sur le port spécifique.
15 Arbre recouvrant Définition des propriétés MSTP 3. Décidez quelle instance MSTP est active dans quel VLAN et associez ces instances MSTP aux VLAN en conséquence. 4.
Arbre recouvrant Mappage des VLAN à une instance MSTP 15 ÉTAPE 3 Saisissez les paramètres. • Nom de région : définissez un nom de région MSTP. • Révision : définissez un nombre non affecté d'un signe à 16 octets qui identifie la révision de la configuration MST actuelle. Ce champ est compris entre 0 et 65535. • Sauts max. : définissez le nombre total des sauts se produisant dans une région spécifique avant la désactivation du BPDU.
15 Arbre recouvrant Définition des paramètres d'instance MSTP Pour relier des VLAN à des instances MST : ÉTAPE 1 Cliquez sur Spanning Tree > VLAN d'une instance MSTP. La page VLAN vers instance MSTP contient les champs suivants : • ID d'instance MST : toutes les instances MST sont affichées. • VLAN : tous les VLAN appartenant à l'instance MST sont affichés. ÉTAPE 2 Pour ajouter un VLAN à une instance MSTP, sélectionnez l'instance MST puis cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres.
Arbre recouvrant Définition des paramètres de l'interface MSTP 15 • Priorité du pont : définissez la priorité de ce pont pour l'instance MST sélectionnée. • ID du pont racine désigné : affiche la priorité et l'adresse MAC du pont racine pour l'instance MST. • Port racine : affiche le port racine de l'instance sélectionnée. • Coût du chemin racine : affiche le coût du chemin racine de l'instance sélectionnée.
15 Arbre recouvrant Définition des paramètres de l'interface MSTP • Interface : sélectionnez l'interface pour laquelle les paramètres MSTI doivent être définis. • Priorité d'interface : définissez la priorité du port pour l'interface spécifiée et l'instance MST. • Coût de chemin : entrez la contribution du port au coût du chemin racine dans la zone de texte Défini par l'utilisateur ou sélectionnez Valeurs par défaut pour utiliser la valeur par défaut.
Arbre recouvrant Définition des paramètres de l'interface MSTP 15 - Secours : l'interface fournit un chemin de secours pour le chemin de port désigné vers les nœuds terminaux du Spanning Tree. Des ports de secours existent lorsque deux ports sont reliés dans une boucle par un lien point à point. Des ports de secours apparaissent également lorsqu'un LAN possède deux ou plusieurs connexions établies à un segment partagé. - Désactivé : l'interface ne participe pas au Spanning Tree.
16 Gestion des tables d'adresses MAC Cette section vous explique comment ajouter des adresses MAC au système. Elle couvre les rubriques suivantes : • Configuration d'adresses MAC statiques • Gestion des adresses MAC dynamiques • Définition d'adresses MAC réservées Types d'adresses MAC Il existe deux types d'adresses MAC : statiques et dynamiques.
Gestion des tables d'adresses MAC Configuration d'adresses MAC statiques 16 Configuration d'adresses MAC statiques Les adresses MAC statiques sont affectées à une interface physique et à un VLAN spécifiques sur le périphérique. Si cette adresse est détectée sur une autre interface, elle est ignorée et n'est pas consignée dans la table des adresses. Pour définir une adresse statique : ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Adresses statiques.
16 Gestion des tables d'adresses MAC Gestion des adresses MAC dynamiques Gestion des adresses MAC dynamiques La table des adresses dynamiques (table de pontage) contient les adresses MAC obtenues en surveillant les adresses source des trames entrant dans le périphérique. Pour éviter de surcharger cette table et pour garder de l'espace pour de nouvelles adresses MAC, une adresse est supprimée si elle n'enregistre aucun trafic pendant une période donnée. Ce délai correspond au délai d'expiration.
Gestion des tables d'adresses MAC Définition d'adresses MAC réservées 16 ÉTAPE 4 Cliquez sur OK. La Table des adresses MAC dynamiques est interrogée et les résultats s'affichent. Cliquez sur Effacer la table pour supprimer toutes les adresses MAC dynamiques. Définition d'adresses MAC réservées Lorsque le périphérique reçoit une trame utilisant une adresse MAC de destination qui appartient à une plage réservée (conformément à la norme IEEE), cette trame peut être éliminée ou pontée.
17 Multidiffusion Cette section décrit la fonction de transfert de multidiffusion et couvre les rubriques suivantes : • Transfert de multidiffusion • Définition des propriétés de multidiffusion • Ajout d'une adresse MAC de groupe • Ajout d'adresses IP de groupe de multidiffusion • Configuration de la surveillance de trafic IGMP • Surveillance MLD • Interrogation du groupe de multidiffusion IP IGMP/MLD • Définition des ports de routeur de multidiffusion • Définition de la multidiffusion Tou
17 Multidiffusion Transfert de multidiffusion Pour que le transfert de multidiffusion fonctionne sur des sous-réseaux IP, les nœuds et les routeurs doivent être compatibles avec la multidiffusion. Un nœud compatible avec la multidiffusion doit pouvoir : • Envoyer et recevoir des paquets de multidiffusion • Enregistrer les adresses de multidiffusion que le nœud écoute auprès des routeurs locaux afin que les routeurs locaux et distants puissent acheminer le paquet de multidiffusion vers les nœuds.
17 Multidiffusion Transfert de multidiffusion Dans un service de multidiffusion Couche 2, un commutateur Couche 2 reçoit une seule trame, adressée à une adresse de multidiffusion spécifique. Il crée des copies de la trame pour les transmettre à chacun des ports concernés.
17 Multidiffusion Transfert de multidiffusion Les versions suivantes sont prises en charge : • IGMP v1/v2/ v3 • MLD v1/v2 • Émetteur de requêtes de traçage IGMP Snooping simple Vous devez disposer d'un émetteur de requêtes IGMP pour gérer le protocole IGMP sur un sous-réseau particulier. En général, le routeur de multidiffusion sert également d'émetteur de requêtes IGMP.
17 Multidiffusion Définition des propriétés de multidiffusion - Pour IPv6, le processus de mappage utilise les 32 bits de poids faible (de droite) de l'adresse de multidiffusion et ajoute le préfixe 33:33. Par exemple, l'adresse de multidiffusion IPv6 FF00:1122:3344 est mappée sur l'adresse de multidiffusion Couche 2 33:33:11:22:33:44. Définition des propriétés de multidiffusion La page Propriétés permet de configurer l'état de filtrage multidiffusion par ponts.
Multidiffusion Ajout d'une adresse MAC de groupe 17 En sélectionnant le mode de transfert, vous pouvez définir la méthode utilisée par le matériel pour identifier le flux de multidiffusion à l'aide de l'une des options suivantes : Adresse MAC de groupe, Adresse IP de groupe ou Adresse IP source de groupe. (S,G) est pris en charge par IGMPv3 et MLDv2 alors qu'IGMPv1/2 et MLDv1 ne prennent en charge que (*.G), qui inclut uniquement l'ID de groupe.
17 Multidiffusion Ajout d'une adresse MAC de groupe Lorsque le système reçoit une trame d'un VLAN configuré pour transférer les flux de multidiffusion sur la base des adresses MAC de groupe et que l'adresse de destination est une adresse de multidiffusion Couche 2, la trame est transférée vers tous les ports membres de l'adresse MAC de groupe.
Multidiffusion Ajout d'une adresse MAC de groupe 17 ÉTAPE 5 Saisissez les paramètres. • ID VLAN : définit l'ID de VLAN du nouveau groupe de multidiffusion. • Adresse de groupe MAC : définit l'adresse MAC du nouveau groupe de multidiffusion. ÉTAPE 6 Cliquez sur Appliquer et l'adresse MAC du groupe de multidiffusion est enregistrée dans le fichier de Configuration d'exécution.
17 Multidiffusion Ajout d'adresses IP de groupe de multidiffusion Ajout d'adresses IP de groupe de multidiffusion La page Adresse IP de groupe de multidiffusion est identique à la page Adresse de groupe MAC, à la seule différence que les groupes de multidiffusion y sont identifiés par leurs adresses IP. La page Adresse IP de groupe de multidiffusion vous permet d'interroger et d'ajouter des IP de groupes de multidiffusion.
Multidiffusion Configuration de la surveillance de trafic IGMP 17 • Adresse IP de multidiffusion de groupe : définit l'adresse IP de multidiffusion du nouveau groupe. • Propre à la source : indique que l'entrée contient une source spécifique et ajoute l'adresse correspondante dans le champ Adresse IP source. Dans le cas contraire, l'entrée est ajoutée sous la forme (*,G), c'est-à-dire une adresse IP de groupe associée à toutes les sources IP. • Adresse IP source : définit l'adresse source à inclure.
17 Multidiffusion Configuration de la surveillance de trafic IGMP Par défaut, un périphérique Couche 2 transfère les trames de multidiffusion vers tous les ports du VLAN concerné, traitant en fait les trames comme s'il s'agissait de diffusions. Avec le traçage IGMP Snooping, le périphérique transfère les trames de multidiffusion vers les ports comportant des clients de multidiffusion enregistrés. REMARQUE Le périphérique n'effectue le traçage IGMP Snooping que sur les VLAN statiques.
Multidiffusion Configuration de la surveillance de trafic IGMP 17 Lorsque le traçage IGMP Snooping est activé au niveau global, le périphérique qui surveille le trafic réseau peut détecter les hôtes qui ont demandé à recevoir le trafic de multidiffusion. Le périphérique exécute uniquement le traçage IGMP Snooping si vous avez activé à la fois IGMP Snooping et le filtrage multidiffusion par ponts. ÉTAPE 3 Sélectionnez un VLAN et cliquez sur Modifier.
17 Multidiffusion Configuration de la surveillance de trafic IGMP • Nombre de requêtes du dernier membre : indiquez le nombre de requêtes propres au groupe IGMP envoyées avant que le périphérique considère qu'il n'existe aucun autre membre pour le groupe, dans la mesure où ce périphérique a été choisi comme émetteur de requêtes. • Nombre de requêtes du dernier membre opérationnel : affiche la valeur opérationnelle du compteur de requêtes du dernier membre.
17 Multidiffusion Surveillance MLD Surveillance MLD Les hôtes emploient le protocole MLD pour signaler leur participation aux sessions de multidiffusion tandis que le périphérique utilise la surveillance MLD pour générer des listes de membres de multidiffusion. Ces listes servent à transmettre les paquets de multidiffusion uniquement aux ports du périphérique où existent des nœuds hôtes membres des groupes de multidiffusion. Le périphérique ne prend pas en charge l'émetteur de requêtes MLD.
17 Multidiffusion Surveillance MLD Pour activer le traçage MLD et le configurer sur un VLAN : ÉTAPE 1 Cliquez sur Multidiffusion > MLD Snooping. ÉTAPE 2 Activez ou désactivez l'option État MLD Snooping. Lorsque le traçage MLD Snooping est activé au niveau global, le périphérique qui surveille le trafic réseau peut détecter les hôtes qui ont demandé à recevoir le trafic de multidiffusion.
Multidiffusion Interrogation du groupe de multidiffusion IP IGMP/MLD 17 • Intervalle de réponse max aux requêtes opérationnelles : saisissez la durée utilisée pour calculer le code de réponse maximal inséré dans les requêtes générales. • Nombre de requêtes du dernier membre : saisissez le nombre de requêtes du dernier membre à utiliser si le périphérique ne peut pas dériver cette valeur des messages envoyés par l'émetteur de requêtes choisi.
17 Multidiffusion Définition des ports de routeur de multidiffusion ÉTAPE 3 Saisissez tout ou partie des critères de filtrage des requêtes suivants : • Adresse de groupe est égale à : définit l'adresse MAC ou IP du groupe de multidiffusion à interroger. • Adresse source est égale à : définit l'adresse d'expéditeur à interroger. • ID VLAN est égal à : définit l'ID de VLAN à interroger. ÉTAPE 4 Cliquez sur OK.
Multidiffusion Définition de la multidiffusion Tout transférer 17 • Version IP est égale à : sélectionnez la version IP prise en charge par le routeur de multidiffusion. • Type d'interface est égal à : choisissez d'afficher les ports ou les LAG. ÉTAPE 3 Cliquez sur OK. Les interfaces répondant aux critères de requête sont affichées. ÉTAPE 4 Sélectionnez le type d'association de chaque port ou LAG.
17 Multidiffusion Définition des paramètres de multidiffusion non enregistrée REMARQUE Cette configuration affecte uniquement les ports membres du VLAN sélectionné. Pour définir la multidiffusion Tout transférer : ÉTAPE 1 Cliquez sur Multidiffusion > Tout transférer. ÉTAPE 2 Définissez les éléments suivants : • ID VLAN est égal à : ID du VLAN où les ports/LAG doivent être affichés. • Type d'interface est égal à : choisissez d'afficher les ports ou les LAG. ÉTAPE 3 Cliquez sur OK.
Multidiffusion Définition des paramètres de multidiffusion non enregistrée 17 Vous pouvez sélectionner un port pour qu'il reçoive les flux de multidiffusion non enregistrée ou pour qu'il les filtre. Cette configuration est valide pour tous les VLAN dont il est (ou sera) membre. Cette fonction garantit que le client reçoit uniquement les groupes de multidiffusion demandés et non les autres groupes éventuellement transmis sur le réseau.
18 Configuration IP Les adresses d'interface IP peuvent être configurées manuellement par l'utilisateur ou automatiquement via un serveur DHCP. Cette section fournit des informations sur la définition des adresses IP du périphérique, soit manuellement soit en faisant du périphérique un client DHCP.
18 Configuration IP Vue d'ensemble Certaines fonctionnalités ne sont disponibles qu'en mode système Couche 2 ou Couche 3, comme décrit ci-dessous : • En mode système Couche 2 (périphériques Sx500 uniquement), le périphérique fonctionne en tant que périphérique reconnaissant les VLAN Couche 2, sans aucune fonction de routage. • En mode système Couche 3, le périphérique possède des fonctions de routage IP en plus des fonctions du mode système Couche 2.
18 Configuration IP Vue d'ensemble Si le périphérique reçoit une réponse DHCPv4 du serveur DHCPv4 (contenant une adresse IPv4), il envoie des paquets ARP (Address Resolution Protocol, protocole de résolution d'adresse) pour vérifier que cette adresse IP est unique. Si la réponse ARP indique que l'adresse IPv4 est déjà utilisée, le périphérique envoie le message DHCPDECLINE (Refus DHCP) au serveur DHCP répondu. Il envoie ensuite un nouveau paquet DHCPDISCOVER (Détection DHCP) pour relancer le processus.
18 Configuration IP Vue d'ensemble • Avec les paramètres d'usine, si aucune adresse IP n'est disponible (qu'elle soit définie de manière statique ou acquise via DHCP), le système utilise l'adresse IP par défaut. Lorsque d'autres adresses IP deviennent disponibles, elles sont automatiquement utilisées. L'adresse IP par défaut se trouve toujours sur le VLAN de gestion. Adressage IP Couche 3 En mode système Couche 3, le périphérique peut posséder plusieurs adresses IP.
18 Configuration IP Vue d'ensemble Une interface de bouclage ne prend pas en charge le pontage ; elle ne peut pas être membre d'un VLAN et aucun protocole Couche 2 ne peut être activé sur celui-ci. L'identifiant de l'interface de liaison locale IPv6 est 1. Lorsque le commutateur est en mode système Couche 2, les règles suivantes sont prises en charge : • Une seule interface de bouclage est prise en charge.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 IPv4 Management and Interfaces (Interfaces et gestion IPv4) Interface IPv4 Les interfaces IPv4 peuvent être définies sur le périphérique lorsque celui-ci se trouve en mode système Couche 2 ou Couche 3. Définition d'une interface IPv4 en mode système Couche 2 Cette section ne concerne pas le périphérique SG500X, ESW2-550X ou SG500XG.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) - Longueur du préfixe : sélectionnez et saisissez la longueur du préfixe d'adresse IPv4. • Interface de bouclage : sélectionnez cette option pour activer la configuration d'une interface de bouclage (voir Interface de bouclage). • Adresse IP de bouclage : saisissez l'adresse IPv4 de l'interface de bouclage.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 Définition d'une interface IPv4 en mode système Couche 3 Utilisez la page Interface IPv4 lorsque le périphérique fonctionne en mode système Couche 3. Ce mode permet de configurer plusieurs adresses IP pour la gestion du périphérique et fournit des services de routage. L'adresse IP peut être configurée sur une interface de port, de LAG, de VLAN ou de bouclage.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) • État : résultats de la vérification d'unicité de l'adresse IP. - Tentative : aucun résultat final pour la vérification d'unicité de l'adresse IP. - Valide : contrôle de collision d'adresse IP terminé ; aucune collision détectée. - Dupliqué valide : contrôle de collision d'adresse IP terminé ; une adresse IP en double a été détectée. - Dupliqué : doublon d'adresse IP détecté pour l'adresse IP par défaut.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 ! AVERTISSEMENT Lorsque le système est défini dans l'un des modes Pile avec une unité principale/ de sauvegarde présente, il est recommandé de configurer l'adresse IP comme adresse statique afin d'éviter toute déconnexion du réseau lors d'un basculement de l'unité principale de la pile.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) • Type d'acheminement : sélectionnez le type d'acheminement approprié. - Rejeter : rejette l'acheminement indiqué et stoppe tout routage vers le réseau de destination via toutes les passerelles. Cela garantit l'élimination de toutes les trames qui arrivent avec l'IP de destination de cet acheminement. • Distant : indique que l'acheminement est un chemin distant.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 ARP Le périphérique gère une table ARP (Address Resolution Protocol, protocole de résolution d'adresse) pour tous les périphériques connus résidant sur ses sousréseaux IP à connexion directe. Un sous-réseau IP à connexion directe désigne un sous-réseau auquel une interface IPv4 du périphérique est connectée.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) ÉTAPE 3 Cliquez sur Appliquer. Les paramètres globaux ARP sont écrits dans le fichier de Configuration d'exécution. La table ARP contient les champs suivants : • Interface : interface IPv4 du sous-réseau IP à connexion directe où réside le périphérique IP. • Adresse IP : adresse IP du périphérique IP. • Adresse MAC : adresse MAC du périphérique IP.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 Proxy ARP La technique de proxy ARP est utilisée par le périphérique situé sur un sousréseau IP donné pour répondre aux requêtes ARP qui concernent une adresse située hors de ce réseau. REMARQUE La fonction de proxy ARP n'est disponible que lorsque le périphérique est en mode L3. Le proxy ARP reconnaît la destination du trafic et répond en suggérant une autre adresse MAC.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Sélectionnez l'Interface IP source vers laquelle le périphérique doit reCouche les paquets de diffusion UDP sur la base du port de destination UDP configuré. L'interface choisie doit être l'une des interfaces IPv4 configurées sur le périphérique. ÉTAPE 4 Saisissez le numéro du port UDP de destination des paquets que le périphérique doit reCouche.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 En mode système Couche 3, le périphérique peut également reCouche les messages DHCP provenant de VLAN qui ne possèdent pas d'adresses IP. Dès que le relais DHCP est activé sur un VLAN sans adresse IP, l'option 82 est insérée automatiquement. Cette insertion se trouve dans le VLAN en question et n'influence pas la gestion globale de l'insertion de l'option 82.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Les cas suivants peuvent se présenter : • Le client DHCP et le serveur DHCP sont connectés au même VLAN. Dans ce cas, un pontage standard transmet les messages DHCP entre le client et le serveur DHCP. • Le client DHCP et le serveur DHCP sont connectés à des VLAN différents. Dans ce cas, seul le relais DHCP est en mesure de diffuser les messages DHCP entre le client et le serveur DHCP.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Insertion de l'option 82 activée Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Relais : le paquet est envoyé avec l'option 82 Relais : le paquet est envoyé avec l'option 82 Le paquet est envoyé avec l'option 82 d'origine Pont : l'option 82 n'est pas envoyée Pont : l'option 82 n'est pas envoyée Relais : ignore le paquet Pont : le paquet est envoyé avec l'option 82 d'origine Vous découvrirez commen
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Insertion de l'option 82 activée Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Relais : le paquet Le paquet est est envoyé avec envoyé avec l'option 82 l'option 82 d'origine Pont : l'option 82 est ajoutée Relais : le paquet est envoyé avec l'option 82 (si le port est sécurisé, se comporte comme si la surveillance DHCP n'était pas activée) Pont : l'option 82 est insérée Relais : ignore le paquet Pon
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Insertion de Le paquet est l'option 82 envoyé sans désactivée l'option 82 Le paquet est envoyé avec l'option 82 d'origine Relais : ignore l'option 82 Pont : le paquet est envoyé sans l'option 82 Relais : 1. Si la réponse provient du périphérique, le paquet est envoyé sans l'option 82 2.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Vous découvrirez comment les paquets de réponses DHCP sont traités quand la surveillance DHCP et le relais DHCP sont activés Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive sans l'option 82 Insertion Le paquet est de envoyé sans l'option 82 l'option 82 désactivée Le paquet arrive avec l'option 82 Le paquet arrive sans l'option 82 Le paquet est Relais : ignore envoyé avec l'option 82 l'
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 La base de données de liaison de surveillance DHCP est également utilisée par les fonctionnalités de protection de la source IP et d'inspection ARP dynamique pour déterminer les sources légitimes des paquets. Ports sécurisés DHCP Les ports DHCP peuvent être sécurisés ou non sécurisés. Par défaut, tous les ports sont non sécurisés. Pour créer un port sécurisé, accédez à la page Paramètres de l'interface de surveillance DHCP.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) ÉTAPE 5 Le périphérique surveille le paquet. Si une entrée correspondant au paquet existe dans la table de liaison de surveillance DHCP, le périphérique la remplace par la liaison IP-MAC à la réception de DHCPACK. ÉTAPE 6 Le périphérique transfère DHCPOFFER, DHCPACK ou DHCPNAK. Vous découvrirez ci-dessous comment les paquets DHCP sont traités au niveau des ports sécurisés et non sécurisés.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Type de paquet Arrivée via une interface d'entrée non sécurisée Arrivée via une interface d'entrée sécurisée DHCPDECLINE Confirmation de la présence des informations dans la base de données. Si les informations existent et ne correspondent pas à l'interface sur laquelle le message a été reçu, le paquet est filtré.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Options DHCP par défaut Option État par défaut Surveillance DHCP Activé Insertion de l'option 82 Désactivée Intercommunication de l'option 82 Désactivée Vérifier l'adresse MAC Activé Base de données de liaison de surveillance DHCP de secours Désactivée Relais DHCP Désactivé Configuration du workflow DHCP Pour configurer le relais et la surveillance DHCP : ÉTAPE 1 Activez la surveillance DHCP et/ou le relais DHCP
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 Propriétés Pour configurer le relais DHCP, la surveillance DHCP et l'option 82 : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Surveillance/Relais DHCP > Propriétés ou Sécurité > Surveillance DHCP. Renseignez les champs suivants : • Option 82 : sélectionnez Option 82 pour insérer des informations sur l'option 82 dans les paquets.
18 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) En mode Couche 3, la surveillance et le relais DHCP peuvent être activés sur n'importe quelle interface avec adresse IP et sur des VLAN avec ou sans adresse IP. Pour activer la surveillance ou le relais DHCP sur des interfaces spécifiques : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Surveillance/Relais DHCP > Paramètres d'interface.
Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 18 Veuillez noter les points suivants au sujet de la maintenance de la base de données de liaison de surveillance DHCP : • Le périphérique ne met pas à jour la base de données de liaison de surveillance DHCP lorsqu'une station est déplacée vers une autre interface. • Si un port est en panne, les entrées de ce port ne sont pas supprimées.
18 Configuration IP Serveur DHCP ÉTAPE 3 Renseignez les champs suivants : • ID VLAN : VLAN sur lequel le paquet est attendu. • Adresse MAC : adresse MAC du paquet. • Adresse IP : adresse IP du paquet. • Interface : l'unité/le logement/l'interface qui doit réceptionner le paquet. • Type : ce champ peut prendre les valeurs suivantes : • - Dynamique : l'entrée a une durée de bail limitée. - Statique : l'entrée a été configurée pour être statique.
18 Configuration IP Serveur DHCP Dépendances entre les fonctions • Il est impossible de configurer en même temps le serveur DHCP et le client DHCP sur le système, à savoir : Si le client DHCP est activé sur une interface, il n'est pas possible d'activer le serveur DHCP globalement. • Lorsque le relais DHCPv4 est activé, il est impossible de configurer le périphérique en tant que serveur DHCP.
18 Configuration IP Serveur DHCP Serveur DHCPv4 Pour configurer le périphérique en tant que serveur DHCPv4 : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Serveur DHCP > Propriétés pour afficher la page Propriétés. ÉTAPE 2 Sélectionnez Activer pour configurer le périphérique comme serveur DHCP. ÉTAPE 3 Cliquez sur Appliquer. Le périphérique fonctionne immédiatement en tant que serveur DHCP.
18 Configuration IP Serveur DHCP ÉTAPE 2 Cliquez sur Ajouter pour définir un nouveau groupe réseau. Remarque : vous pouvez renseigner soit les champs Subnet IP Address (Adresse IP de sousréseau) et Masque soit les champs Masque, Address Pool Start (Début de groupe d'adresses) et Address Pool End (Fin de groupe d'adresses). ÉTAPE 3 Renseignez les champs suivants : • Pool Name (Nom du groupe) : saisissez le nom du groupe.
18 347 Configuration IP Serveur DHCP • Domain Name (Option 15) (Nom de domaine (option 15)) : saisissez le nom de domaine pour un client DHCP. • NetBIOS WINS Server (Option 44) (Serveur NetBIOS WINS (option 44)) : saisissez le serveur du nom NetBIOS WINS disponible pour un client DHCP. • NetBIOS Node Type (Option 46) (Type de nœud NetBIOS (option 46)) : sélectionnez comment résoudre le nom NetBIOS.
18 Configuration IP Serveur DHCP Adresses exclues Par défaut, le serveur DHCP suppose que toutes les adresses du groupe peuvent être attribuées aux clients. Il est possible d'exclure une seule adresse IP ou une plage d'adresses IP. Les adresses exclues sont exclues de tous les groupes DHCP.
18 Configuration IP Serveur DHCP • Longueur du préfixe : vérifiez et saisissez le nombre de bits compris dans le préfixe de l’adresse. Type d'identifiant : saisissez comment identifier l'hôte statique spécifique. - Identifiant de client : saisissez une identification unique du client spécifié dans une notation hexadécimale, comme : 01b60819681172. ou : - 349 Adresse MAC : saisissez l'adresse MAC du client.
18 Configuration IP Serveur DHCP - Peer-to-Peer (Homologue) : les communications point à point avec le serveur de nom NetBIOS sont utilisées pour enregistrer et traduire les noms d'ordinateur en adresses IP. - Broadcast (Diffusion) : les messages de diffusion IP Broadcast sont utilisés pour enregistrer et traduire les noms NetBIOS en adresses IP.
18 Configuration IP Serveur DHCP Pour configurer une ou plusieurs options DHCP : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Serveur DHCP > Options DHCP. Les options DHCP précédemment configurées sont affichées. ÉTAPE 2 Pour configurer une option qui n'a pas encore été configurée et renseigner le champ : • Nom de groupe de serveurs DHCP : sélectionnez l'un des groupes d'adresses réseau définis sur la page Groupes de réseaux.
18 Configuration IP Serveur DHCP Liaison d'adresses Utilisez la page Address Binding (Liaison d'adresses) pour afficher et supprimer les adresses IP attribuées par le périphérique ainsi que leurs adresses MAC correspondantes. Pour afficher et/ou supprimer les liaisons d'adresses : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > DHCP Server (Serveur DHCP) > Address Binding (Liaison d'adresses) pour afficher la page Address Binding (Liaison d'adresses).
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) IPv6 Management and Interfaces (Interfaces et gestion IPv6) Internet Protocol version 6 (IPv6) est un protocole de couche réseau utilisé dans les communications entre réseaux à commutation de paquets. IPv6 a été conçu pour remplacer IPv4, le protocole Internet le plus souvent déployé. IPv6 apporte davantage de souplesse dans l'affectation des adresses IP car la taille des adresses passe de 32 à 128 bits.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Un acheminement définit le chemin entre deux périphériques en réseau. Les entrées de routage ajoutées par l'utilisateur sont statiques. Elles sont conservées et utilisées par le système jusqu'à suppression explicite de la part de l'utilisateur et elles ne sont pas modifiées par les protocoles de routage. Si les acheminements statiques doivent être actualisés, cette procédure doit être effectuée explicitement par l'utilisateur.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • IPv6 Hop Limit (Limite de saut IPv6) : (Couche 3 uniquement) saisissez le nombre maximal de routeurs intermédiaires qu'un paquet peut traverser pour atteindre sa destination finale. Chaque fois qu'un paquet est transféré à un autre routeur, la limite de saut est réduite. Lorsque la limite de saut devient zéro, le paquet est ignoré. Cela empêche un transfert infini des paquets.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 ÉTAPE 2 Saisissez les paramètres. • IPv6 Link Local Default Zone (Zone de liaison locale IPv6 par défaut) : (Couche 3 uniquement) sélectionnez cette option pour activer une zone par défaut. Il s'agit d'une interface à utiliser pour sortir un paquet de liaison locale arrivant sans interface spécifiée ou avec sa zone 0 par défaut.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) ÉTAPE 6 Pour configurer des paramètres IPv6 supplémentaires, renseignez les champs suivants : • Configuration automatique d'adresses IPv6 : sélectionne la configuration automatique des adresses à partir des annonces de routeur envoyées par des voisins. REMARQUE : le périphérique ne prend pas en charge la configuration automatique des adresses avec conservation d'état à partir d'un serveur DHCPv6.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Détails de client DHCPv6 Le bouton DHCPv6 Client Details (Détails de client DHCPv6) affiche les informations reçues sur l'interface d'un serveur DHCPv6. Cette option est activée lorsque l'interface sélectionnée est définie comme client DHCPv6 sans état.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • SNTP Servers (Serveurs SNTP) : liste des serveurs SNTP reçue du serveur DHCPv6. • POSIX Timezone String (Chaîne de fuseau horaire POSIX) : fuseau horaire reçu du serveur DHCPv6. • Configuration Server (Serveur de configuration) : serveur contenant un fichier de configuration reçu du serveur DHCPv6.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) - • 18 S'il est impossible de résoudre l'adresse IPv4 du routeur ISATAP à l'aide du processus DNS, l'interface IP ISATAP reste active. Le système ne comportera un routeur par défaut pour le trafic ISATAP qu'après résolution du processus DNS. Tunnel manuel Il s'agit d'une définition point à point.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) ÉTAPE 6 Renseignez les champs suivants : • Type : affiche le type de tunnel : Manual (Manuel) ou ISATAP. • Tunnel State (État du tunnel) : sélectionnez cette option pour activer le tunnel. • Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la génération d'une interception lorsque l'état du lien d'un port a été changé.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • • 18 Destination : (pour le tunnel manuel uniquement) sélectionnez l'une des options suivantes pour spécifier l'adresse de destination du tunnel : - Nom d'hôte : nom DNS de l'hôte distant. - Adresse IPv4 : adresse IPv4 de l'hôte distant.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : une adresse IPv6 qui est de type global IPV6 monodiffusion, visible et joignable à partir d'autres réseaux. - Anycast (Pluridiffusion) : (Couche 3 seulement) l'adresse IPv6 est une adresse pluridiffusion.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Configuration du routeur IPv6 Les sections suivantes décrivent comment configurer les routeurs IPv6. Annonce de routeur Les routeurs IPv6 peuvent annoncer leur préfixes aux périphériques voisins.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • Other Stateful Configuration Flag (Indication de configuration d'autres informations avec conservation d'état) : cette indication permet d'indiquer aux hôtes connectés qu'ils doivent utiliser la configuration automatique avec conservation d'état pour obtenir d'autres informations (outre l'adresse).
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration d'exécution. Préfixes IPv6 Pour définir des préfixes à annoncer sur les interfaces du périphérique : ÉTAPE 1 Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6)> Configuration du routeur IPv6 > Préfixes IPv6. ÉTAPE 2 Si nécessaire, activez le champ Filtre et cliquez sur OK.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • Durée de vie préférée : la durée restante, en secondes, durant laquelle ce préfixe continue à être prioritaire. Une fois ce temps écoulé, le préfixe ne doit plus être utilisé en tant qu'adresse source dans une nouvelle communication mais, les paquets reçus sur cette interface sont traités comme prévu. La durée de vie préférée ne doit pas être supérieure à la durée de vie valide.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Liste des routeurs par défaut IPv6 La page Liste des routeurs par défaut IPv6 vous permet de configurer et d'afficher les adresses de routeur IPv6 par défaut. Cette liste contient les routeurs susceptibles de devenir le routeur par défaut du périphérique pour le trafic non local (elle peut être vide). Le périphérique sélectionne un routeur au hasard dans la liste.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) ÉTAPE 3 Renseignez les champs suivants : • Saut suivant : adresse IP de la destination suivante vers laquelle le paquet est envoyé. Vous disposez des possibilités suivantes : - Global : une adresse IPv6 qui est de type global IPV6 monodiffusion, visible et joignable à partir d'autres réseaux. - Liaison locale : une interface IPv6 et une adresse IPv6 qui identifient uniquement des hôtes sur une liaison de réseau unique.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Pour définir des voisins IPv6 : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Voisins IPv6. En mode système Couche 3, cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Voisins IPv6. Vous pouvez sélectionner une option Effacer la table afin d'effacer certaines adresses IPv6 (ou toutes) de la table des voisins IPv6.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) ÉTAPE 2 Pour ajouter un voisin à la table, cliquez sur Ajouter. ÉTAPE 3 Saisissez les valeurs appropriées dans les champs suivants : • Interface : interface de voisinage IPv6 à ajouter. • Adresse IPv6 : saisissez l'adresse réseau IPv6 affectée à l'interface. Cette adresse doit être une adresse IPv6 valide. • Adresse MAC : saisissez l'adresse MAC mappée sur l'adresse IPv6 spécifiée. ÉTAPE 4 Cliquez sur Appliquer.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Pour créer une liste de préfixes : ÉTAPE 1 (En mode Couche 3) Cliquez sur Configuration IP > IPv6 Management Interfaces (Interfaces et gestion IPv6) > Liste de préfixes IPv6. - ou (En mode Couche 2) Cliquez sur Administration > IPv6 Management Interfaces (Interfaces et gestion IPv6) > Liste de préfixes IPv6. ÉTAPE 2 Cliquez sur Ajouter.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • • • Supérieur à : longueur minimale du préfixe devant être utilisée pour la correspondance. Sélectionnez une des options suivantes : - Aucune limite : aucune longueur minimale du préfixe ne doit être utilisée pour la correspondance. - Défini par l'utilisateur : longueur minimale du préfixe devant être respectée. Inférieur à : longueur maximale du préfixe devant être utilisée pour la correspondance.
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Pour visualiser les routeurs IPv6 ou ajouter manuellement une route : Pour visualiser les entrées de routage IPv6 en mode système Couche 2 : ÉTAPE 1 Cliquez sur Administration > Interface de gestion > Acheminements IPv6. - ou Pour visualiser les entrées de routage IPv6 en mode système Couche 3 : Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Routes IPv6.
18 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • Type d'acheminement : mode de rattachement de la destination et méthode utilisée pour obtenir l'entrée. Les valeurs sont les suivantes : - Local : un réseau connecté directement dont le préfixe est dérivé de l'adresse IPv6 d'un périphérique configuré manuellement. - Dynamique : la destination est une adresse de sous-réseau IPv6 attachée de façon indirecte (à distance).
Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 18 Global Destinations (Destinations globales) Pour configurer une liste de serveurs DHCPv6 vers laquelle tous les paquets DHCPv6 sont relayés : ÉTAPE 1 Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Relais DHCPv6 > Global Destinations (Destinations globales). ÉTAPE 2 Pour ajouter un serveur DHCPv6 par défaut, cliquez sur Ajouter.
18 Configuration IP Nom de domaine • Type d'adresse IPv6 : saisissez le type de l'adresse de destination vers laquelle les messages client sont transférés. Le type d'adresse peut être Liaison locale, Global ou Multidiffusion (All_DHCP_Relay_Agents_and_Servers). • DHCPv6 Server IP Address (Adresse IP serveur DHCPv6) : saisissez l'adresse du serveur DHCPv6 vers lequel les paquets sont transférés.
18 Configuration IP Nom de domaine • Intervalle d'interrogation : saisissez la fréquence (en secondes) à laquelle le périphérique envoie des paquets de requête DNS lorsque le nombre maximal de tentatives a été atteint. - Valeurs par défaut : cette option permet d'utiliser la valeur par défaut. Cette valeur = 2*(Polling Retries (Tentatives d'interrogation) + 1)* Polling Timeout (Délai de l'interrogation) • Défini par l'utilisateur : cette option permet de saisir une valeur définie par l'utilisateur.
18 Configuration IP Nom de domaine • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible.
18 Configuration IP Nom de domaine • Préférence : ordre dans lequel les domaines sont utilisés (du bas vers le haut). Cette option détermine efficacement l'ordre dans lequel les noms incomplets sont complétés au cours des requêtes DNS. Mappage d'hôtes Les mappages Nom d'hôte/Adresse IP sont enregistrés dans la zone Table de mappage d'hôtes (cache DNS). Ce cache peut contenir les types d'entrée suivants : • Entrées statiques : paires de mappage qui ont été manuellement ajoutées au cache.
18 Configuration IP Nom de domaine • Type : une entrée dynamique ou statique dans le cache. • État : affiche les résultats des tentatives d'accéder à l'hôte. - OK : tentative réussie. - Negative Cache (Cache négatif) : tentative échouée, ne réessayez pas. - Pas de réponse : pas de réponse mais le système peut effectuer ultérieurement une nouvelle tentative. • TTL : s'il s'agit d'une entrée dynamique, cette option indique combien de temps elle demeurera dans le cache.
18 Configuration IP Nom de domaine Vous pouvez sélectionner l'option Effacer la table afin d'effacer certaines entrées ou toutes les entrées de la Table de mappage d'hôtes. • Statique uniquement : supprime les hôtes statiques. • Dynamique uniquement : supprime les hôtes dynamiques. • Dynamique et statique : supprime les hôtes statiques et dynamiques.
19 Configuration IP : RIPv2 Cette section décrit la fonctionnalité RIP (Routing Information Protocol), version 2. Elle couvre les rubriques suivantes : • Vue d'ensemble • Fonctionnement de RIP sur l'appareil • Configuration de RIP REMARQUE La fonctionnalité RIP est prise en charge sur les appareils suivants : - SG500X/SG500XG en mode de pile autonome. - SG500X/SG500XG en modes de pile hybride avancée en Couche 3.
Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 19 L'appareil prend en charge RIP version 2, qui est basé sur les normes suivantes : • RFC2453 RIP Version 2, Novembre 1998 • RFC2082 RIP-2 MD5 Authentication, Janvier 1997 • RFC1724 RIP Version 2 MIB Extension Les paquets RIPv1 reçus sont supprimés.
19 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil Configuration du décalage Un message RIP inclut une métrique (nombre de sauts) pour chaque route. Un décalage est un numéro supplémentaire qui est ajouté à une métrique pour affecter le coût des chemins. Le décalage est défini par interface et peut, par exemple, refléter la vitesse, le délai et toute autre qualité de cette interface spécifique. De cette façon, vous pouvez ajuster le coût relatif des interfaces comme vous le souhaitez.
Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 19 transférer le trafic via le routeur rB. Pour ce faire, vous devez configurer un décalage différent (valeur de métrique) sur chaque interface en fonction de sa vitesse de ligne. Pour plus d'informations, reportez-vous à la section Configuration du décalage. Mode passif Il est possible de désactiver la transmission des messages de mise à jour du routage via une interface IP spécifique.
19 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil Vous pouvez activer l'annonce de route par défaut et la configurer avec une métrique donnée. Fonctionnalité de redistribution Voici une liste des types de routes pouvant être distribuées par RIP : • Connectée : routes RIP pour lesquelles le protocole RIP n'est pas activé (définition locale) sur les interfaces IP définies correspondantes.
Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil • 19 Paramètre défini par l'utilisateur Si cette option est sélectionnée, RIP utilise la valeur de métrique saisie par l'utilisateur. Utilisation de la fonction RIP dans un réseau dont les appareils ne sont pas RIP La configuration de route statique et les interfaces connectées doivent être prises en compte lorsque la fonction RIP est utilisée.
19 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil Authentification RIP Vous pouvez désactiver l'authentification des messages RIP par interface IP ou activer l'un des types suivants d'authentification : • Texte en clair ou mot de passe : utilise un mot de passe de clé (chaîne) qui est envoyé avec la route à un autre routeur. Le routeur de destination compare cette clé avec sa propre clé configurée. Si elles sont identiques, il accepte la route.
19 Configuration IP : RIPv2 Configuration de RIP Configuration de RIP Les actions suivantes peuvent être effectuées : • • Actions obligatoires : - Activez/désactivez globalement le protocole RIP, à l'aide de la page Propriétés RIPv2. - Activez/désactivez le protocole RIP sur une interface IP, à l'aide de la page Paramètres RIPv2.
19 Configuration IP : RIPv2 Configuration de RIP - Désactiver : désactivez RIP. La désactivation de RIP supprime la configuration de RIP sur le système. - Fermer : définissez l'état global de RIP sur « fermer ». • Annonce RIP : permet d'activer l'envoi de mises à jour de routage à toutes le interfaces IP RIP. • Annonce de route par défaut : permet d'activer l'envoi de la route par défaut au domaine RIP. Cette route sera utilisée comme routeur par défaut.
19 Configuration IP : RIPv2 Configuration de RIP • • Transparent : si cette option est sélectionnée, RIP utilise la métrique de table de routage comme métrique RIP pour la configuration de route statique propagée. Il en résulte le comportement suivant : - Si la valeur de métrique d'une route statique est égale ou inférieure à 15, cette valeur est utilisée dans le protocole RIP lors de l'annonce de cette route statique.
19 393 Configuration IP : RIPv2 Configuration de RIP - Désactiver : permet de désactiver l'annonce de route par défaut sur cette interface RIP. - Activer : permet d'activer l'annonce de route par défaut sur cette interface RIP. • Mesure d'annonce de route par défaut : permet d'indiquer la métrique de la route par défaut pour cette interface. • Mode d'authentification : état d'authentification de RIP (activer/désactiver) sur une interface IP spécifiée.
19 Configuration IP : RIPv2 Configuration de RIP ÉTAPE 3 Cliquez sur Appliquer. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Affichage des compteurs de statistiques RIPv2 Pour afficher les compteurs de statistiques RIP de chaque adresse IP : ÉTAPE 1 Cliquez sur Configuration IP > RIPv2 > Statistiques RIPv2. Les champs suivants sont affichés : • Interface IP : interface IP définie sur l'interface Couche 2.
19 Configuration IP : RIPv2 Configuration de RIP • Routes incorrectes reçues : spécifie le nombre de routes incorrectes reçues et identifiées par RIP sur l'interface IP. Les routes incorrectes sont des routes dont les paramètres de route sont incorrects. Par exemple, la destination IP est une adresse de diffusion, ou la métrique est 0 ou supérieure à 16. • Date de dernière màj : indique quand RIP a reçu pour la dernière fois des routes RIP depuis l'adresse IP distante.
19 Configuration IP : RIPv2 Configuration de RIP • • Masque de la source IPv4 : entrez le type et la valeur du masque d'adresse IPv4 source. Les options suivantes sont disponibles : - Masque de réseau : saisissez le masque de réseau. - Longueur du préfixe : saisissez la longueur du préfixe. Action : sélectionnez une action pour la liste d'accès. Les options suivantes sont disponibles : - Autoriser : permet d'autoriser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès.
19 Configuration IP : RIPv2 Configuration de RIP - 397 Refuser : permet de refuser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès.
20 Configuration IP : VRRP Ce chapitre décrit le fonctionnement du protocole VRRP (Virtual Router Redundancy Protocol) et la configuration des routeurs virtuels exécutant VRRP via une interface utilisateur graphique Web. REMARQUE Les modèles SF500 ne prennent pas en charge la fonctionnalité VRRP.
20 Configuration IP : VRRP Vue d'ensemble Contraintes VRRP n'est pris en charge que par les commutateurs SG500X/ESW2-550X. Topologie VRRP Vous allez découvrir la topologie d'un LAN sur lequel VRRP est configuré. Dans cet exemple, les routeurs A, B et C sont des routeurs VRRP et englobent un routeur virtuel. L'adresse IP du routeur virtuel est la même que celle configurée pour l'interface Ethernet du routeur A (198.168.2.1).
20 Configuration IP : VRRP Vue d'ensemble REMARQUE : la priorité du routeur VRRP dépend des éléments suivants : si le routeur VRRP est le propriétaire, sa priorité est de 255 (la plus élevée) ; s'il n'est pas propriétaire, sa priorité est configurée manuellement (toujours inférieure à 255). Lorsque le routeur A est à nouveau opérationnel, il reprend son rôle de routeur virtuel principal.
20 Configuration IP : VRRP Éléments configurables de VRRP Dans cette topologie, deux routeurs virtuels sont configurés. Pour le routeur virtuel 1, rA est le propriétaire de l'adresse IP 192.168.2.1 et joue le rôle de routeur virtuel principal, et rB est le routeur virtuel de secours de rA. Les clients1 et 2 sont configurés avec l'adresse IP de la passerelle par défaut : 198.168.2.1. Pour le routeur virtuel 2, rB est le propriétaire de l'adresse IP 192.168.2.
20 Configuration IP : VRRP Éléments configurables de VRRP • VRRPv2 IPv4 basé sur RC3768. Des messages VRRPv2 sont envoyés. La version VRRP est configurée sur chaque routeur virtuel. VRRPv2 est la version par défaut. Vous pouvez être confronté aux situations suivantes lors de la configuration d'un routeur virtuel : • Tous les routeurs VRRP existants du routeur virtuel sont exécutés en mode VRRPv3. Dans ce cas, choisissez également VRRPv3 pour votre nouveau routeur VRRP.
20 Configuration IP : VRRP Éléments configurables de VRRP • Vous ne pouvez pas utiliser l'une des adresses IP pour un autre routeur virtuel ou pour des routeurs VRRP qui ne prennent pas en charge le routeur virtuel. • L'un des routeurs VRRP prenant en charge le routeur virtuel doit être propriétaire de toutes les adresses IP du routeur virtuel. Un routeur VRRP est le propriétaire des adresses IP si ces dernières sont de véritables adresses configurées sur son interface IP.
20 Configuration IP : VRRP Éléments configurables de VRRP Priorité et devancement du routeur VRRP Un aspect essentiel du schéma de redondance VRRP consiste à attribuer une priorité VRRP à chaque routeur VRRP. Cette priorité VRRP doit faire référence à l'efficacité démontrée par un routeur VRRP qui remplacerait un routeur virtuel défini dans le routeur VRRP.
20 Configuration IP : VRRP Configuration de VRRP • Dans la version 2 du VRRP, l'intervalle d'annonce opérationnel est arrondi à la seconde inférieure la plus proche. La valeur opérationnelle minimale est de 1 s. Configuration de VRRP Cette fonction peut être configurée dans les pages suivantes. Routeurs virtuels Les propriétés VRRP peuvent être configurées et personnalisées sur la page Routeurs virtuels VRRP. ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Routeurs virtuels.
20 Configuration IP : VRRP Configuration de VRRP • Priorité : si ce périphérique est le propriétaire, ce champ indique la valeur 255 et vous ne pouvez pas la modifier. Dans le cas contraire, saisissez la priorité de ce périphérique en fonction de sa capacité à remplacer le routeur principal. 100 est la valeur par défaut d'un périphérique non propriétaire.
20 Configuration IP : VRRP Configuration de VRRP • • Mes paramètres du routeur virtuel sélectionné : - Priorité : priorité de ce périphérique de routeur virtuel, selon sa capacité à fonctionner comme unité principale. - Intervalle d'annonce : intervalle de temps décrit à la section Annonces VRRP. - Adresse IP source : adresse IP à utiliser dans les messages VRRP.
20 Configuration IP : VRRP Configuration de VRRP • Liste IP non valide : affiche le nombre de paquets ayant des listes IP non valides. • Intervalle non valide : affiche le nombre de paquets ayant des intervalles non valides. • Authentification non valide : affiche le nombre de paquets dont l'authentification a échoué. ÉTAPE 2 Sélectionnez une Interface. ÉTAPE 3 Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs de cette interface.
21 Sécurité Cette section décrit le contrôle d'accès et la sécurité du périphérique. Le système gère différents types de sécurité. La liste de rubriques suivante décrit les différents types de fonctions de sécurité présentées dans cette section. Certaines fonctionnalités sont utilisées pour plusieurs types de sécurité ou de contrôle et s'affichent donc à plusieurs reprises dans la liste des rubriques présentée ci-dessous.
21 Sécurité Définition d'utilisateurs • Configuration de RADIUS • Configuration de la sécurité des ports • 802.1X • Définition des périodes La protection contre les autres utilisateurs du réseau est décrite dans les sections suivantes. Il s'agit d'attaques qui transitent par le périphérique, mais qui ne sont pas dirigées vers ce dernier.
21 Sécurité Définition d'utilisateurs Après l'ajout d'un utilisateur de niveau 15 (comme décrit ci-dessous), l'utilisateur par défaut est supprimé du système. REMARQUE Il est impossible de supprimer tous les utilisateurs. Si tous les utilisateurs sont sélectionnés, le bouton Supprimer est désactivé. Pour ajouter un nouvel utilisateur : ÉTAPE 1 Cliquez sur Administration > Comptes d'utilisateurs. Cette page affiche les utilisateurs définis dans le système ainsi que leur niveau de privilèges.
21 Sécurité Définition d'utilisateurs • Niveau d'utilisateur : sélectionnez le niveau de privilèges de l'utilisateur que vous ajoutez/modifiez. - Accès CLI en Lecture seule (1) : l'utilisateur ne peut pas accéder à l'interface utilisateur graphique et peut uniquement accéder aux commandes d'interface de ligne de commande qui ne modifient pas la configuration du périphérique.
21 Sécurité Définition d'utilisateurs ÉTAPE 3 Sélectionnez Paramètres de complexité du mot de passe afin d'activer les règles de complexité pour les mots de passe. Si la complexité du mot de passe est activée, les nouveaux mots de passe doivent être conformes aux paramètres par défaut suivants : • Avoir une longueur minimale de huit caractères.
21 Sécurité Configuration de TACACS+ REMARQUE Il est possible de configurer l'équivalence nom d'utilisateur-mot de passe et l'équivalence fabricant-mot de passe via l'interface de ligne de commande (CLI). Pour des instructions supplémentaires, reportez-vous au Guide de référence de l'interface de ligne de commande (CLI).
21 Sécurité Configuration de TACACS+ Gestion de comptes utilisant un serveur TACACS+ L'utilisateur peut activer la gestion de comptes des sessions de connexion à l'aide d'un serveur RADIUS ou TACACS+. Le port TCP configurable par l'utilisateur utilisé pour la gestion de comptes du serveur TACACS+ est le même port TCP utilisé pour l'authentification et l'autorisation du serveur TACACS+.
21 Sécurité Configuration de TACACS+ Flux de travail Pour utiliser un serveur TACACS+, procédez comme suit : ÉTAPE 1 Ouvrez un compte utilisateur sur le serveur TACACS+. ÉTAPE 2 Configurez ce serveur et les autres paramètres sur les pages TACACS+ et Ajouter un serveur TACACS+. ÉTAPE 3 Sélectionnez TACACS+ sur la page Gestion de l'authentification d'accès.
21 Sécurité Configuration de TACACS+ Si vous n'entrez pas de chaîne de clé dans ce champ, la clé de serveur saisie sur la page Ajouter un serveur TACACS+ doit correspondre à la clé de cryptage utilisée par le serveur TACACS+. Si vous entrez ici une chaîne de clé et une chaîne de clé pour un seul serveur TACACS+, la chaîne de clé configurée pour le serveur TACACS+ est prioritaire.
21 Sécurité Configuration de TACACS+ • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible.
21 Sécurité Configuration de RADIUS • Port IP : saisissez le numéro de port via lequel s'opère la session TACACS+. • Connexion unique : sélectionnez cette option afin de permettre la réception de toutes les informations à l'aide d'une seule connexion. Si le serveur TACACS+ ne prend pas en charge cette fonction, l'appareil revient à des connexions multiples.
21 Sécurité Configuration de RADIUS Gestion de comptes utilisant un serveur RADIUS L'utilisateur peut activer la gestion de comptes des sessions de connexion à l'aide d'un serveur RADIUS. Le port TCP configurable par l'utilisateur utilisé pour la gestion de comptes du serveur RADIUS est le même port TCP utilisé pour l'authentification et l'autorisation du serveur RADIUS. Valeurs par défaut Les valeurs par défaut suivantes concernent cette fonction : • Aucun serveur RADIUS n'est défini par défaut.
21 Sécurité Configuration de RADIUS Pour définir les paramètres du serveur RADIUS : ÉTAPE 1 Cliquez sur Sécurité > RADIUS. ÉTAPE 2 Saisissez l'option Gestion de comptes RADIUS. Les options suivantes sont disponibles : • Contrôle d'accès basé sur les ports (802.1X, MAC, Authentification Web) : spécifie que le serveur RADIUS est utilisé pour la gestion de comptes des ports 802.1x. • Accès de gestion : spécifie que le serveur RADIUS est utilisé pour la gestion de comptes des connexions utilisateur.
21 Sécurité Configuration de RADIUS Cette clé remplace la chaîne de clé par défaut, si une telle clé a été définie. • IPv4 source : (en mode système de couche 3 uniquement) sélectionnez l'interface source IPv4 du périphérique à utiliser dans les messages envoyés pour les communications avec le serveur RADIUS. • IPv6 source : (en mode système de couche 3 uniquement) sélectionnez l'interface source IPv6 du périphérique à utiliser dans les messages envoyés pour les communications avec le serveur RADIUS.
21 423 Sécurité Configuration de RADIUS • Priorité : saisissez la priorité du serveur. La priorité détermine l'ordre dans lequel le périphérique essaie de contacter les serveurs pour authentifier un utilisateur. Le périphérique commence par le serveur RADIUS ayant la priorité la plus élevée (priorité zéro). • Chaîne de clé : saisissez la chaîne de clé utilisée pour l'authentification et le cryptage des communications entre le périphérique et le serveur RADIUS.
21 Sécurité Gestion de la clé ÉTAPE 6 Pour afficher les données sensibles sous la forme de texte en clair dans le fichier de configuration, cliquez sur Afficher les données sensibles en texte clair. ÉTAPE 7 Cliquez sur Appliquer. La définition du serveur RADIUS est ajoutée au fichier de Configuration d'exécution du périphérique. Gestion de la clé Gestion de la clé REMARQUE Cette fonction ne s'applique qu'aux périphériques SG500X/ESW2-550X.
21 Sécurité Gestion de la clé - Défini par l'utilisateur (texte en clair) : saisissez une version sous forme de texte en clair. REMARQUE : vous pouvez entrer les valeurs Accepter la durée de service et Envoyer la durée de service. La valeur Accepter la durée de service indique quand l'identifiant de la clé est valide pour la réception des paquets. La valeur Envoyer la durée de service indique quand l'identifiant de la clé est valide pour l'envoi des paquets.
21 Sécurité Gestion de la clé - Secondes : nombre de secondes pendant lequel l'identifiant de la clé est valide. ÉTAPE 3 Cliquez sur Appliquer. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Paramètres de création d'une clé Utilisez la page Paramètres de chaîne de la clé pour ajouter une clé à une chaîne de clé existante. ÉTAPE 1 Cliquez sur Sécurité > Gestion de la clé> Paramètres de la clé. ÉTAPE 2 Pour ajouter une nouvelle chaîne de clé, cliquez sur Ajouter.
21 Sécurité Méthode d'accès de gestion • Heure de début : entrez l'heure de début de validité de l'identifiant de la clé à la date de début spécifiée. • Heure de fin : spécifie la date de fin de validité de l'identifiant de la clé. Sélectionnez une des options suivantes : • - Infini : aucune limite de durée de service n'est définie pour l'identifiant de la clé. - Durée : la durée de service de l'identifiant de la clé est limitée.
21 Sécurité Méthode d'accès de gestion Les règles sont composées de filtres qui incluent les éléments suivants : • Méthodes d'accès : méthodes permettant l'accès au périphérique et sa gestion : - Telnet - Telnet sécurisé (SSH) - Hypertext Transfer Protocol (HTTP) - HTTPS (Secure HTTP) - SNMP (Simple Network Management Protocol) - Tous les éléments ci-dessus • Action : permet d'autoriser ou de refuser l'accès à une interface ou à une adresse source.
21 Sécurité Méthode d'accès de gestion Pour plus d'informations, reportez-vous à la section Définition de règles de profils. Utilisez la page Profils d'accès pour créer un profil d'accès et ajouter sa première règle. Si le profil d'accès ne contient qu'une seule règle, vous avez terminé. Pour ajouter des règles supplémentaires au profil, utilisez la page Règles de profils. ÉTAPE 1 Cliquez sur Sécurité > Méthode d'accès de gestion > Profils d'accès.
21 Sécurité Méthode d'accès de gestion • • - Telnet : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès Telnet se voient autoriser ou refuser l'accès. - Telnet sécurisé (SSH) : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès SSH se voient autoriser ou refuser l'accès. - HTTP : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès HTTP se voient autoriser ou refuser l'accès.
21 Sécurité Méthode d'accès de gestion • Masque : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : - Masque de réseau : sélectionnez le sous-réseau auquel l'adresse IP source appartient et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des points. - Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source.
21 Sécurité Méthode d'accès de gestion • Priorité des règles : saisissez la priorité des règles. Lorsque le paquet est mis en correspondance avec une règle, les groupes d'utilisateurs se voient accorder ou refuser l'accès au périphérique. La priorité des règles est indispensable pour faire correspondre les paquets aux règles, la correspondance des paquets étant établie sur une base de première correspondance. • Méthode de gestion : sélectionnez la méthode de gestion pour laquelle la règle est définie.
21 Sécurité Authentification de l'accès de gestion • S'applique à l'adresse IP source : sélectionnez le type d'adresse IP source auquel le profil d'accès s'applique. Le champ Adresse IP source est valide pour un sous-réseau. Sélectionnez l'une des valeurs suivantes : - Tout : s'applique à tous les types d'adresses IP. - Défini par l'utilisateur : s'applique uniquement aux types d'adresses IP définis dans les champs.
Sécurité Gestion sécurisée des données confidentielles 21 Si une méthode d'authentification échoue ou si le niveau de privilège d'un utilisateur est insuffisant, ce dernier se voit refuser l'accès au périphérique. En d'autres termes, si l'authentification échoue au niveau d'une méthode d'authentification, le périphérique n'essaie pas d'utiliser la méthode d'authentification suivante et s'arrête.
21 Sécurité Serveur SSL Serveur SSL Cette section décrit la fonctionnalité SSL (Secure Socket Layer). Présentation de SSL La fonctionnalité SSL (Secure Socket Layer) permet d'ouvrir une session HTTPS sur l'appareil. Une session HTTPS peut être ouverte avec le certificat par défaut qui est présent sur l'appareil.
21 Sécurité Serveur SSL Pour créer un certificat : ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL. Les informations concernant les certificats 1 et 2 apparaissent dans la Table de clés de serveur SSL. Ces champs sont définis sur la page Modifier, excepté pour les champs suivants : • Valide du : spécifie la date à partir de laquelle le certificat est valide. • Valide jusqu'au : spécifie la date jusqu'à laquelle le certificat est valide.
21 Sécurité Serveur SSH Pour importer un certificat : ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL. ÉTAPE 2 Cliquez sur Importer le certificat. ÉTAPE 3 Renseignez les champs suivants : • ID de certificat : sélectionnez le certificat actif. • Certificat : copiez dans le certificat reçu. • Importer une paire de clés RSA : sélectionnez cette option pour autoriser la copie dans la nouvelle paire de clés RSA.
21 Sécurité Client SSH Client SSH Reportez-vous à la section Sécurité : Client SSH. Configuration des services TCP/UDP La page Services TCP/UDP active les services TCP ou UDP sur le périphérique, généralement pour des raisons de sécurité.
21 Sécurité Définition du contrôle des tempêtes • Adresse IP locale : adresse IP locale via laquelle le périphérique propose le service. • Port local : port TCP local via lequel le périphérique propose le service. • Adresse IP distante : adresse IP de l'appareil distant qui demande le service. • Port distant : port TCP de l'appareil distant qui demande le service. • État : état du service.
21 Sécurité Définition du contrôle des tempêtes Lorsque la fréquence d'images de Diffusion, Multidiffusion ou Monodiffusion inconnue est supérieure au seuil défini par l'utilisateur, les images reçues au-delà du seuil sont rejetées. Pour définir le contrôle des tempêtes : ÉTAPE 1 Cliquez sur Sécurité > Contrôle des tempêtes. Tous les champs de cette page sont décrits sur la page Modifier le contrôle des tempêtes, excepté pour le Seuil de débit de contrôle des tempêtes (%).
21 Sécurité Configuration de la sécurité des ports Configuration de la sécurité des ports Vous pouvez accroître la sécurité réseau en limitant l'accès à un port pour des utilisateurs disposant d'adresses MAC spécifiques. Les adresses MAC peuvent être apprises de façon dynamique ou configurées de manière statique. La sécurité des ports surveille les paquets reçus et appris. L'accès aux ports verrouillés est limité aux utilisateurs disposant d'adresses MAC spécifiques.
21 Sécurité Configuration de la sécurité des ports Lorsque l'adresse MAC sécurisée est détectée sur un autre port, la trame est transmise mais l'adresse MAC n'est pas apprise sur ce port. Outre l'une de ces actions, vous pouvez également générer des interceptions ainsi qu'en limiter la fréquence ou le nombre afin d'éviter de surcharger les appareils. REMARQUE Pour utiliser 802.1X sur un port, il doit être en mode Hôtes multiples ou Sessions multiples.
21 Sécurité Configuration de la sécurité des ports - Suppression sécur. à la réinitialisation : supprime les adresses MAC dynamiques actuellement associées au port après la réinitialisation. Les nouvelles adresses MAC peuvent être apprises en tant qu'adresses supprimées à la réinitialisation (Delete-On-Reset) jusqu'au nombre d'adresses autorisées sur le port. Les opérations de réapprentissage et de délai d'expiration sont désactivées. • Nombre max.
21 Sécurité 802.1X 802.1X Reportez-vous au chapitre Sécurité : Authentification 802.1X pour obtenir de plus amples informations sur l'authentification 802.1x. Il traite également de l'authentification MAC et Web. Prévention du déni de service Le déni de service (DoS) est une tentative de piratage visant à rendre le périphérique indisponible pour les utilisateurs.
21 Sécurité Prévention du déni de service Types de dénis de service (DoS) Les types de paquets suivants, ou d'autres stratégies, peuvent être impliqués dans un déni de service : • Paquets TCP SYN : ces paquets ont souvent été envoyés par une adresse d'expéditeur fausse.
21 Sécurité Prévention du déni de service • Cheval de Troie Invasor : un cheval de Troie permet au pirate de télécharger un agent zombie (si le cheval de Troie n'en contient pas un). Les pirates peuvent également entrer dans les systèmes à l'aide d'outils automatiques qui exploitent les failles des programmes écoutant les connexions des hôtes distants. Ce scénario concerne principalement le périphérique lorsqu'il est utilisé comme serveur sur le Web.
21 Sécurité Prévention du déni de service Une attaque SYN ne peut pas être bloquée s'il y a un ACL actif sur une interface. Configuration par défaut La fonctionnalité Prévention du déni de service (DoS) est configurée par défaut comme suit : • La fonctionnalité Prévention du déni de service (DoS) est désactivée par défaut. • La protection SYN-FIN est activée par défaut (même si la fonctionnalité Prévention du déni de service (DoS) est désactivée).
21 Sécurité Prévention du déni de service ÉTAPE 4 Sélectionnez Protection contre les DoS pour activer la fonctionnalité. • Désactiver : désactive la fonctionnalité. • Protection de niveau système : active la partie de la fonction qui empêche les attaques de Distribution Stacheldraht, du cheval de Troie Invasor et du cheval de Troie Back Orifice.
21 Sécurité Prévention du déni de service Pour configurer la protection SYN : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Protection SYN. ÉTAPE 2 Saisissez les paramètres. • Bloquer les paquets SYN-FIN : sélectionnez cette option pour activer la fonctionnalité. Tous les paquets TCP avec les indicateurs SYN et FIN sont rejetés sur tous les ports.
21 Sécurité Prévention du déni de service Adresses martiennes La page Adresses martiennes permet de saisir les adresses IP qui indiquent une attaque si elles sont détectées sur le réseau. Les paquets provenant de ces adresses sont abandonnés. Le périphérique prend en charge un ensemble d'adresses martiennes réservées qui sont incorrectes du point de vue du protocole IP.
21 Sécurité Prévention du déni de service ÉTAPE 4 Saisissez les paramètres. • Version IP : indique la version IP prise en charge. À l'heure actuelle, la prise en charge n'est proposée que pour IPv4. • Adresse IP : saisissez une adresse IP à rejeter. Ce champ peut prendre les valeurs suivantes : - De la liste réservée : sélectionnez une adresse IP bien connue dans la liste réservée. • Nouvelle adresse IP : saisissez une adresse IP.
21 Sécurité Prévention du déni de service • Port TCP : sélectionnez le port TCP de destination filtré : - Ports connus : sélectionnez un port dans la liste. - Défini par l'utilisateur : saisissez un numéro de port. - Tous les ports : sélectionnez cette option pour indiquer que tous les ports seront filtrés. ÉTAPE 4 Cliquez sur Appliquer. Le filtre SYN est défini et le fichier de Configuration d'exécution est mis à jour.
21 Sécurité Prévention du déni de service • Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source. Limite du débit SYN : saisissez le nombre des paquets SYN pouvant être reçus. ÉTAPE 4 Cliquez sur Appliquer. La protection du débit SYN est définie et le fichier de Configuration d'exécution est mis à jour. Filtrage ICMP La page Filtrage ICMP permet de bloquer les paquets ICMP en provenance de certaines sources.
21 Sécurité Surveillance DHCP Filtrage de fragments IP La page IP fragmenté permet de bloquer les paquets IP fragmentés. Pour configurer le blocage IP fragmenté : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage de fragments IP. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez l'interface sur laquelle la fragmentation IP est définie.
21 Sécurité Protection de la source IP Protection de la source IP La protection de la source IP est une fonction de sécurité qui peut être utilisée pour empêcher les attaques de trafic provoquées lorsqu'un hôte essaie d'utiliser l'adresse IP de son voisin. Lorsque la protection de la source IP est activée, le périphérique transmet uniquement le trafic IP client vers les adresses IP contenues dans la base de données de liaison de surveillance DHCP.
21 Sécurité Protection de la source IP Filtrage Si la protection de la source IP est activée sur un port : • Les paquets DHCP autorisés par la surveillance DHCP sont autorisés. • Si le filtrage des adresses IP sources est activé : - Trafic IPv4 : seul le trafic avec une adresse IP source associée au port est autorisé. - Trafic non IPv4 : autorisé (y compris les paquets ARP).
21 Sécurité Protection de la source IP Configuration de la protection de la source IP sur des interfaces Si la protection de la source IP est activée sur un port/LAG non sécurisé, les paquets DHCP autorisés par la surveillance DHCP sont transmis. Si le filtrage des adresses IP sources est activé, la transmission des paquets est autorisée comme suit : • Trafic IPv4 : seul le trafic IPv4 avec une adresse IP source associée au port spécifique est autorisé.
21 Sécurité Protection de la source IP REMARQUE La page Base de données de liaison n'affiche que les entrées de la base de données de liaison de surveillance DHCP qui sont définies sur des ports pour lesquels la protection de source IP est activée. Pour afficher la base de données de liaison de surveillance DHCP et connaître l'utilisation de TCAM, définissez l'option Insertion inactive : ÉTAPE 1 Cliquez sur Sécurité > Protection de la source IP > Base de données de liaison.
21 Sécurité Inspection ARP Pour afficher un sous-ensemble de ces entrées, saisissez les critères de recherche appropriés et cliquez sur OK. Inspection ARP ARP permet la communication IP au sein d'un domaine de diffusion de couche 2 (Layer 2) en mappant les adresses IP à des adresses MAC.
21 Sécurité Inspection ARP L'hôte C peut empoisonner les caches ARP du commutateur, de l'hôte A et de l'hôte B en diffusant des réponses ARP falsifiées avec des liaisons vers un hôte possédant une adresse IP égale à IA (ou IB) et une adresse MAC égale à MC. Les hôtes dont les caches ARP ont été empoisonnés utilisent alors l'adresse MAC MC en tant qu'adresse MAC de destination pour le trafic destiné à IA ou IB, permettant ainsi à l'hôte C d'intercepter ce trafic.
21 Sécurité Inspection ARP • Lorsqu'un paquet est valide, il est transféré et le cache ARP est mis à jour. Si l'option Validation de paquet ARP est sélectionnée (page Propriétés), les vérifications de validation supplémentaires suivantes sont effectuées : • Adresse MAC source : compare l'adresse MAC source du paquet figurant dans l'en-tête Ethernet à l'adresse MAC de l'expéditeur présente dans la requête ARP. Cette vérification est effectuée à la fois sur les requêtes et les réponses ARP.
21 Sécurité Inspection ARP Workflow de l'inspection ARP Pour configurer l'inspection ARP : ÉTAPE 1 Activez l'inspection ARP et configurez diverses options à la page Sécurité > Inspection ARP > Propriétés. ÉTAPE 2 Configurez les interfaces en tant qu'interfaces ARP sécurisées ou non à la page Sécurité > Inspection ARP > Paramètres d'interface. ÉTAPE 3 Ajoutez des règles à la page Sécurité > Inspection ARP > Contrôle d'accès ARP et Règles de contrôle d'accès ARP.
21 Sécurité Inspection ARP • Intervalle du tampon du journal : sélectionnez l'une des options suivantes : - Fréquence des tentatives : active l'envoi de messages SYSLOG pour les paquets supprimés. Saisissez la fréquence à laquelle les messages sont envoyés. - Jamais : désactive l'envoi de messages SYSLOG pour les paquets supprimés. ÉTAPE 2 Cliquez sur Appliquer. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour.
21 Sécurité Inspection ARP ÉTAPE 3 Renseignez les champs suivants : • Nom de contrôle d'accès ARP : saisissez un nom créé par l'utilisateur. • Adresse MAC : adresse MAC du paquet. • Adresse IP : adresse IP du paquet. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour.
21 Sécurité Sécurité du premier saut ÉTAPE 3 Pour associer un groupe de contrôle d'accès ARP à un VLAN, cliquez sur Ajouter. Sélectionnez le numéro du VLAN ainsi qu'un groupe Contrôle d'accès ARP défini précédemment. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour.
22 Sécurité : Authentification 802.1X Cette section décrit l'authentification 802.1X. Elle couvre les rubriques suivantes : • Présentation de 802.1X • Présentation de l'authentificateur • Tâches courantes • Configuration de 802.1X via l'interface utilisateur graphique (GUI) • Définition des périodes • Prise en charge des méthodes d'authentification et des modes de port Présentation de 802.1X L'authentification 802.
22 Sécurité : Authentification 802.1X Présentation de 802.1X Il est décrit dans la figure ci-dessous : Client Client Serveur d'authentification 370574 Authentificateur Sur chaque port, un périphérique réseau peut être un client/demandeur, un authentificateur ou les deux. Client ou demandeur Un client ou un demandeur est un périphérique réseau qui demande accès au LAN. Le client est connecté à un authentificateur. Si le client utilise le protocole 802.
Sécurité : Authentification 802.1X Présentation de l'authentificateur • 22 Sessions multiples : prend en charge l'authentification basée sur les clients avec plusieurs clients par port. Pour plus d'informations, reportez-vous à la section Modes hôte de port. Les méthodes d'authentification suivantes sont prises en charge : • 802.1x : prise en charge dans tous les modes d'authentification. • MAC : prise en charge dans tous les modes d'authentification.
22 Sécurité : Authentification 802.1X Présentation de l'authentificateur • Non-autorisation forcée L'authentification du port est désactivée et le port transmet tout le trafic via le VLAN invité et les VLAN non authentifiés. Pour plus d'informations, reportez-vous à la section Définition de l'authentification des hôtes et sessions. Le commutateur envoie les paquets EAP 802.1x qui intègrent les message d'erreur EAP lorsqu'il reçoit les messages de démarrage EAPOL 802.1x.
Sécurité : Authentification 802.1X Présentation de l'authentificateur • 22 Mode Hôtes multiples Un port est autorisé s'il y a au moins un client autorisé. Lorsqu'un port n'est pas autorisé et qu'un VLAN invité est activé, le trafic non balisé est remappé sur le VLAN invité. Le trafic balisé est abandonné sauf s'il appartient au VLAN invité ou à un VLAN non authentifié. Si le VLAN invité n'est pas activé sur un port, seul le trafic balisé appartenant aux VLAN non authentifiés est ponté.
22 Sécurité : Authentification 802.
22 Sécurité : Authentification 802.1X Présentation de l'authentificateur Ce processus est décrit dans la figure ci-dessous : Figure 1 Authentification 802.1x Protocole 802.1x Protocole RADIUS Protocole EAP Client Serveur d'authentification 370575 Authentificateur Authentification MAC L'authentification MAC est une alternative à l'authentification 802.1X qui offre un accès réseau aux périphériques (comme les imprimantes et les téléphones IP) ne disposant pas de la fonctionnalité de demandeur 802.
22 Sécurité : Authentification 802.1X Présentation de l'authentificateur Cette méthode d'authentification est activée par port et lorsqu'un port est activé, chaque hôte doit s'authentifier afin d'accéder au réseau. Ainsi, sur un port activé, vous pouvez avoir des hôtes authentifiés et non authentifiés. Lorsque l'authentification Web est activée sur un port, le commutateur abandonne tout le trafic envoyé des clients non autorisés vers le port, à l'exception des paquets ARP, DHCP et DNS.
22 Sécurité : Authentification 802.1X Présentation de l'authentificateur • Page de réussite de connexion Il existe un groupe prédéfini et intégré de ces pages. Ces pages peuvent être modifiées via la page Sécurité > Authentification 802.1X/ MAC/Web > Personnalisation de l'authentification Web. Vous pouvez prévisualiser chacune des pages personnalisées. La configuration est enregistrée dans le fichier de Configuration d'exécution.
22 Sécurité : Authentification 802.1X Présentation de l'authentificateur Un VLAN non authentifié est un VLAN qui autorise l'accès via des appareils ou ports autorisés et non autorisés. Un VLAN non authentifié est doté des caractéristiques suivantes : • Il doit s'agir d'un VLAN statique ; il ne peut correspondre au VLAN invité ni au VLAN par défaut. • Les ports membres doivent être configurés manuellement en tant que membres balisés. • Les ports membres doivent être des ports réseau et/ou généraux.
Sécurité : Authentification 802.1X Présentation de l'authentificateur 22 Affectation VLAN RADIUS ou Affectation VLAN dynamique Un client autorisé peut se voir attribuer un VLAN par le serveur RADIUS si cette option est activée sur la page Authentification des ports. Elle porte le nom de Dynamic VLAN Assignment (DVA) ou VLAN affecté par RADIUS. Dans ce guide, le terme VLAN affecté par RADIUS est utilisé.
22 Sécurité : Authentification 802.1X Présentation de l'authentificateur • Mode Sessions multiples complet Le trafic non balisé et le trafic balisé n'appartenant pas aux VLAN non authentifiés et provenant du client sont attribués au VLAN affecté par RADIUS à l'aide des règles TCAM et sont pontés via le VLAN. • Mode Sessions multiples en mode système Couche 3 Ce mode ne prend pas en charge la fonction VLAN affecté par RADIUS, excepté pour les périphériques SG500X et SG500XG en mode Pile native.
Sécurité : Authentification 802.1X Tâches courantes • 22 arrêter : ignore les trames dont l'adresse source n'est pas celle du demandeur et ferme le port. Vous pouvez aussi configurer le périphérique pour qu'il envoie des interceptions SNMP, avec une durée minimale configurable entre deux interceptions consécutives. Si secondes = 0, les interceptions sont désactivées. Si aucune durée minimale n'est spécifiée, la valeur par défaut utilisée est 1 seconde pour le mode restreindre et 0 pour les autres modes.
22 Sécurité : Authentification 802.1X Tâches courantes ÉTAPE 6 Sélectionnez le port souhaité et cliquez sur Modifier. ÉTAPE 7 Définissez le mode Authentification des hôtes. ÉTAPE 8 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. ÉTAPE 9 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. ÉTAPE10 Sélectionnez un port et cliquez sur Modifier. ÉTAPE11 Définissez le champ Contrôle de port administratif sur Auto.
Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) 22 ÉTAPE 3 Saisissez la période silencieuse dans le champ Période silencieuse. ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Flux de travail 5 : Pour configurer le VLAN invité : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Sélectionnez Activer dans le champ VLAN invité.
22 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) Pour définir l'authentification basée sur les ports : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Saisissez les paramètres. • Authentification basée sur les ports : activez ou désactivez l'authentification basée sur les ports. Si cette fonction est désactivée, l'authentification 802.1X, MAC et Web est désactivée.
Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • • 22 Interceptions : pour activer les interceptions, sélectionnez une ou plusieurs des options suivantes : - Interceptions d'échec d'authentification 802.1x : sélectionnez cette option pour générer une interception si l'authentification 802.1x échoue. - Interceptions de réussite d'authentification 802.1x : sélectionnez cette option pour générer une interception si l'authentification 802.
22 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) Pour définir l'authentification 802.1X : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. Cette page affiche les paramètres d'authentification de tous les ports. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez un port.
Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 22 VLAN invité : sélectionnez cette option pour indiquer que l'utilisation d'un VLAN invité précédemment défini est activée pour le périphérique. Les options sont les suivantes : - Sélectionné : permet d'utiliser un VLAN invité pour les ports non autorisés.
22 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) - Non-autorisation forcée : l'état du port contrôlé est défini sur Nonautorisation forcée (le trafic est abandonné). REMARQUE : si le port n'est pas en Autorisation forcée ou Nonautorisation forcée, il est en mode automatique et l'authentificateur affiche l'état de l'authentification en cours. Une fois le port authentifié, l'état indique Authentifié.
Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 22 Délai pour serveur : saisissez le nombre de secondes qui s'écoulent avant que le périphérique renvoie une demande au serveur d'authentification. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres des ports sont écrits dans le fichier de Configuration d'exécution.
22 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) Paramètres de violation d'hôte unique : • Action en cas de violation : sélectionnez l'action à appliquer aux paquets arrivant en mode session unique/hôte unique en provenance d'un hôte dont l'adresse MAC ne correspond pas à celle du demandeur. Les options sont les suivantes : - Protéger (Abandonner) : abandonne les paquets. - Restreindre (Transférer) : transfère les paquets.
Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • Serveur d'authentification : serveur RADIUS. • Adresse MAC : affiche l'adresse MAC du demandeur. • ID VLAN : VLAN du port. 22 Clients verrouillés Pour afficher les clients qui ont été verrouillés en raison d'échecs de tentative de connexion et pour déverrouiller un client verrouillé : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Client verrouillé.
22 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) ÉTAPE 3 Sélectionnez une langue dans la liste déroulante Langue. ÉTAPE 4 Si cette langue est la langue par défaut, sélectionnez Définir comme langue d'affichage par défaut. Si l'utilisateur ne sélectionne pas de langue, les pages s'affichent dans la langue par défaut. ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution.
Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 22 Couleur du lien hypertexte : entrez le code ASCII de la couleur du lien hypertexte. La couleur sélectionnée apparaît dans le champ Texte. Image du logo actuel : sélectionnez une des options suivantes : - Aucun : aucun logo. - Par défaut : utilisez le logo par défaut. - Autre : sélectionnez cette option pour entrer un logo personnalisé.
22 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • Étiqu. zone de texte nom d'utilisateur : sélectionnez l'étiquette à afficher avant la zone de texte de nom d'utilisateur. • Zone de texte mot de passe : sélectionnez cette option pour afficher une zone de texte de mot de passe. • Étiqu. zone de texte mot de passe : sélectionnez l'étiquette à afficher avant la zone de texte de mot de passe.
Sécurité : Authentification 802.1X Définition des périodes 22 Figure 5 La page suivante s'affiche : . ÉTAPE14 Cliquez sur le bouton Modifier sur le côté droit de la page. ÉTAPE15 Saisissez le Message de réussite. Il s'agit du texte qui s'affichera si l'utilisateur réussit à se connecter. ÉTAPE16 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. Pour prévisualiser le message de connexion ou de réussite, cliquez sur Aperçu.
22 Sécurité : Authentification 802.1X Prise en charge des méthodes d'authentification et des modes de port Prise en charge des méthodes d'authentification et des modes de port Le tableau suivant indique les combinaisons de méthode d'authentification et de mode de port qui sont prises en charge. Méthode d'authentification Hôte unique Hôtes multiples Sessions multiples Périphérique Périphérique en L3 en L2 802.
22 Sécurité : Authentification 802.1X Prise en charge des méthodes d'authentification et des modes de port Comportement des modes Le tableau suivant décrit la façon dont le trafic authentifié et non authentifié est traité dans diverses situations.
22 Sécurité : Authentification 802.
23 Sécurité : Sécurité du premier saut IPv6 Cette section décrit le fonctionnement de la Sécurité du premier saut (First Hop Security, FHS) et la façon de configurer cette fonction dans l'interface utilisateur graphique.
23 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut Présentation de la Sécurité du premier saut La Sécurité du premier saut IPv6 (IPv6 FHS) est une suite de fonctionnalités conçues pour sécuriser les opérations de liaison dans un réseau IPv6. Elle est basée sur le protocole Neighbor Discovery Protocol (NDP) et les messages DHCPv6.
23 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut Nom Description Message RA Message Router Advertisement Message RS Message Router Solicitation SAVI Source Address Validation Improvement Composants de la Sécurité du premier saut IPv6 La Sécurité du premier saut IPv6 inclut les fonctions suivantes : • Sécurité du premier saut IPv6 commune • Protection RA • Inspection ND • Intégrité de la liaison de voisin • Protection DHCPv6 Ces composants peuvent êt
23 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut • Messages Certification Path Solicitation (CPS) • Messages DHCPv6 Les messages RA, CPA et ICMPv6 Redirect interceptés sont transmis à la fonction Protection RA. La fonction Protection RA valide ces messages, élimine les messages incorrects en envoie les messages corrects à la fonction Inspection ND.
23 Sécurité : Sécurité du premier saut IPv6 Protection Router Advertisement Figure 7 Périmètre de la Sécurité du premier saut IPv6 H1 H2 Commutateur D IPv6 FHS Commutateur C IPv6 FHS Commutateur B IPv6 FHS IPv6 FHS R1 370573 IPv6 FHS La commande device-role dans l'écran de configuration de stratégie Liaison de voisin spécifie le périmètre. Chaque commutateur Sécurité du premier saut IPv6 établit une liaison pour les voisins partitionnés par le point d'accès.
23 Sécurité : Sécurité du premier saut IPv6 Inspection Neighbor Discovery Filtrage des messages de redirection RA, CPA et ICMPv6 reçus. La protection RA élimine les messages RA et CPA reçus sur les interfaces n'ayant pas le rôle de routeur. Vous pouvez configurer le rôle d'interface sur la page Sécurité > Sécurité du premier saut IPv6 > Paramètres de protection RA.
Sécurité : Sécurité du premier saut IPv6 Protection DHCPv6 23 Protection DHCPv6 La protection DHCPv6 traite les messages DHCPv6 interceptés. La protection DHCPv6 prend en charge les fonctions suivantes : • Filtrage des messages DHCPv6 reçus. La protection DHCP élimine les messages de réponse DHCPv6 reçus sur les interfaces ayant le rôle client. Vous pouvez configurer le rôle d'interface sur la page Paramètres de protection DHCP. • Validation des messages DHCPv6 reçus.
23 Sécurité : Sécurité du premier saut IPv6 Intégrité de la liaison de voisin Présentation de la table de liaisons de voisins Lorsqu'il n'y a pas d'espace disponible pour créer un nouvelle entrée, la nouvelle entrée remplace l'entrée dont la date de création est la plus ancienne.
Sécurité : Sécurité du premier saut IPv6 Intégrité de la liaison de voisin 23 commutateur lie l'adresse à l'interface. Les messages NDP suivants qui contiennent cette adresse IPV6 peuvent être contrôlés par rapport à la même ancre de liaison, afin de s'assurer que l'initiateur possède l'adresse IP source. L'exception à cette règle survient lorsqu'un hôte IPv6 se déplace dans le domaine L2 ou change son adresse MAC.
23 Sécurité : Sécurité du premier saut IPv6 Protection contre les attaques Protection contre les attaques Cette section décrit la protection contre les attaques qu'offre la Sécurité du premier saut IPv6 Protection contre l'usurpation de routeur IPv6 Un hôte IPv6 peut utiliser les messages RA reçus pour : • Détection de routeur IPv6 • Configuration d'adresse sans état Un hôte malveillant peut envoyer des messages RA qui l'annoncent lui-même comme routeur IPv6 et fournissant des préfixes contrefaits po
Sécurité : Sécurité du premier saut IPv6 Protection contre les attaques 23 Protection contre l'usurpation de détection des adresses en double IPv6 Un hôte IPv6 doit réaliser la détection des adresses en double (Duplication Address Detection) pour chaque adresse IPv6 attribuée en envoyant un message NS spécial (message Duplicate Address Detection Neighbor Solicitation (DAD_NS)).
23 Sécurité : Sécurité du premier saut IPv6 Stratégies, paramètres globaux et valeurs par défaut du système Un mécanisme intégré à l'implémentation NDP, qui limite le nombre d'entrées autorisées à l'état INCOMPLET dans le cache Neighbor Discovery, fournit la protection requise. Stratégies, paramètres globaux et valeurs par défaut du système Chaque fonction de la Sécurité du premier saut (First Hop Security, FHS) peut être activée ou désactivée individuellement. Aucune fonction n'est activée par défaut.
Sécurité : Sécurité du premier saut IPv6 Stratégies, paramètres globaux et valeurs par défaut du système 23 Stratégies définies par l'utilisateur Vous pouvez définir d'autres stratégies que les stratégies par défaut. Lorsqu'une stratégie définie par l'utilisateur est associée à une interface, la stratégie par défaut de cette interface est dissociée. Si la stratégie définie par l'utilisateur est dissociée de l'interface, la stratégie par défaut est de nouveau associée.
23 Sécurité : Sécurité du premier saut IPv6 Tâches courantes Tâches courantes Flux de travail de sécurité du premier saut IPv6 commune ÉTAPE 1 Sur la page Paramètres FHS, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Sur cette même page, définissez la fonction Journalisation des abandons de paquets. ÉTAPE 3 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction.
Sécurité : Sécurité du premier saut IPv6 Configuration et paramètres par défaut 23 ÉTAPE 4 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Flux de travail d'inspection Neighbor Discovery ÉTAPE 1 Sur la page Paramètres d'inspection ND, entrez la liste des VLAN sur lesquels cette fonction est activée.
23 Sécurité : Sécurité du premier saut IPv6 Avant de commencer • Messages Neighbor Advertisement (NA) • Messages Neighbor Solicitation (NS) • Messages ICMPv6 Redirect • Messages Certification Path Advertisement (CPA) • Messages Certification Path Solicitation (CPS) • Messages DHCPv6 Les fonctions FHS sont désactivées par défaut. Avant de commencer Aucune tâche préalable n'est requise.
Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web 23 ÉTAPE 3 Si nécessaire, créez une stratégie FHS en cliquant sur Ajouter. Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur.
23 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web • • • • 513 Limite de saut maximale : ce champ indique si la stratégie Protection RA contrôle la limite de saut maximale du paquet reçu. - Limite de saut maximale : vérifie que la limite de nombre de sauts est inférieure ou égale à cette valeur. La valeur de la limite haute doit être égale ou supérieure à la valeur de la limite basse.
Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web - • 23 Élevée : spécifie la valeur minimale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191).
23 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web • • Préférence minimale : ce champ indique si la stratégie Protection DHCPv6 contrôle la valeur minimale de préférence annoncée du paquet reçu. - Aucune vérification : désactive la vérification de la valeur minimale de préférence annoncée du paquet reçu. - Défini par l'utilisateur : vérifie que la valeur de préférence annoncée est supérieure ou égale à cette valeur.
Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web • 23 Adresse du serveur : sélectionnez cette option pour activer la vérification de l'adresse IPv6 du relais et du serveur DHCP dans les messages de réponse DHCP reçus au sein d'une stratégie Protection DHCPv6. - Hérité : la valeur est héritée du VLAN ou du paramètre système par défaut (aucune vérification).
23 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web - Défini par l'utilisateur : spécifiez le niveau de sécurité du message à transférer. ÉTAPE 3 Si nécessaire, cliquez sur Ajouter pour créer une stratégie Inspection ND. ÉTAPE 4 Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur.
Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web 23 Utilisez la page Paramètres de liaison de voisin pour activer la fonction Liaison de voisin sur un groupe de VLAN spécifique, mais aussi pour définir les valeurs de configuration globale de cette fonction. Si nécessaire, vous pouvez ajouter une stratégie ou configurer les stratégies Liaison de voisin par défaut, définies par le système, sur cette page.
23 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web • Rôle du périphérique : sélectionnez Serveur ou Client afin de spécifier le rôle du périphérique associé au port pour la stratégie de liaison de voisin. - Hérité : le rôle du périphérique est hérité du VLAN ou du paramètre système par défaut (client). - Client : le rôle du périphérique est client. - Hôte : le rôle du périphérique est hôte.
Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web 23 Association de stratégie (Port) Pour associer une stratégie à un ou plusieurs ports ou LAG : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut > Association de stratégie (Port). Les stratégies qui sont déjà associées sont affichées sous forme de liste, avec le Numéro d'interface, le Type de stratégie, le Nom de la stratégie et la Liste de VLAN.
23 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web ÉTAPE 4 Renseignez les champs suivants : • ID VLAN : ID du VLAN de l'entrée. • Adresse IPv6 : adresse IPv6 source de l'entrée. • Nom de l'interface : port sur lequel le paquet est reçu. • Adresse MAC : adresse MAC du voisin du paquet.
Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web • • • 23 - Limite de saut maximale : indique si la vérification de la limite de saut RA maximale est activée. - Préférence de routeur minimale : indique si la vérification de la préférence de routeur minimale est activée. - Préférence de routeur maximale : indique si la vérification de la préférence de routeur maximale est activée.
23 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut via l'interface utilisateur graphique Web - Liaison de journalisation : indique si la journalisation des événements de la table de liaisons de voisins est activée. - Entrées max par VLAN : nombre maximal autorisé d'entrées de Table de liaisons de voisins dynamiques par VLAN. - Entrées max par interface : nombre maximal autorisé d'entrées de Table de liaisons de voisins par interface. - Nombre d'entrées max.
24 Sécurité : Client SSH Cette section décrit l'appareil lorsqu'il fonctionne en tant que client SSH.
24 Sécurité : Client SSH Méthodes de protection En ce qui concerne SSH, la SCP exécutée sur l'appareil est une application client SSH et le serveur SCP est une application serveur SSH. Lorsque des fichiers sont téléchargés via TFTP ou HTTP, les transfert des données n'est pas sécurisé. Lorsque des fichiers sont téléchargés via SCP, les informations sont téléchargées du serveur SCP vers l'appareil via un canal sécurisé.
24 Sécurité : Client SSH Méthodes de protection Mots de passe Pour utiliser la méthode du mot de passe, assurez-vous d'abord qu'un nom d'utilisateur/mot de passe a été défini sur le serveur SSH. Cette opération ne s'effectue pas via le système de gestion de l'appareil même si, lorsqu'un nom d'utilisateur a été défini sur le serveur, le mot de passe du serveur peut être modifié par l'intermédiaire de ce système de gestion. Le nom d'utilisateur/mot de passe doit alors être créé directement sur l'appareil.
24 Sécurité : Client SSH Authentification du serveur SSH Importer des clés Dans le cadre de la méthode par clé, des clés publiques/privées individuelles doivent être créées pour chaque appareil. Ces clés privées ne peuvent pas, pour des raisons de sécurité, être copiées directement d'un appareil à un autre.
24 Sécurité : Client SSH Authentification du client SSH • - Si une adresse IP/un nom d'hôte correspondant(e) est trouvé(e), mais qu'il n'y a aucune empreinte associée, la recherche continue. Si aucune empreinte correspondante n'est trouvée, la recherche prend fin et l'authentification échoue. - Si aucune adresse IP/aucun nom d'hôte correspondant(e) n'est trouvé(e), la recherche prend fin et l'authentification échoue.
24 Sécurité : Client SSH Avant de commencer • aes256-cbc Algorithmes de code d'authentification de message - hmac-sha1 - hmac-md5 REMARQUE Les algorithmes de compression ne sont pas pris en charge. Avant de commencer Vous devez effectuer les actions suivantes avant d'utiliser la fonction SCP : • Lorsque vous utilisez la méthode d'authentification par mot de passe, un nom d'utilisateur/mot de passe doit être configuré sur le serveur SSH.
24 Sécurité : Client SSH Tâches courantes directement dans cette page ou utiliser le mot de passe saisi à l'aide de la page Authentification des utilisateurs SSH. c. Téléchargez/sauvegardez le fichier de configuration, via SCP, en sélectionnant l'option via SCP (sur SSH) sur la page Télécharger/sauvegarder configuration/ journal. Vous pouvez saisir le mot de passe directement dans cette page ou utiliser le mot de passe saisi à l'aide de la page Authentification des utilisateurs SSH.
24 Sécurité : Client SSH Configuration du client SSH via l'interface utilisateur graphique (GUI) Flux de travail 3 : pour modifier votre mot de passe sur un serveur SSH : ÉTAPE 1 Identifiez le serveur sur la page Modifier le mot de passe utilisateur du serveur SSH. ÉTAPE 2 Saisissez le nouveau mot de passe. ÉTAPE 3 Cliquez sur Appliquer. Configuration du client SSH via l'interface utilisateur graphique (GUI) Cette section décrit les pages utilisées pour configurer la fonction Client SSH.
Sécurité : Client SSH Configuration du client SSH via l'interface utilisateur graphique (GUI) 24 ÉTAPE 3 Saisissez le Nom d'utilisateur (peu importe la méthode sélectionnée) ou conservez le nom d'utilisateur par défaut. Il doit correspondre au nom d'utilisateur défini sur le serveur SSH. ÉTAPE 4 Si la méthode Par mot de passe a été sélectionnée, entrez un mot de passe (Chiffré ou Texte en clair) ou conservez le mot de passe chiffré par défaut.
24 Sécurité : Client SSH Configuration du client SSH via l'interface utilisateur graphique (GUI) Authentification du serveur SSH Pour activer l'authentification du serveur SSH et définir les serveurs de confiance : ÉTAPE 1 Cliquez sur Sécurité > Client SSH > Authentification du serveur SSH. ÉTAPE 2 Sélectionnez Activer pour activer l'authentification du serveur SSH.
Sécurité : Client SSH Configuration du client SSH via l'interface utilisateur graphique (GUI) 24 • Interface de liaison locale : sélectionnez, dans la liste des interfaces, l'interface de liaison locale. • Adresse IP/Nom serveur : saisissez l'adresse IP ou le nom du serveur SSH, selon l'information sélectionnée dans le champ Définition de serveur. • Empreinte : entrez l'empreinte du serveur SSH (copiée à partir de ce serveur). ÉTAPE 4 Cliquez sur Appliquer.
24 Sécurité : Client SSH Configuration du client SSH via l'interface utilisateur graphique (GUI) • Adresse IP/Nom serveur : saisissez l'adresse IP ou le nom du serveur SSH, selon l'information sélectionnée dans le champ Définition de serveur. • Nom d'utilisateur : doit correspondre au nom d'utilisateur défini sur le serveur. • Ancien mot de passe : doit correspondre au mot de passe défini sur le serveur.
25 Sécurité : Serveur SSH Cette section décrit la façon d'établir une session SSH sur l'appareil. Elle couvre les rubriques suivantes : • Vue d'ensemble • Tâches courantes • Pages de configuration du serveur SSH Vue d'ensemble La fonction Serveur SSH permet aux utilisateurs de créer une session SSH sur l'appareil. Elle est similaire à la fonction permettant d'établir une session telnet, sauf que cette session est sécurisée. Les clés publique et privée sont automatiquement générées sur l'appareil.
25 Sécurité : Serveur SSH Tâches courantes Tâches courantes Cette section décrit quelques tâches courantes réalisées à l'aide de la fonction Serveur SSH.
Sécurité : Serveur SSH Pages de configuration du serveur SSH 25 ÉTAPE 3 Connectez-vous à l'appareil B, puis ouvrez la page Authentification du serveur SSH. Sélectionnez la clé RSA ou DSA, cliquez sur Modifier, puis collez la clé de l'appareil A. Pages de configuration du serveur SSH Cette section décrit les pages utilisées pour configurer la fonctionnalité Serveur SSH.
25 Sécurité : Serveur SSH Pages de configuration du serveur SSH Cette page est facultative. Il n'est pas nécessaire de recourir à l'authentification des utilisateurs dans SSH. Pour activer l'authentification et ajouter un utilisateur : ÉTAPE 1 Cliquez sur Sécurité > Serveur SSH > Authentification des utilisateurs SSH.
Sécurité : Serveur SSH Pages de configuration du serveur SSH 25 Authentification du serveur SSH Les clés RSA et DSA publique et privée sont générées automatiquement lors du démarrage de l'appareil avec les paramètres d'usine. Chaque clé est aussi automatiquement créée lorsque la clé appropriée configurée par l'utilisateur est supprimée par celui-ci.
26 Sécurité : Gestion sécurisée des données confidentielles Secure Sensitive Data (SSD) est une architecture qui simplifie la protection des données confidentielles, comme les mots de passe et les clés, sur un appareil. Cette fonctionnalité utilise les mots de passe, le cryptage, le contrôle d'accès et l'authentification des utilisateurs afin de fournir une solution sécurisée pour la gestion des données confidentielles.
Sécurité : Gestion sécurisée des données confidentielles Règles SSD 26 SSD offre aux utilisateurs la flexibilité de configurer le niveau de protection souhaité pour leurs données confidentielles ; à savoir aucune protection des données confidentielles sous forme de texte en clair, une protection minimale avec un cryptage basé sur le mot de passe par défaut ou une protection améliorée avec un cryptage basé sur le mot de passe défini par l'utilisateur.
26 Sécurité : Gestion sécurisée des données confidentielles Règles SSD Les autorisations en lecture déterminent la façon dont les données confidentielles peuvent être affichées : sous forme chiffrée uniquement, sous forme de texte en clair uniquement, sous forme chiffrée ou de texte en clair, ou aucune autorisation d'afficher les données confidentielles. Les règles SSD elles-mêmes sont protégées en tant que données confidentielles. Un appareil peut prendre en charge un total de 32 règles SSD.
Sécurité : Gestion sécurisée des données confidentielles Règles SSD • 26 - Non sécurisé : spécifie que cette règle s'applique uniquement aux canaux non sécurisés. Un appareil peut prendre en charge une partie ou l'ensemble des canaux non sécurisés suivants : Telnet, TFTP et HTTP. - SNMP XML sécurisé : spécifie que cette règle s'applique uniquement au XML sur HTTPS ou SNMPv3 avec confidentialité. Un appareil est susceptible de ne pas prendre en charge tous les canaux XML et SNMP sécurisés.
26 Sécurité : Gestion sécurisée des données confidentielles Règles SSD • Mode de lecture par défaut : tous les modes de lecture par défaut sont sujets à l'autorisation en lecture de la règle. Les options suivantes sont disponibles, mais certaines sont susceptibles d'être refusées en fonction de l'autorisation en lecture.
Sécurité : Gestion sécurisée des données confidentielles Règles SSD 26 • Par défaut, un utilisateur SNMPv3 ayant des autorisations de canaux confidentiels et XML-over-secure est considéré comme un utilisateur de niveau 15. • Les utilisateurs SNMP sur un canal SNMP et XML non sécurisé (SNMPv1, v2 et v3 sans confidentialité) sont considérés comme Tous les utilisateurs. • Les noms de communauté SNMP ne sont pas utilisés comme noms d'utilisateur pour correspondre aux règles SSD.
26 Sécurité : Gestion sécurisée des données confidentielles Règles SSD REMARQUE Les informations d'identification des utilisateurs contenues dans la base de données d'authentification locale sont déjà protégées par un mécanisme non lié à SSD.
Sécurité : Gestion sécurisée des données confidentielles Propriétés SSD 26 Le mode de lecture par défaut peut être temporairement remplacé tant que cela n'occasionne pas de conflit avec l'autorisation en lecture SSD de la session. Cette modification est effective immédiatement dans la session actuelle, jusqu'à ce que l'un des événements suivants se produise : • L'utilisateur le change à nouveau. • La session est terminée.
26 Sécurité : Gestion sécurisée des données confidentielles Propriétés SSD Mot de passe par défaut et mot de passe défini par l'utilisateur Tous les appareils disposent d'un mot de passe par défaut qui est transparent pour les utilisateurs. Le mot de passe par défaut ne s'affiche jamais dans le fichier de configuration ou la CLI/GUI.
Sécurité : Gestion sécurisée des données confidentielles Propriétés SSD 26 Les modes de contrôle du mot de passe existants sont indiqués ci-après : • Sans restriction (par défaut) : l'appareil inclut son mot de passe lors de la création d'un fichier de configuration. Cela permet à tout appareil qui accepte le fichier de configuration d'apprendre le mot de passe à partir du fichier. • Restreint : l'appareil empêche l'exportation de son mot de passe vers un fichier de configuration.
26 Sécurité : Gestion sécurisée des données confidentielles Fichiers de configuration Mode Lecture Chaque session comporte un mode de lecture. Il détermine la façon dont les données confidentielles s'affichent. Le mode de lecture peut être Texte en clair, auquel cas les données confidentielles apparaissent en texte normal ou Chiffré, auquel cas les données confidentielles apparaissent sous forme chiffrée. Fichiers de configuration Un fichier de configuration contient la configuration d'un appareil.
Sécurité : Gestion sécurisée des données confidentielles Fichiers de configuration 26 • Une configuration textuelle qui n'inclut pas d'indicateur SSD ne contient normalement pas de données confidentielles. • L'indicateur SSD permet d'appliquer les autorisations en lecture SSD à des fichiers de configuration textuels, mais il est ignoré lors de la copie des fichiers de configuration vers le fichier de Configuration d'exécution ou de démarrage.
26 553 Sécurité : Gestion sécurisée des données confidentielles Fichiers de configuration • Si un fichier de configuration source contient des données confidentielles chiffrées, mais pas de bloc de contrôle SSD, l'appareil refuse le fichier source et la copie échoue. • S'il n'y a pas de bloc de contrôle SSD dans le fichier de configuration source, la configuration SSD définie dans le fichier de Configuration de démarrage est réinitialisée à ses valeurs par défaut.
Sécurité : Gestion sécurisée des données confidentielles Fichiers de configuration 26 Fichier de Configuration d'exécution Un fichier de Configuration d'exécution contient la configuration actuellement utilisée par l'appareil. Un utilisateur peut récupérer les données confidentielles sous forme chiffrée ou de texte en clair à partir d'un fichier de Configuration d'exécution, sujet à l'autorisation en lecture SSD et au mode de lecture SSD actuel de la session de gestion.
26 Sécurité : Gestion sécurisée des données confidentielles Fichiers de configuration Par défaut, le service de configuration miroir automatique est activé. Pour activer ou désactiver la configuration miroir automatique, cliquez sur Administration > Gestion de fichiers > Propriétés des fichiers de configuration.
Sécurité : Gestion sécurisée des données confidentielles Fichiers de configuration 26 L'appareil prend actuellement en charge la Configuration automatique, qui est activée par défaut.
26 Sécurité : Gestion sécurisée des données confidentielles Canaux de gestion SSD Canaux de gestion SSD Les appareils peuvent être gérés via des canaux de gestion comme telnet, SSH et web. SSD classe les canaux en différentes types en fonction de leur sécurité et/ou leurs protocoles : sécurisé, non sécurisé, SNMP XML sécurisé et SNMP XML non sécurisé. Le tableau suivant indique si chaque canal de gestion est considéré par SSD comme sécurisé ou non sécurisé.
Sécurité : Gestion sécurisée des données confidentielles Interface de ligne de commande (CLI) et récupération du mot de passe 26 Interface de ligne de commande (CLI) et récupération du mot de passe L'interface de ligne de commande (CLI) est uniquement accessible aux utilisateurs dont les autorisations en lecture sont Les deux ou Texte en clair uniquement. Les autres utilisateurs n'y ont pas accès.
26 Sécurité : Gestion sécurisée des données confidentielles Configuration de SSD • Contrôle de l'intégrité du fichier de configuration : sélectionnez cette fonction pour l'activer. Reportez-vous à la section Contrôle de l'intégrité du fichier de configuration. ÉTAPE 3 Sélectionnez un mode de lecture pour la session actuelle (reportez-vous à Éléments d'une règle SSD).
Sécurité : Gestion sécurisée des données confidentielles Configuration de SSD • • • 26 - Niveau 15 : indique que cette règle s'applique à tous les utilisateurs ayant le niveau de privilège15. - Tous : indique que cette règle s'applique à tous les utilisateurs.
26 Sécurité : Gestion sécurisée des données confidentielles Configuration de SSD - Chiffré : les données confidentielles sont présentées sous forme chiffrée. - Texte en clair : les données confidentielles sont présentées sous forme de texte en clair. ÉTAPE 3 Les actions suivantes peuvent être effectuées : 561 • Restaurer les valeurs par défaut : rétablit les valeurs d'origine d'une règle par défaut qui a été modifiée par l'utilisateur.
27 Contrôle d'accès La fonction de liste de contrôle d'accès (ACL, Access Control List) fait partie intégrante du mécanisme de sécurité. Les définitions ACL permettent, entre autres, de définir les flux de trafic auxquels sont attribués une qualité de service (QoS) spécifique. Pour plus d'informations, reportez-vous à la section Qualité de service. Les ACL permettent aux gestionnaires de réseaux de définir des modèles (filtres et actions) pour le trafic entrant.
27 Contrôle d'accès Listes de contrôle d'accès Lorsqu'un paquet correspond à un filtre ACE, l'action ACE est appliquée et le traitement de cette ACL est arrêté. Si le paquet ne correspond pas au filtre ACE, l'ACE suivant est traité. Si tous les ACE d'une ACL ont été traités sans trouver de correspondance et qu'il existe une autre ACL, celle-ci est traitée de manière similaire.
27 Contrôle d'accès Listes de contrôle d'accès Si une trame correspond au filtre d'une ACL, elle est définie en tant que flux portant le nom de cette ACL. En mode avancé de QoS, il est possible de faire référence à ces trames en utilisant ce nom de flux et la QoS peut être appliquée à ces dernières (voir Mode de QoS avancé). Création d'un flux de travail d'ACL Pour créer des ACL et les associer à une interface, procédez comme suit : 1. Créez un ou plusieurs des types d'ACL suivants : a.
27 Contrôle d'accès Définition d'ACL basées sur MAC Définition d'ACL basées sur MAC Les ACL basées sur MAC sont utilisées pour filtrer le trafic basé sur les champs de la Couche 2. Ces ACL vérifient toutes les trames à la recherche d'une correspondance. Vous pouvez définir les ACL basées sur MAC sur la page ACL basée sur MAC. Vous pouvez définir les règles sur la page ACE basé sur MAC. Pour définir une ACL basée sur MAC : ÉTAPE 1 Cliquez sur Contrôle d'accès > ACL basée sur MAC.
27 Contrôle d'accès Définition d'ACL basées sur MAC • Priorité : permet d'entrer la priorité de l'ACE. Les ACE disposant d'une priorité plus élevée sont traitées en premier. Le 1 correspond à la priorité la plus élevée. • Action : sélectionnez l'action à appliquer en cas de correspondance. Les options sont les suivantes : - Autoriser : transfère les paquets qui répondent aux critères de l'ACE. - Refuser : abandonne les paquets qui répondent aux critères de l'ACE.
27 Contrôle d'accès ACL basées sur IPv4 • Masque générique MAC source : saisissez le masque afin de définir une plage d'adresses MAC. • ID VLAN : saisissez la partie ID VLAN de la balise VLAN à mettre en correspondance. • 802.1p : sélectionnez Inclure pour utiliser 802.1p. • Valeur 802.1p : saisissez la valeur 802.1p à ajouter à la balise VPT. • Masque 802.1p : saisissez le masque générique à appliquer à la balise VPT. • Ethertype : saisissez l'Ethertype de trame à mettre en correspondance.
27 Contrôle d'accès ACL basées sur IPv4 Définition d'une ACL basée sur IPv4 Pour définir une ACL basée sur IPv4 : ÉTAPE 1 Cliquez sur Contrôle d'accès > ACL basée sur IPv4. Cette page affiche toutes les ACL basées sur IPv4 actuellement définies. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez le nom de la nouvelle ACL dans le champ Nom de l'ACL. Les noms respectent la casse. ÉTAPE 4 Cliquez sur Appliquer. L'ACL basée sur IPv4 est consigné dans le fichier de Configuration d'exécution.
27 Contrôle d'accès ACL basées sur IPv4 - Arrêter : abandonne le paquet qui répond aux critères de l'ACE et désactive le port auquel le paquet était adressé. Les ports sont réactivés à partir de la page Gestion des ports. • Période : limite l'utilisation de l'ACL à une période spécifique. • Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser. Les périodes sont définies dans la section Période.
27 Contrôle d'accès ACL basées sur IPv4 - OSPF : Open Shortest Path First - IPIP : IP in IP - PIM : Protocol Independent Multicast - L2TP : Layer 2 Tunneling Protocol - ISIS : protocole spécifique à IGP • ID protocole de mise en correspondance : au lieu de sélectionner le nom, saisissez l'ID du protocole. • Adresse IP source : sélectionnez Indiffér. si toutes les adresses source sont acceptables ou Défini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source.
27 Contrôle d'accès ACL basées sur IPv4 - • Plage : sélectionnez une plage de ports source TCP/UDP avec lesquels le paquet est mis en correspondance. Huit plages de ports différentes peuvent être configurées (partagées entre les ports source et de destination). Les protocoles TCP et UDP disposent chacun de huit plages de ports. Port de destination : sélectionnez l'une des valeurs disponibles (identiques à celles du champ Port source décrit ci-dessus).
27 Contrôle d'accès ACL basées sur IPv6 • IGMP : si l'ACL est basée sur IGMP, sélectionnez le type de message IGMP à utiliser afin de filtrer. Sélectionnez le type de message en fonction de son nom ou saisissez le numéro du type de message : - Indiffér. : tous les types de message sont acceptés. - Sélectionner dans la liste : permet de sélectionner le type de message en fonction de son nom. - Type IGMP de mise en correspondance : numéro du type de message qui sera utilisé pour filtrer.
27 Contrôle d'accès ACL basées sur IPv6 Ajout de règles (ACE) à une ACL basée sur IPv6 REMARQUE Chaque règle basée sur IPv6 consomme deux règles TCAM. ÉTAPE 1 Cliquez sur Contrôle d'accès > ACE basé sur IPv6. Cette fenêtre affiche les ACE (règles) d'une ACL spécifiée (groupe de règles). ÉTAPE 2 Sélectionnez une ACL et cliquez sur OK. Toutes les ACE IP actuellement définies pour l'ACL sélectionnée s'affichent. ÉTAPE 3 Cliquez sur Ajouter. ÉTAPE 4 Saisissez les paramètres.
27 Contrôle d'accès ACL basées sur IPv6 • ID protocole de mise en correspondance : saisissez l'ID du protocole avec lequel établir la correspondance. • Adresse IP source : sélectionnez Indiffér. si toutes les adresses source sont acceptables ou Défini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source. • Valeur de l'adresse IP source : saisissez l'adresse IP avec laquelle l'adresse IP source sera mise en correspondance et saisissez également, le cas échéant, son masque.
27 Contrôle d'accès Définition d'une liaison ACL - Non défini : une correspondance est établie si l'indicateur est Non défini. - Sans importance : ignore l'indicateur TCP. • Type de service : type de service du paquet IP. • ICMP : si l'ACL est basée sur ICMP, sélectionnez le type de message ICMP à utiliser afin de filtrer. Sélectionnez le type de message en fonction de son nom ou saisissez le numéro du type de message. Si tous les types de message sont acceptés, sélectionnez Indiffér..
27 Contrôle d'accès Définition d'une liaison ACL REMARQUE Il est possible de lier une interface (port, LAG ou VLAN) à une stratégie ou à une ACL, mais il est impossible de la lier à la fois à une stratégie et à une ACL. Pour lier une ACL à un port ou un LAG : ÉTAPE 1 Cliquez sur Contrôle d'accès > Liaison ACL (port). ÉTAPE 2 Sélectionnez le type d'interface Ports/LAG (Port ou LAG). ÉTAPE 3 Cliquez sur OK.
27 Contrôle d'accès Définition d'une liaison ACL REMARQUE Si aucune ACL n'est sélectionnée, la ou les ACL précédemment liées à l'interface sont supprimées. Pour lier une ACL à un VLAN : ÉTAPE 1 Cliquez sur Contrôle d'accès > Liaison ACL (VLAN). ÉTAPE 2 Sélectionnez un VLAN et cliquez sur Modifier. Si le VLAN souhaité ne s'affiche pas, ajoutez-en un nouveau. ÉTAPE 3 Sélectionnez l'une des options suivantes : • Sélectionner une ACL basée sur MAC : sélectionnez une ACL basée sur MAC à lier à l'interface.
28 Qualité de service La fonction QoS (Quality of Service, qualité de service) est appliquée à l'ensemble du réseau pour garantir que le trafic réseau est géré en fonction des critères fixés et que les données voulues reçoivent un traitement préférentiel.
28 Qualité de service Fonctions et composants QoS La QoS inclut : • Classification du trafic : permet de marquer chaque paquet entrant comme appartenant à un flux de trafic spécifique, sur la base du contenu de ce paquet et/ou du port. Cette classification est réalisée à l'aide d'une ACL (Access Control List, liste de contrôle d'accès). Seul le trafic répondant aux critères d'ACL est soumis à la classification CoS ou QoS.
28 Qualité de service Fonctions et composants QoS Vous pouvez entrer le champ d'en-tête de confiance sur la page Paramètres globaux. Pour chaque valeur de ce champ, une file d'attente de sortie est désignée comme destinataire de l'envoi de la trame sur la page CoS/802.1p vers la file d'attente ou la page DSCP vers la file d'attente (selon que le mode de confiance choisi est CoS/802.1p ou DSCP). • Mode Avancé : QoS (Quality of Service, qualité de service) pour chaque flux.
28 Qualité de service Fonctions et composants QoS Flux de travail de QoS Pour configurer les paramètres de QoS généraux, procédez comme suit : ÉTAPE 1 Choisissez le mode de QoS du système (De base, Avancé ou Désactivé, comme décrit à la section « Modes de QoS ») via la page Propriétés de QoS. Les étapes de flux de travail suivantes décrites ici considèrent que vous avez choisi d'activer la QoS. ÉTAPE 2 Attribuez à chaque interface une priorité CoS par défaut, via la page Propriétés de QoS.
28 Qualité de service Configuration de la QoS - Général Configuration de la QoS - Général La page Propriétés de QoS contient des champs permettant de définir le mode de QoS du système (De base, Avancé ou Désactivé, comme décrit à la section « Modes de QoS »). En outre, vous pouvez définir la priorité CoS par défaut de chaque interface. Configuration des propriétés QoS Pour sélectionner le mode de QoS : ÉTAPE 1 Cliquez sur Qualité de service > Général > Propriétés de QoS.
28 Qualité de service Configuration de la QoS - Général • CoS par défaut : sélectionnez la valeur de CoS (Class-of-Service, classe de service) à affecter aux paquets entrants qui ne possèdent pas de balise VLAN. ÉTAPE 2 Cliquez sur Appliquer. La valeur CoS par défaut de l'interface est enregistrée dans le fichier de Configuration d'exécution.
28 Qualité de service Configuration de la QoS - Général Lorsque la mise en file d'attente est de type WRR (Weighted Round Robin), chaque file d'attente est traitée jusqu'à ce que son quota soit atteint. Le système passe ensuite à une autre file d'attente. Il est également possible d'affecter une WRR à certaines des files d'attente de priorité plus faible tout en maintenant le traitement Priorité stricte pour des files d'attente de niveau(x) plus élevé(s).
28 Qualité de service Configuration de la QoS - Général Mappage CoS/802.1p vers une file d'attente La page CoS/802.1p vers file d'attente mappe des priorités 802.1p sur des files d'attente de sortie. La table CoS/802.1p vers file d'attente détermine les files d'attente de sortie des paquets entrants sur la base de la priorité 802.1p figurant dans leurs balises VLAN. Pour les paquets entrants non balisés, la priorité 802.1p utilisée est la priorité CoS/802.1p par défaut affectée aux ports d'entrée.
28 Qualité de service Configuration de la QoS - Général Le tableau suivant décrit le mappage par défaut lorsque 8 files d'attente sont utilisées : Valeurs 802.
28 Qualité de service Configuration de la QoS - Général Pour mapper des valeurs de CoS sur des files d'attente de sortie : ÉTAPE 1 Cliquez sur Qualité de service > Général > CoS/802.1p vers file d'attente. ÉTAPE 2 Saisissez les paramètres. • 802.1p : affiche les valeurs de balise de priorité 802.1p à affecter à une file d'attente de sortie, où 0 est la priorité la plus faible et 7 la plus élevée. • File d'attente de sortie : sélectionnez la file d'attente de sortie sur laquelle la priorité 802.
28 Qualité de service Configuration de la QoS - Général Les tableaux suivants décrivent le mappage DSCP vers file d'attente par défaut pour un système à 4 files d'attente : DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP Filed'atte nte DSCP File d'attente DSCP File d'attente 63 55 47 39 31 23 15 7 3 3 4 3 3 2 1 1 62 54 46 38 30 22 14 6 3 3 4 3 3 2 1 1 61 53 45 37 29 21 13 5 3 3 4 3 3 2 1 1 60 52 44
28 Qualité de service Configuration de la QoS - Général Le tableau suivant décrit le mappage DSCP vers file d'attente par défaut pour un système à 8 files d'attente, dans lequel la file d'attente 7 a la priorité la plus élevée et la file d'attente 8 est utilisée à des fins de contrôle de pile.
28 Qualité de service Configuration de la QoS - Général Les tableaux suivants décrivent le mappage DSCP vers file d'attente par défaut pour un système à 8 files d'attente où 8 est la valeur la plus élevée : DSCP 63 55 47 39 31 23 15 7 File d'attente 7 7 8 6 5 4 3 1 DSCP 62 54 46 38 30 22 14 6 File d'attente 7 7 8 6 5 4 3 1 DSCP 61 53 45 37 29 21 13 5 File d'attente 7 7 8 6 5 4 3 1 DSCP 60 52 44 36 28 20 12 4 File d'attente 7 7 8 6 5 4 3
28 Qualité de service Configuration de la QoS - Général Pour mapper DSCP à des files d'attente : ÉTAPE 1 Cliquez sur Qualité de service > Général > DSCP vers file d'attente. La page DSCP vers file d'attente contient DSCP d'entrée. Il affiche la valeur DSCP du paquet entrant et la classe associée. ÉTAPE 2 Sélectionnez la file d'attente de sortie (file d'attente de transfert du trafic) sur laquelle la valeur DSCP est mappée. ÉTAPE 3 Cliquez sur Appliquer.
28 Qualité de service Configuration de la QoS - Général ÉTAPE 4 Remplissez les champs pour l'interface sélectionnée : • Limite de débit d'entrée : sélectionnez cette option pour activer la limite de débit d'entrée, que vous définissez ensuite dans le champ situé au-dessous. • Limite de débit d'entrée : saisissez la quantité maximale de bande passante autorisée sur l'interface. REMARQUE : les deux champs Limite de vitesse d'entrée ne s'affichent pas lorsque le type d'interface est LAG.
28 Qualité de service Configuration de la QoS - Général Le périphérique limite toutes les trames, à l'exception des trames de gestion. Toutes les trames non limitées sont ignorées dans le calcul du débit, ce qui signifie que leur taille n'est pas incluse dans la limite totale. Vous pouvez désactiver le lissage (shaping) du débit en sortie pour chaque file d'attente.
28 Qualité de service Configuration de la QoS - Général La limitation du débit pour chaque VLAN, que vous réalisez sur la page Limite de débit d'entrée VLAN, permet de limiter le trafic sur les VLAN. Lorsque vous configurez des limites de débit d'entrée VLAN, cela limite le trafic agrégé de tous les ports du périphérique. Les contraintes suivantes s'appliquent à la limitation du débit pour chaque VLAN : • La priorité est inférieure à celle de toute autre stratégie de trafic définie dans le système.
28 Qualité de service Mode de base de QoS Évitement de l'encombrement TCP La page Évitement de l'encombrement TCP vous permet d'activer un algorithme d'évitement de l'encombrement TCP. Cet algorithme casse ou évite la synchronisation TCP globale sur un nœud encombré lorsque l'encombrement est dû au fait que plusieurs sources envoient des paquets munis de mêmes nombres d'octets.
28 Qualité de service Mode de base de QoS Activez ou désactivez le mode de confiance sélectionné au niveau global sur les divers ports dans la page Paramètres d'interface. Si un port est désactivé sans mode de confiance, tous ses paquets d'entrée sont transférés en mode Meilleur effort (Best effort). Il est recommandé de désactiver le mode de confiance sur les ports où les valeurs CoS/802.1p et/ou DSCP des paquets entrants ne sont pas dignes de confiance.
28 Qualité de service Mode de base de QoS REMARQUE : la trame est mappée sur une file d'attente en sortie à l'aide de la nouvelle valeur réécrite et non de la valeur DSCP d'origine. ÉTAPE 4 Si vous avez activé l'option Remplacer DSCP d'entrée, cliquez sur Table de substitution DSCP pour reconfigurer le DSCP. DSCP en entrée affiche la valeur DSCP du paquet entrant qui doit à nouveau être marqué d'une autre valeur.
28 Qualité de service Mode de QoS avancé Mode de QoS avancé Les trames qui correspondent à une ACL et sont autorisées à entrer sur le système sont implicitement marquées du nom de l'ACL qui a donné cette autorisation. Vous pouvez alors appliquer des actions de QoS en mode avancé à ces flux. En mode de QoS avancé, le périphérique utilise des stratégies pour prendre en charge la QoS pour chaque flux.
28 Qualité de service Mode de QoS avancé du mappage de classe (flux) sur un port, indépendamment des autres ports. • Un gestionnaire de stratégie d'agrégats applique la QoS à tous les flux, de façon agrégée, sans tenir compte des stratégies ni des ports. Les paramètres de QoS avancé se composent de trois parties : • Définition des règles à mettre en correspondance. Toutes les trames qui correspondent à un groupe unique de règles sont considérées comme constituant un flux.
28 Qualité de service Mode de QoS avancé • Gestionnaire de stratégie d'agrégats : créez une action de QoS pour chaque flux afin d'envoyer toutes les trames concordantes au même gestionnaire de stratégie (d'agrégats), via la page Gestionnaire de stratégie d'agrégats. Créez une stratégie pour associer un mappage de classe à ce gestionnaire de stratégie d'agrégats, via la page Table des stratégies. 5. Liez la stratégie à une interface via la page Liaison de stratégies.
28 Qualité de service Mode de QoS avancé Si vous disposez d'une stratégie sur une interface, le mode par défaut ne s'applique pas. L'action s'effectue en fonction de la configuration de stratégie et le trafic sans correspondance est éliminé. ÉTAPE 4 Sélectionnez Remplacer DSCP d'entrée pour remplacer les valeurs DSCP d'origine des paquets entrants par d'autres, d'après la table de substitution DSCP.
28 Qualité de service Mode de QoS avancé Ces paramètres sont actifs lorsque le système fonctionne en mode de base de QoS. Une fois activés, ils s'appliquent à l'échelle globale. Exemple : Supposez qu'il existe trois niveaux de service : Argent, Or et Platine et que les valeurs DSCP entrantes utilisées pour marquer ces niveaux soient respectivement 10, 20 et 30.
28 Qualité de service Mode de QoS avancé Si vous avez besoin d'ensembles de règles plus complexes, vous pouvez regrouper plusieurs mappages de classe en un grand groupe, appelé stratégie (reportez-vous à Configuration d'une stratégie). La page Mappage de classes affiche la liste des mappages de classe définis et des ACL qui les constituent ; elle vous permet aussi d'ajouter/de supprimer des mappages de classe.
28 Qualité de service Mode de QoS avancé ÉTAPE 4 Cliquez sur Appliquer. Le fichier de Configuration d'exécution est mis à jour. Gestionnaires de stratégie QoS REMARQUE Les gestionnaires de stratégie QoS ne sont pas pris en charge lorsque les périphériques Sx500 fonctionnent en mode système Couche 3. Ils sont toujours pris en charge sur les périphériques SG500X. Vous pouvez mesurer le débit de trafic qui correspond à un ensemble prédéfini de règles et mettre en place des limites.
28 Qualité de service Mode de QoS avancé Chaque gestionnaire de stratégie est défini avec sa propre spécification de QoS, par combinaison des paramètres suivants : • Débit maximal autorisé, appelé CIR (Committed Information Rate, débit minimal garanti), mesuré en kbits/s. • Quantité de trafic, mesurée en octets, appelée CBS (Committed Burst Size, taille de rafale garantie). Il s'agit du trafic autorisé à transiter sous forme de rafale temporaire, même s'il dépasse le débit maximal défini.
28 Qualité de service Mode de QoS avancé • Débit minimal garanti en entrée (CIR) : saisissez la bande passante maximale autorisée, en bits par seconde. Reportez-vous à la description disponible sur la page Bande passante. • Taille de rafale garantie en entrée (CBS) : saisissez la taille maximale de rafale (même si elle dépasse la valeur CIR), en octets. Reportez-vous à la description disponible sur la page Bande passante.
28 Qualité de service Mode de QoS avancé Pour ajouter une stratégie de QoS : ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Table des stratégies. Cette page affiche la liste des stratégies définies. ÉTAPE 2 Cliquez sur Table de mappages de classe de stratégie pour afficher la page Mappages de classe de stratégies. Ou Cliquez sur Ajouter pour ouvrir la page Ajouter une table de stratégies. ÉTAPE 3 Saisissez le nom de la nouvelle stratégie dans le champ Nom de la nouvelle stratégie.
28 Qualité de service Mode de QoS avancé • Type d'action : sélectionnez l'action à appliquer concernant la valeur CoS/ 802.1p et/ou DSCP d'entrée de tous les paquets concordants. - Utilisez le mode de confiance par défaut : permet d'ignorer la valeur CoS/ 802.1p et/ou DSCP d'entrée. Les paquets concordants sont envoyés en mode Meilleur effort (Best effort). - Toujours faire confiance : si vous sélectionnez cette option, le périphérique fait confiance aux valeurs CoS/802.
28 Qualité de service Mode de QoS avancé Si Type de gest. de stratégie indique individuelle, saisissez les paramètres de QoS suivants : • Débit minimal garanti en entrée (CIR) : saisissez la valeur CIR, en kilobits par seconde. Reportez-vous à la description disponible sur la page Bande passante. • Taille de rafale garantie en entrée (CBS) : saisissez la valeur CBS, en octets. Reportez-vous à la description disponible sur la page Bande passante.
28 Qualité de service Gestion des statistiques de QoS Pour définir une liaison de stratégie : ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Liaison de stratégies. ÉTAPE 2 Sélectionnez un nom de stratégie et un type d'interface, si nécessaire. ÉTAPE 3 Cliquez sur OK. La stratégie est sélectionnée. ÉTAPE 4 Sélectionnez les options suivantes pour la stratégie / l'interface : • Liaison : sélectionnez cette option pour lier la stratégie à l'interface.
28 Qualité de service Gestion des statistiques de QoS Pour afficher les statistiques du gestionnaire de stratégie : ÉTAPE 1 Cliquez sur Qualité de service > Statistiques de QoS > Statistiques de gestionnaire de stratégie individuelle. Cette page affiche les champs suivants : • Interface : interface à laquelle correspondent les statistiques affichées. • Stratégie : stratégie à laquelle correspondent les statistiques affichées.
28 Qualité de service Gestion des statistiques de QoS ÉTAPE 3 Sélectionnez un nom de gestionnaire de stratégie d'agrégats, parmi les gestionnaires de stratégie précédemment créés, afin d'afficher les statistiques correspondantes. ÉTAPE 4 Cliquez sur Appliquer. Une demande de statistiques supplémentaire est créée et le fichier de Configuration d'exécution est mis à jour.
28 Qualité de service Gestion des statistiques de QoS • File d'attente : file d'attente d'où proviennent les paquets transférés ou éliminés, la file étant pleine (tail drop). • Priorité d'élimination : les paquets portant la priorité d'élimination la plus faible ont davantage de chances d'être conservés. • Nombre total de paquets : nombre de paquets transférés ou éliminés, la file étant pleine (tail drop). • Paquets éliminés : pourcentage de paquets éliminés, la file étant pleine (tail drop).
29 SNMP Cette section décrit la fonctionnalité SNMP (Simple Network Management Protocol), qui fournit une méthode de gestion des unités de réseau.
29 SNMP Versions et flux de travail SNMP SNMPv1 et v2 Pour contrôler l'accès au système, une liste d'entrées de communauté est définie. Chaque entrée de communauté est constituée d'une chaîne de communauté et de son privilège d'accès. Le système répond uniquement aux messages SNMP spécifiant la communauté qui dispose des autorisations correctes et de l'opération correcte. Les agents SNMP conservent une liste de variables utilisées pour gérer le périphérique.
29 SNMP Versions et flux de travail SNMP Flux de travail SNMP REMARQUE : pour des raisons de sécurité, SNMP est désactivé par défaut. Avant de pouvoir gérer le périphérique via SNMP, vous devez activer SNMP sur la page Sécurité > Services TCP/UDP. Ci-dessous figure une série d'actions recommandées pour la configuration de SNMP : Si vous décidez d'utiliser SNMPv1 ou v2 : ÉTAPE 1 Accédez à la page SNMP -> Communautés, puis cliquez sur Ajouter.
29 SNMP ID d'objet du modèle Si vous décidez d'utiliser SNMPv3 : ÉTAPE 1 Définissez le moteur SNMP sur la page ID du moteur. Vous pouvez soit créer un ID de moteur unique, soit utiliser l'ID de moteur par défaut. L'application d'une configuration ID du moteur efface le contenu de la base de données SNMP. ÉTAPE 2 Vous pouvez également définir une ou plusieurs vues SNMP à l'aide de la page Vues (facultatif). Vous limitez ainsi la plage des ID d'objet (OID) disponibles pour une communauté ou un groupe.
29 SNMP ID d'objet du modèle Nom du modèle Description ID d'objet SF500-24P Commutateur administrable empilable PoE 10/100 à 24 ports 9.6.1.80.24.2 SF500-48 Commutateur administrable empilable 10/ 100 à 48 ports 9.6.1.80.48.1 SF500-48P Commutateur administrable empilable PoE 10/100 à 48 ports 9.6.1.80.48.2 SG500-28 Commutateur administrable empilable Gigabit à 28 ports 9.6.1.81.28.1 SG500-28P Commutateur administrable empilable PoE Gigabit à 28 ports 9.6.1.81.28.
29 SNMP ID de moteur SNMP ID de moteur SNMP L'ID de moteur est utilisé par des entités SNMPv3 afin de les identifier de façon unique. Un agent SNMP est considéré comme un moteur SNMP faisant autorité. Cela signifie que l'agent répond aux messages entrants (Get, GetNext, GetBulk, Set) et qu'il envoie des interceptions à un gestionnaire. Les informations locales de l'agent sont encapsulées dans des champs au sein du message.
29 SNMP ID de moteur SNMP • Défini par l'utilisateur : saisissez l'ID de moteur de l'unité locale. La valeur du champ est une chaîne hexadécimale (plage : 10 - 64). Chaque octet dans les chaînes de caractères hexadécimales est représenté par deux chiffres hexadécimaux. Tous les ID de moteur distant et leurs adresses IP sont affichés dans la table ID de moteur distant. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de Configuration d'exécution est mis à jour.
29 SNMP Configuration de vues SNMP Configuration de vues SNMP Une vue est une étiquette définie par l'utilisateur pour une collecte de sousarborescences MIB. Chaque ID de sous-arborescence est défini par l'ID d'objet (OID) de la racine des sous-arborescences concernées. Des noms célèbres peuvent être utilisés pour spécifier la racine de la sous-arborescence souhaitée ou un ID d'objet peut être saisi (voir ID d'objet du modèle).
29 SNMP Création de groupes SNMP ÉTAPE 6 Afin de vérifier votre configuration des vues, sélectionnez les vues définies par l'utilisateur dans la liste Filtre : Nom de la vue. Les vues suivantes existent par défaut : • Par défaut : vue SNMP par défaut pour les vues en lecture et en lecture/ écriture. • DefaultSuper : vue SNMP par défaut pour les vues d'administrateur. D'autres vues peuvent être ajoutées.
29 SNMP Création de groupes SNMP SNMPv3 permet de contrôler le contenu que chaque utilisateur peut lire ou écrire, ainsi que les notifications qu'il reçoit. Un groupe définit des privilèges de lecture/ écriture et un niveau de sécurité. Il devient opérationnel lorsqu'il est associé à un utilisateur ou une communauté SNMP. REMARQUE Pour associer à un groupe une vue qui n'est pas une vue par défaut, créez d'abord la vue sur la page Vues. Pour créer un groupe SNMP : ÉTAPE 1 Cliquez sur SNMP > Groupes.
29 SNMP Création d'utilisateurs SNMP • Afficher : l'association d'une vue avec les privilèges d'accès Lecture, Écriture et Notifier du groupe limite l'étendue de l'arborescence MIB à laquelle le groupe a un accès Lecture, Écriture et Notifier. - Vue : sélectionnez une vue précédemment définie pour Lecture, Écriture et Notifier. - Lecture : l'accès à la gestion est en lecture seule pour la vue sélectionnée.
29 SNMP Création d'utilisateurs SNMP Pour créer un utilisateur SNMPv3, les éléments ci-dessous doivent exister au préalable : • Un ID de moteur doit d'abord être configuré sur le périphérique. Cette opération s'effectue sur la page ID du moteur. • Un groupe SNMPv3 doit être disponible. Vous pouvez définir un groupe SNMPv3 sur la page Groupes. Pour afficher des utilisateurs SNMP et en définir de nouveaux : ÉTAPE 1 Cliquez sur SNMP > Utilisateurs. Cette page contient les utilisateurs existants.
29 SNMP Définition de communautés SNMP • Méthode d'authentification : sélectionnez la méthode d'authentification qui varie en fonction du Nom de groupe qui a été attribué. Si le groupe ne requiert pas d'authentification, alors l'utilisateur ne peut configurer aucune authentification. Les options sont les suivantes : - Aucune : aucune authentification d'utilisateur n'est utilisée. - Mot de passe MD5 : mot de passe utilisé pour la génération d'une clé par la méthode d'authentification MD5.
29 SNMP Définition de communautés SNMP La page Communauté associe des communautés à des droits d'accès, soit directement (mode de base), soit via des groupes (mode avancé) : • Mode De base : les droits d'accès d'une communauté peuvent être définis en Lecture seule, Lecture/écriture ou Admin SNMP. Vous pouvez en outre restreindre l'accès à la communauté à certains objets MIB uniquement, en sélectionnant une vue (définie sur la page Vues SNMP).
29 SNMP Définition de communautés SNMP • Adresse IP : saisissez l'adresse IP de la station de gestion SNMP. • Chaîne de communauté : saisissez le nom de la communauté permettant d'authentifier la station de gestion sur le périphérique. • De base : sélectionnez ce mode pour une communauté spécifique. Avec ce mode, aucune connexion n'est établie avec quelque groupe que ce soit.
29 SNMP Définition de paramètres d'interceptions Définition de paramètres d'interceptions La page Paramètres de filtre permet de spécifier si les notifications SNMP doivent être envoyées à partir du périphérique, et à quelles conditions. Vous pouvez configurer les destinataires des notifications SNMP sur la page Destinataires de notifications SNMPv1,2 ou sur la page Destinataires de notifications SNMPv3. Pour définir des paramètres d'interception : ÉTAPE 1 Cliquez sur SNMP > Paramètres d'interception.
29 SNMP Destinataires de notifications La page Destinataires de notifications SNMPv1,2 et la page Destinataires de notifications SNMPv3 permettent de configurer la destination d'envoi des notifications SNMP, ainsi que les types de notifications SNMP envoyées vers chaque destination (interceptions ou informations). Les messages contextuels Ajouter/Modifier permettent la configuration des attributs des notifications.
29 SNMP Destinataires de notifications REMARQUE : si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. ÉTAPE 3 Cliquez sur Ajouter. ÉTAPE 4 Saisissez les paramètres. 631 • Définition de serveur : indiquez si vous souhaitez spécifier le serveur de journalisation distant par son adresse IP ou son nom. • Version IP : sélectionnez IPv4 ou IPv6. • Type d'adresse IPv6 : sélectionnez soit Liaison locale, soit Global.
29 SNMP Destinataires de notifications • Version de notification : sélectionnez la version SNMP de l'interception. Vous pouvez utiliser SNMPv1 ou SNMPv2 comme version des interceptions, mais une seule version peut être activée à la fois. • Filtre de notification : sélectionnez cette option pour activer le filtrage du type des notifications SNMP transmises à la station de gestion. Les filtres sont créés sur la page Filtre de notification.
29 SNMP Destinataires de notifications ÉTAPE 3 Saisissez les paramètres. 633 • Définition de serveur : indiquez si vous souhaitez spécifier le serveur de journalisation distant par son adresse IP ou son nom. • Version IP : sélectionnez IPv4 ou IPv6. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique.
29 SNMP Filtres de notification SNMP REMARQUE : le niveau de sécurité dépend du nom d'utilisateur qui a été sélectionné. Si le paramètre Aucune authentification a été défini pour ce nom d'utilisateur, le niveau de sécurité est uniquement Aucune authentification.
29 SNMP Filtres de notification SNMP Pour définir un filtre de notification : ÉTAPE 1 Cliquez sur SNMP > Filtre de notification. La page Filtre de notification contient les informations de notification relatives à chaque filtre. Ce tableau peut filtrer des entrées de notification par nom de filtre. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les paramètres. • Nom du filtre : saisissez un nom qui ne comporte pas plus de 30 caractères.
Cisco et le logo Cisco sont des marques commerciales ou des marques commerciales déposées de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. Pour afficher la liste des marques de Cisco, visitez cette URL : www.cisco.com/go/trademarks. Les autres marques de commerce mentionnées sont la propriété de leurs détenteurs respectifs. L'utilisation du terme « partenaire » n'implique pas de relation de partenariat entre Cisco et une autre entreprise.
© 2012-2013 Cisco Systems, Inc. Tous droits réservés.
30 Couleurs : condition 500, conditions 300 et 500, Fichier opérateur destiné au guide d'administration de la version documentation imprimée Sx500 et SG500X Balises de condition Les balises de condition suivantes sont définies dans les fichiers : Nom de la balise de condition Description Commentaire Désactivée Utilisée pour les commentaires/problèmes/ questions éditoriales internes Interne Désactivée Informations internes non présentées au client et utilisées à des fins de développement Aide en li
30 Couleurs : condition 500, conditions 300 et 500, Nom de la balise de condition Description Sx500 Activée Aide_Sx500 Désactivée Imprimer_Sx500 Activée Pour les versions documentation imprimée et aide Sx500 Pour la version aide Sx500 Pour la version documentation imprimée Sx500 Liste des variables définies dans les fichiers Nom de la variable Description Titre du livre Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 Copyright Copyright © 20
