Mode d'emploi | Cisco Small Business 500 Series Stackable Managed Switches Manuel utilisateur
Ajouter à Mes manuels611 Des pages
▼
Scroll to page 2
of
611
GUIDE D'ADMINISTRATION Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 1 Table des matières Table des matières Chapitre 1: Table des matières 1 Chapitre 2: Démarrage 11 Démarrage de l'utilitaire Web de configuration 11 Configuration de l'appareil - Démarrage rapide 15 Conventions de nommage de l'interface 16 Différences entre les périphériques 500 16 Navigation dans les fenêtres 17 Chapitre 3: État et statistiques 21 Récapitulatif système 21 Interfaces Ethernet 21 Statistiques Etherlike 23 Statistiques GVRP 24 Statistiques EAP 802.1X 25 Statistiques ACL 26 Taux d'utilisation TCAM 27 Intégrité 28 RMON 28 Afficher le journal 35 Chapitre 4: Administration : Journal système 36 Définition des paramètres de journalisation système 36 Définition des paramètres de journalisation distante 38 Afficher les journaux de la mémoire 39 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 1 1 Table des matières Chapitre 5: Administration : Gestion de fichiers 41 Fichiers système 41 Mettre à niveau/sauvegarder micrologiciel/langue 44 Image active 48 Télécharger/sauvegarder configuration/journal 49 Propriétés des fichiers de configuration 54 Copier/enregistrer la configuration 55 Configuration/Mise à jour automatique de l'image via DHCP 56 Chapitre 6: Administration : Gestion des piles 66 Présentation 66 Types d'unités dans une pile 68 Topologie de la pile 69 Affectation d'ID d'unité 70 Processus de sélection de l'unité principale 72 Modification apportée à la pile 73 Échec d'unité dans la pile 75 Synchronisation automatique du logiciel dans la pile 77 Mode de l'unité de pile 77 Ports de pile 80 Configuration par défaut 87 Interactions avec les autres fonctions 88 Modes système 88 Chapitre 7: Administration 92 Modèles de périphériques 93 Paramètres système 95 Paramètres de console (prise en charge du débit de bauds automatiques) 98 Interface de gestion 99 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 2 1 Table des matières Mode du système et gestion des piles 99 Comptes d'utilisateur 99 Définition du délai d'expiration en cas de session inactive 99 Paramètres de l'heure 100 Journal système 100 Gestion de fichiers 100 Redémarrage du périphérique 100 Ressources de routage 102 Intégrité 106 Diagnostic 108 Détection - Bonjour 108 Détection - LLDP 108 Détection - CDP 108 Ping 108 Traceroute 110 Chapitre 8: Administration : Paramètres d'heure 111 Options d'heure système 112 Modes SNTP 113 Configuration de l'heure système 114 Chapitre 9: Administration : Diagnostics 123 Tests des ports en cuivre 123 Affichage de l'état des modules optiques 125 Configuration de la mise en miroir des ports et de VLAN 126 Affichage de l'utilisation du CPU et fonction Secure Core Technology (SCT) 128 Chapitre 10: Administration : Détection 129 Bonjour 129 LLDP et CDP 131 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 3 1 Table des matières Configuration de LLDP 132 Configuration de CDP 152 Statistiques CDP 159 Chapitre 11: Gestion des ports 161 Configuration des ports 161 Détection de bouclage 166 Agrégation de liaison 168 UDLD 175 PoE 175 Configuration de Green Ethernet 176 Chapitre 12: Gestion des ports : Unidirectional Link Detection Présentation de la fonction UDLD 183 Fonctionnement de UDLD 184 Instructions d'utilisation 186 Dépendances envers les autres fonctions 187 Configuration et paramètres par défaut 187 Avant de commencer 187 Tâches UDLD courantes 188 Configuration de UDLD 188 Chapitre 13: Port intelligent 183 192 Présentation 193 Qu'est-ce qu'un port intelligent ? 193 Types de port intelligent 194 Macros Port intelligent 196 Échec de la macro et opération de réinitialisation 197 Fonctionnement de la fonction Port intelligent 198 Port intelligent automatique 199 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 4 1 Table des matières Gestion des erreurs 202 Configuration par défaut 202 Relations avec les autres fonctions et compatibilité descendante 203 Tâches courantes de port intelligent 203 Configuration de port intelligent à l'aide de l'interface Web 206 Macros Port intelligent intégrées 211 Chapitre 14: Gestion des ports : PoE 222 PoE sur l'appareil 222 Propriétés PoE 225 Paramètres PoE 226 Chapitre 15: Gestion des VLAN 229 Présentation 229 VLAN standard 237 Paramètres de VLAN privé 245 Paramètres GVRP 245 Groupes VLAN 246 VLAN voix 251 Accès VLAN TV port multidiffusion 263 VLAN TV port client multidiffusion 267 Chapitre 16: Spanning Tree 270 Types de STP 270 État STP et paramètres globaux 271 Paramètres d'interface Spanning Tree 273 Paramètres Rapid Spanning Tree 275 Multiple Spanning Tree 277 Propriétés MSTP 277 Instance VLAN vers MSTP 279 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 5 1 Table des matières Paramètres d'instance MSTP 280 Paramètres d'interface MSTP 280 Chapitre 17: Gestion des tables d'adresses MAC 283 Adresses MAC statiques 284 Adresses MAC dynamiques 285 Adresses MAC réservées 286 Chapitre 18: Multidiffusion 287 Réacheminement multidestination 287 Propriétés de multidiffusion 292 Adresse de groupe MAC 293 Adresses IP de groupe de multidiffusion 295 Configuration de la multidiffusion IPv4 296 Configuration de la multidiffusion IPv6 302 Groupe de multidiffusion IP de surveillance IGMP/MLD 307 Ports de routeur de multidiffusion 308 Tout transférer 309 Multidiffusion non enregistrée 310 Chapitre 19: Configuration IP 311 Présentation 311 IPv4 Management and Interfaces (Interfaces et gestion IPv4) 315 Serveur DHCP 336 IPv6 Management and Interfaces (Interfaces et gestion IPv6) 344 Nom de domaine 366 Chapitre 20: Configuration IP : RIPv2 371 Présentation 371 Fonctionnement de RIP sur l'appareil 372 Configuration de RIP 377 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 6 1 Table des matières Chapitre 21: Configuration IP : VRRP 384 Présentation 384 Éléments configurables de VRRP 387 Configuration de VRRP 390 Chapitre 22: Sécurité 394 Définition d'utilisateurs 395 Configuration de TACACS+ 398 Configuration de RADIUS 403 Gestion de la clé 407 Méthode d'accès de gestion 410 Authentification de l'accès de gestion 415 Gestion sécurisée des données confidentielles 416 Serveur SSL 416 Serveur SSH 419 Client SSH 419 Configuration des services TCP/UDP 419 Définition du contrôle des tempêtes 420 Configuration de la sécurité des ports 422 802.1X 424 Prévention du déni de service 424 Surveillance DHCP 433 Protection de la source IP 434 Inspection ARP 437 Sécurité du premier saut 443 Chapitre 23: Sécurité : Authentification 802.1X 444 Présentation de 802.1X 444 Présentation de l'authentificateur 447 Tâches courantes 456 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 7 1 Table des matières Configuration de 802.1X via l'interface utilisateur graphique (GUI) 458 Définition des périodes 469 Prise en charge des méthodes d'authentification et des modes de port 470 Chapitre 24: Sécurité : Sécurité du premier saut IPv6 473 Présentation de la Sécurité du premier saut IPv6 474 Protection Router Advertisement 478 Inspection Neighbor Discovery 478 Protection DHCPv6 479 Intégrité de la liaison de voisin 479 Protection de la source IPv6 482 Protection contre les attaques 483 Stratégies, paramètres globaux et valeurs par défaut du système 485 Tâches courantes 486 Configuration et paramètres par défaut 488 Avant de commencer 489 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 489 Chapitre 25: Sécurité : Client SSH 507 Secure Copy (SCP) et SSH 507 Méthodes de protection 508 Authentification du serveur SSH 510 Authentification du client SSH 510 Avant de commencer 511 Tâches courantes 511 Configuration du client SSH via l'interface utilisateur graphique (GUI) 513 Chapitre 26: Sécurité : Serveur SSH 517 Présentation 517 Tâches courantes 518 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 8 1 Table des matières Pages de configuration du serveur SSH 519 Chapitre 27: Sécurité : Gestion sécurisée des données confidentielles Introduction 522 Règles SSD 523 Propriétés SSD 528 Fichiers de configuration 531 Canaux de gestion SSD 535 Interface de ligne de commande (CLI) et récupération du mot de passe 537 Configuration de SSD 537 Chapitre 28: Contrôle d'accès 522 541 Listes de contrôle d'accès 541 ACL basées sur MAC 545 ACL basées sur IPv4 547 ACL basées sur IPv6 552 Liaison ACL 555 Chapitre 29: Qualité de service 558 Fonctions et composants QoS 559 Configuration de la QoS - Général 562 Mode de base de QoS 573 Mode de QoS avancé 576 Gestion des statistiques de QoS 587 Chapitre 30: SNMP 591 Versions et flux de travail SNMP 591 ID d'objet du modèle 594 ID de moteur SNMP 595 Configuration de vues SNMP 597 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 9 1 Table des matières Création de groupes SNMP 598 Création d'utilisateurs SNMP 600 Définition de communautés SNMP 602 Définition de paramètres d'interceptions 604 Destinataires de notifications 604 Filtres de notification SNMP 608 Guide d'administration du commutateur administrable empilable Cisco Small Business série 500 10 2 Démarrage Cette section offre une introduction à l'utilitaire de configuration Web et inclut les rubriques suivantes : • Démarrage de l'utilitaire Web de configuration • Configuration de l'appareil - Démarrage rapide • Conventions de nommage de l'interface • Différences entre les périphériques 500 • Navigation dans les fenêtres Démarrage de l'utilitaire Web de configuration Cette section explique comment naviguer dans l'utilitaire Web de configuration du commutateur. Si vous utilisez un bloqueur de fenêtres publicitaires intempestives, assurez-vous qu'il est désactivé. Restrictions s'appliquant aux navigateurs Si vous utilisez des interfaces IPv6 sur votre station de gestion, utilisez l'adresse globale IPv6 au lieu de l'adresse de liaison locale IPv6 pour accéder au périphérique à partir de votre navigateur. Lancement de l'utilitaire de configuration Pour lancer l'utilitaire de configuration Web : ÉTAPE 1 Ouvrez un navigateur Web. ÉTAPE 2 Saisissez l'adresse IP du périphérique que vous configurez dans la barre d'adresse du navigateur, puis appuyez sur Entrée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 11 Démarrage Démarrage de l'utilitaire Web de configuration REMARQUE 2 Lorsque le périphérique utilise l'adresse IP par défaut 192.168.1.254, sa LED d'alimentation clignote de façon continue. Lorsque le périphérique utilise une adresse IP affectée par DHCP ou une adresse IP statique configurée par un administrateur, sa LED d'alimentation reste allumée. Connexion Le nom d'utilisateur par défaut est cisco tandis que le mot de passe par défaut est cisco. Lors de votre première ouverture de session avec le nom d'utilisateur et le mot de passe par défaut, vous devez saisir un nouveau mot de passe. REMARQUE Si vous n'avez pas encore choisi la langue de l'interface utilisateur graphique, la page de connexion s'affiche dans la ou les langues demandées par votre navigateur et dans les langues configurées sur votre périphérique. Si votre navigateur demande le chinois par exemple, et si le chinois a été chargé sur votre périphérique, la page de connexion s'affiche automatiquement en chinois. Si le chinois n'a pas été chargé sur votre périphérique, la page de connexion s'affiche en anglais. Les langues chargées sur le périphérique sont désignées par le code de la langue et le code du pays (en-US, en-GB, etc.). Pour que la page de connexion s'ouvre automatiquement dans une langue particulière, en fonction de la demande du navigateur, le code de la langue et le code du pays indiqués dans la demande du navigateur doivent correspondre aux langues chargées sur le périphérique. Si la demande du navigateur ne contient que le code de la langue, mais pas celui du pays (par exemple : fr), la première langue intégrée dont le code de la langue correspond est sélectionnée (sans code de pays correspondant, par exemple : fr_CA). Pour vous connecter à l'utilitaire de configuration de l'appareil : ÉTAPE 1 Saisissez le nom d'utilisateur/le mot de passe. Le mot de passe peut comporter au maximum 64 caractères ASCII. Les règles de complexité du mot de passe sont décrites à la section Définition de règles de complexité des mots de passe. ÉTAPE 2 Si vous n'utilisez pas l'anglais, sélectionnez la langue souhaitée dans le menu déroulant Langue. Pour ajouter une nouvelle langue au périphérique ou mettre à jour une langue déjà enregistrée, reportez-vous à la section Mettre à niveau/ sauvegarder micrologiciel/langue. ÉTAPE 3 S'il s'agit de votre première ouverture de session avec l'ID utilisateur par défaut (cisco) et le mot de passe par défaut (cisco), ou si votre mot de passe a expiré, la page Modifier le mot de passe s'ouvre. Pour plus d'informations, reportez-vous à la section Expiration du mot de passe. ÉTAPE 4 Vous avez la possibilité de sélectionner Désactiver l'application de la complexité du mot de passe. Pour plus d'informations sur la complexité des mots de passe, reportez-vous à la section Définition de règles de complexité des mots de passe. ÉTAPE 5 Saisissez le nouveau mot de passe, puis cliquez sur Appliquer. Une fois la connexion établie, la page Mise en route s'ouvre. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 12 Démarrage Démarrage de l'utilitaire Web de configuration 2 Si vous avez saisi un nom d'utilisateur ou un mot de passe erroné, un message d'erreur apparaît et la page Connexion reste affichée sur la fenêtre. Si vous rencontrez des problèmes pour vous connecter, reportezvous à la section Lancement de l'utilitaire de configuration du Guide d'administration pour obtenir des informations supplémentaires. Sélectionnez Ne pas afficher cette page au démarrage pour empêcher la page Mise en route de s'ouvrir à chaque fois que vous vous connectez au système. Si vous sélectionnez cette option, la page System Summary s'ouvre à la place de la page Getting Started. HTTP/HTTPS Vous pouvez ouvrir une session HTTP (non sécurisée) en cliquant sur Se connecter. Vous pouvez également ouvrir une session HTTPS (sécurisée) en cliquant sur Navigation sécurisée (HTTPS). Vous serez invité à approuver la connexion avec une clé RSA par défaut, puis une session HTTPS s'ouvrira. REMARQUE Vous n'avez pas besoin de saisir le nom d'utilisateur et le mot de passe avant de cliquer sur le bouton Navigation sécurisée (HTTPS). Pour savoir comment configurer HTTPS, reportez-vous à la section Serveur SSL. Expiration du mot de passe La page Nouveau mot de passe s'affiche dans les cas suivants : • La première fois que vous accédez au périphérique avec le nom d'utilisateur cisco et le mot de passe cisco par défaut, cette page vous oblige à remplacer le mot de passe par défaut. • Lorsque le mot de passe expire, cette page vous oblige à sélectionner un nouveau mot de passe. Déconnexion L'application se déconnecte par défaut au bout de dix minutes d'inactivité. Vous pouvez modifier cette valeur par défaut en suivant la procédure décrite à la section Définition du délai d'expiration en cas de session inactive. ! ATTENTION Sauf si la Configuration d'exécution est copiée dans la Configuration de démarrage, toutes les modifications apportées depuis le dernier enregistrement du fichier sont perdues en cas de redémarrage du périphérique. Enregistrez la Configuration d'exécution dans la Configuration de démarrage avant de vous déconnecter, afin de conserver toute modification apportée au cours de cette session. Une icône X rouge clignotante qui s'affiche à gauche du lien d'application Enregistrer indique que des changements apportés à la Configuration d'exécution n'ont pas encore été enregistrés dans le fichier de Configuration de démarrage. Vous pouvez désactiver le clignotement en cliquant sur le bouton Désactiver clignotement icône d'enr. de la page Copier/enregistrer la configuration. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 13 Démarrage Démarrage de l'utilitaire Web de configuration 2 Lorsque le périphérique détecte automatiquement un périphérique, tel qu'un téléphone IP (reportez-vous à la section Qu'est-ce qu'un port intelligent ?), il configure le port de manière adéquate pour ce périphérique. Ces commandes de configuration sont écrites dans le fichier de configuration de fonctionnement. L'icône Enregistrer se met alors à clignoter lorsque vous vous connectez, même si vous n'avez apporté aucune modification à la configuration. Lorsque vous cliquez sur Enreg., la page Copier/enregistrer la configuration s'affiche. Enregistrez le fichier de configuration de fonctionnement en le copiant dans le fichier de configuration de démarrage. Une fois cet enregistrement effectué, l'icône X rouge et le lien d'application Enregistrer ne s'affichent plus. Pour vous déconnecter, cliquez sur Se déconnecter en haut à droite de n'importe quelle page. Le système se déconnecte du périphérique. En cas d'expiration du délai ou si vous vous déconnectez intentionnellement du système, un message apparaît et la page de connexion s'ouvre tout en indiquant que vous êtes déconnecté. Une fois que vous vous êtes connecté, l'application retourne à la page initiale. La page initiale qui s'affiche varie selon que l'option « Ne pas afficher cette page au démarrage » de la page Mise en route a été activée ou non. Si vous n'avez pas sélectionné cette option, la page initiale qui apparaît est la page Mise en route. Si vous avez sélectionné cette option, la page initiale qui apparaît est la page Récapitulatif système. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 14 2 Démarrage Configuration de l'appareil - Démarrage rapide Configuration de l'appareil - Démarrage rapide Afin de simplifier la configuration du périphérique, des liens vous permettant d'accéder rapidement aux pages les plus fréquemment utilisées ont été mis à votre disposition sur la page Mise en route. Catégorie Nom du lien (sur la page) Page correspondante Configuration initiale Changer le mode système et la gestion des piles Page Mode du système et gestion des piles Change Management Applications and Services Page Services TCP/UDP Change Device IP Address Page Interface IPv4 Create VLAN Page Créer un VLAN Configure Port Settings Page Paramètres des ports System Summary Page Récapitulatif système Port Statistics Page Interface RMON Statistics Page Statistiques View Log Page Mémoire RAM Change Device Password Page Comptes d'utilisateur Upgrade Device Software Page Mettre à niveau/sauvegarder micrologiciel/langue Backup Device Configuration Page Télécharger/sauvegarder configuration/journal Créer une ACL basée sur MAC Page ACL basée sur MAC Créer une ACL basée sur IP Page ACL basée sur IPv4 Configure QoS Page Propriétés de QoS Configure Port Mirroring Page Mise en miroir des ports et VLAN État du périphérique Accès rapide La page Getting Started comporte deux liens qui vous redirigent vers des pages Web Cisco sur lesquelles vous trouverez des informations supplémentaires. Cliquez sur le lien Assistance pour accéder à la page d'assistance produit du périphérique, puis sélectionnez le lien Forums pour accéder à la page Communauté d'assistance Cisco Small Business. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 15 Démarrage Conventions de nommage de l'interface 2 Conventions de nommage de l'interface Dans l'interface utilisateur graphique, les interfaces sont désignées en concaténant les éléments suivants : • Type de l'interface : les types suivants d'interface se retrouvent dans divers types de périphériques : - Fast Ethernet (10/100 bits) : celles-ci sont désignées par FE. - Ports Gigabit Ethernet (10/100/1 000 bits) : celles-ci sont désignées par GE. - Ports Ten Gigabit Ethernet (10 000 bits) : celles-ci sont désignées par XG. - LAG (PortChannel) : celles-ci sont désignées par LAG. - VLAN : celles-ci sont désignées par VLAN. - Tunnel : celles-ci sont désignées par Tunnel. • Numéro d'unité : numéro de l'unité dans la pile. En mode autonome, le numéro est toujours1. • Numéro de logement : le numéro de logement est 1 ou 2. • Numéro d'interface : ID du port, LAG, tunnel ou VLAN Différences entre les périphériques 500 Ce guide concerne les périphériques Sx500, SG500X, SG500XG et ESW2-550X. Des notes sont incluses lorsqu'une fonctionnalité ne concerne qu'un seul périphérique. Vous trouverez ci-dessous un récapitulatif des différences entre ces modèles : • Les fonctions RIP et VRRP sont uniquement prises en charge sur les périphériques SG500X, SG500XG et ESW2-550X exécutés en mode autonome (et en mode Pile hybride avancée pour les périphériques SG500X et Sx500 ; reportez-vous à la section Administration : Gestion des piles pour plus d'informations). • Taille de TCAM, voir Taux d'utilisation TCAM • Les ports de pile sont différents sur ces périphériques. Reportez-vous à la section Ports de pile et ports réseau par défaut. • La disponibilité du débit de port par type de câble est également différente. Reportez-vous à la section Types de câbles. • L'activation du routage IPv4 s'effectue différemment sur les périphériques, comme suit : - SG500XSG500XG/ESW2-550X : le routage IPv4 doit être activé sur la page Interface IPv4. - Sx500 : lorsque le périphérique passe du mode système Couche 2 à Couche 3, le routage IPv4 est activé automatiquement. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 16 Démarrage Navigation dans les fenêtres 2 Navigation dans les fenêtres Cette section décrit les fonctions de l'utilitaire Web de configuration du commutateur. En-tête d'application L'en-tête d'application s'affiche sur toutes les pages. Elle propose les liens d'application suivants : Nom du lien d'application Description Une icône X rouge clignotante qui s'affiche à gauche du lien d'application Enregistrer indique que des changements apportés à la Configuration d'exécution n'ont pas encore été enregistrés dans le fichier de Configuration de démarrage. Vous pouvez désactiver le clignotement de l'icône X rouge sur la page Copier/enregistrer la configuration. Cliquez sur Enregistrer pour afficher la page Copier/ enregistrer la configuration. Enregistrez le fichier de Configuration d'exécution en le copiant dans le fichier de Configuration de démarrage sur le périphérique. Une fois cet enregistrement effectué, l'icône X rouge et le lien d'application Enregistrer ne s'affichent plus. Au redémarrage du périphérique, le type de fichier Configuration de démarrage est copié sur la Configuration d'exécution et les paramètres du périphérique sont définis en fonction des données de Configuration d'exécution. Nom d'utilisateur Affiche le nom de l'utilisateur connecté au périphérique. Le nom d'utilisateur par défaut est cisco. (Le mot de passe par défaut est cisco.) Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 17 2 Démarrage Navigation dans les fenêtres Nom du lien d'application Description Language Menu Ce menu comprend les options suivantes : • Select a language : choisissez une des langues qui apparaît dans le menu. Il s'agira de la langue utilisée par l'utilitaire de configuration Web. • Download Language : ajoute une nouvelle langue au périphérique. • Delete Language : supprime la deuxième langue du périphérique. La première langue (anglais) ne peut pas être supprimée. • Débogage : option utilisée pour la traduction. Si vous choisissez cette option, tous les intitulés de l'utilitaire de configuration Web disparaîtront et vous verrez les ID des chaînes qui correspondent aux ID du fichier de langue. REMARQUE Pour mettre à niveau un fichier de langue, accédez à la page Upgrade/Backup Firmware/Language. Logout Cliquez sur ce bouton pour vous déconnecter de l'utilitaire Web de configuration du commutateur. About Cliquez sur ce lien pour afficher le nom et le numéro de version du périphérique. Help Cliquez sur ce lien pour afficher l'aide en ligne. L'icône d'état d'alerte SYSLOG s'affiche en cas de journalisation d'un message SYSLOG dont le niveau de gravité se situe au-dessus du niveau critique. Cliquez sur l'icône pour ouvrir la page RAM Memory. Une fois que vous avez accédé à cette page, l'icône d'état d'alerte SYSLOG ne s'affiche plus. Pour afficher la page en l'absence de message SYSLOG actif, cliquez sur État et statistiques > Afficher le journal > Mémoire RAM. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 18 Démarrage Navigation dans les fenêtres 2 Boutons de gestion Le tableau suivant décrit les boutons couramment utilisés qui s'affichent sur différentes pages du système. Nom du bouton Description Servez-vous du menu déroulant pour configurer le nombre d'entrées par page. Indique un champ obligatoire. Add Cliquez sur ce bouton pour afficher la page Add correspondante et ajouter une entrée à une table. Saisissez les informations requises et cliquez sur Appliquer pour les enregistrer dans la Configuration d'exécution. Cliquez sur Fermer pour retourner à la page principale. Cliquez sur Enregistrer pour afficher la page Copier/enregistrer la configuration et enregistrer la Configuration d'exécution dans le type de fichier Configuration de démarrage du périphérique. Apply Cliquez sur ce lien pour appliquer les modifications à la Configuration d'exécution du périphérique. En cas de redémarrage du périphérique, la Configuration d'exécution est perdue, sauf si elle a été enregistrée dans le type de fichier de Configuration de démarrage ou dans un autre type de fichier. Cliquez sur Enregistrer pour afficher la page Copier/enregistrer la configuration et enregistrer la Configuration d'exécution dans le type de fichier Configuration de démarrage du périphérique. Cancel Cliquez sur réinitialiser les modifications apportées à la page. Clear All Interfaces Counters Cliquez sur ce bouton pour effacer les compteurs de statistiques de toutes les interfaces. Clear Interface Counters Cliquez sur ce bouton pour effacer les compteurs de statistiques de l'interface sélectionnée. Clear Logs Efface les fichiers journaux. Clear Table Efface les entrées de la table. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 19 Démarrage Navigation dans les fenêtres Nom du bouton Description Close Permet de revenir à la page principale. Un message s'affiche si des modifications n'ont pas été appliquées à la configuration de fonctionnement. Copy Settings Une table comporte généralement une ou plusieurs entrées contenant des paramètres de configuration. Au lieu de modifier chaque entrée individuellement, il est possible de modifier une entrée, puis de la copier sur plusieurs autres, comme décrit ci-dessous : 2 1. Sélectionnez l'entrée à copier. Cliquez sur Copier les paramètres pour afficher la fenêtre contextuelle. 2. Saisissez les numéros des entrées de destination dans le champ to. 3. Cliquez sur Appliquer pour enregistrer les modifications et sur Fermer pour retourner à la page principale. Delete Après avoir sélectionné une entrée dans la table, cliquez sur Supprimer pour la supprimer. Details Cliquez sur ce bouton pour afficher les détails relatifs à l'entrée sélectionnée. Edit Sélectionnez l'entrée et cliquez sur Edit. La page Edit qui s'ouvre vous permet de modifier l'entrée. 1. Cliquez sur Appliquer pour enregistrer les modifications dans la Configuration d'exécution. 2. Cliquez sur Fermer pour retourner à la page principale. Go Saisissez les critères de filtrage et cliquez sur Go. Les résultats s'affichent sur la page. Refresh Cliquez sur Actualiser pour actualiser les valeurs de compteur. Test Cliquez sur Tester pour effectuer les tests liés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 20 3 État et statistiques Cette section décrit comment afficher les statistiques de l'appareil. Elle couvre les rubriques suivantes : • Récapitulatif système • Interfaces Ethernet • Statistiques Etherlike • Statistiques GVRP • Statistiques EAP 802.1X • Statistiques ACL • Taux d'utilisation TCAM • Intégrité • RMON • Afficher le journal Récapitulatif système Reportez-vous à la section Paramètres système. Interfaces Ethernet La page Interface affiche les statistiques de trafic pour chaque port. La fréquence d'actualisation des informations peut être sélectionnée. Cette page est utile pour analyser le volume de trafic envoyé et reçu, ainsi que sa dispersion (destination unique, multidestination et diffusion). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 21 État et statistiques Interfaces Ethernet 3 Pour afficher les statistiques Ethernet et/ou définir la fréquence d'actualisation : ÉTAPE 1 Cliquez sur Status and Statistics > Interface. ÉTAPE 2 Saisissez les paramètres. • Interface : sélectionnez le type d'interface et l'interface spécifique pour laquelle les statistiques Ethernet doivent être affichées. • Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation des statistiques Ethernet de l'interface. La zone Statistiques de réception affiche les informations se rapportant aux paquets entrants. • Total Bytes (Octets) : octets reçus, y compris les paquets erronés et les octets FCS, mais sans les bits de synchronisation. • Unicast Packets : paquets de destination unique corrects reçus. • Multicast Packets : paquets de multidestination corrects reçus. • Broadcast Packets : paquets de diffusion corrects reçus. • Packets with Errors : paquets avec erreurs reçus. La zone Statistiques de transmission affiche les informations se rapportant aux paquets sortants. • Total Bytes (Octets) : octets transmis, y compris les paquets erronés et les octets FCS, mais sans les bits de synchronisation. • Unicast Packets : paquets de destination unique corrects transmis. • Multicast Packets : paquets de multidestination corrects transmis. • Broadcast Packets : paquets de diffusion corrects transmis. Pour effacer ou afficher les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs de l'interface affichée. • Cliquez sur Voir les statistiques de toutes les interfaces pour visualiser l'ensemble des ports sur une seule et même page. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 22 État et statistiques Statistiques Etherlike 3 Statistiques Etherlike La page Etherlike affiche les statistiques par port sur la base de la définition standard MIB Etherlike. La fréquence d'actualisation des informations peut être sélectionnée. Cette page fournit des informations plus détaillées sur les erreurs au niveau de la couche physique (Couche1), qui pourraient perturber le trafic. Pour afficher les statistiques Etherlike et/ou définir la fréquence d'actualisation : ÉTAPE 1 Cliquez sur Status and Statistics > Etherlike. ÉTAPE 2 Saisissez les paramètres. • Interface : sélectionnez le type d'interface et l'interface spécifique pour laquelle les statistiques Ethernet doivent être affichées. • Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation des statistiques Etherlike. Les champs sont affichés pour l'interface sélectionnée. • Erreurs FCS (Frame Check Sequence) : trames reçues ayant échoué aux contrôles de redondance cyclique (CRC). • Trames de collisions individuelles : trames impliquées dans une collision individuelle, mais ayant été transmises avec succès. • Collisions tardives : collisions ayant été détectées après les 512 premiers octets de données. • Collisions excessives : transmissions rejetées dues à des collisions excessives. • Paquets de taille excessive : paquets de plus de 2000 octets reçus. • Erreurs de réception MAC internes : trames rejetées en raison d'erreurs de destination. • Trames de pause reçues : trames de pause de contrôle de flux reçues. • Trames de pause transmises : trames de pause de contrôle de flux transmises à partir de l'interface sélectionnée. Pour effacer les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs sélectionnés. • Cliquez sur Voir les statistiques de toutes les interfaces pour visualiser l'ensemble des ports sur une seule et même page. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 23 État et statistiques Statistiques GVRP 3 Statistiques GVRP La page GVRP affiche des informations sur les trames du protocole GVRP (GARP VLAN Registration Protocol) qui ont été envoyées ou reçues depuis un port. GVRP est un protocole réseau de Niveau 2 basé sur des normes permettant la configuration automatique des informations VLAN sur les commutateurs. Il est défini dans l'amendement 802.1ak apporté à la norme 802.1Q-2005. Les statistiques GVRP d'un port ne s'affichent que si GVRP est activé globalement et sur le port. Reportezvous à la page GVRP. Pour afficher les statistiques GVRP et/ou définir la fréquence d'actualisation : ÉTAPE 1 Cliquez sur État et statistiques > GVRP. ÉTAPE 2 Saisissez les paramètres. • Interface : sélectionnez l'interface spécifique pour laquelle les statistiques GVRP doivent être affichées. • Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation de la page des statistiques GVRP. Le pavé comptabilisant les attributs affiche les compteurs de différents types de paquets par interface. • Connexion (vide) : paquets Connexion (vide) GVRP reçus/transmis. • Vide : paquets Vide GVRP reçus/transmis. • Sortie (vide) : paquets Sortie (vide) GVRP reçus/transmis. • Connexion : paquets Connexion GVRP reçus/transmis. • Sortie : paquets Sortie GVRP reçus/transmis. • Sortie (tous) : paquets Sortie (tous) GVRP reçus/transmis. La section Statistiques d'erreurs GVRP affiche les compteurs d'erreurs GVRP. • ID de protocole non valide : erreurs d'ID de protocole non valide. • Type d'attribut non valide : erreurs de type d'attribut non valide. • Valeur d'attribut non valide : erreurs de valeur d'attribut non valide. • Longueur d'attribut non valide : erreurs de longueur d'attribut non valide. • Événement non valide : événements non valides. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 24 3 État et statistiques Statistiques EAP 802.1X Pour effacer les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs sélectionnés. • Cliquez sur Voir les statistiques de toutes les interfaces pour visualiser l'ensemble des ports sur une seule et même page. Statistiques EAP 802.1X La page 802.1x EAP affiche des informations détaillées sur les trames EAP (Extensible Authentication Protocol) qui ont été envoyées ou reçues. Pour configurer la fonction 802.1X, reportez-vous à la page Propriétés 802.1X. Pour afficher les statistiques EAP et/ou définir la fréquence d'actualisation : ÉTAPE 1 Cliquez sur État et statistiques > 802.1x EAP. ÉTAPE 2 Sélectionnez l'Interface interrogée pour les statistiques. ÉTAPE 3 Sélectionnez la durée (Fréq. d'actualisation) qui s'écoule avant l'actualisation des statistiques EAP. Les valeurs sont affichées pour l'interface sélectionnée. • Trames EAPOL reçues : trames EAPOL valides reçues sur le port. • Trames EAPOL transmises : trames EAPOL valides transmises par le port. • Trames EAPOL de début reçues : affiche le nombre de trames EAPOL de début qui ont été reçues sur le port. • Trames EAPOL de déconnexion reçues : affiche le nombre de trames EAPOL de déconnexion qui ont été reçues sur le port. • Trames ID/de réponse EAP reçues : trames ID/de réponse EAP reçues sur le port. • Trames de réponse EAP reçues : trames de réponse EAP reçues par le port (autres que les trames ID/de réponse). • Trames ID/de demande EAP transmises : trames ID/de demande EAP transmises par le port. • Trames de demande EAP transmises : trames de demande EAP transmises par le port. • Trames EAPOL non valides reçues : affiche le nombre de trames EAPOL non reconnues qui ont été reçues sur ce port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 25 3 État et statistiques Statistiques ACL • Trames d'erreur de longueur EAP reçues : trames EAPOL avec une longueur de corps de paquet non valide reçues sur ce port. • Version de la dernière trame EAPOL : numéro de version de protocole associé à la dernière trame EAPOL reçue. • Source de la dernière trame EAPOL : adresse MAC source associée à la dernière trame EAPOL reçue. Pour effacer les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs sélectionnés. • Cliquez sur Actualiser pour actualiser les compteurs d'interfaces sélectionnés. • Cliquez sur Voir les statistiques de toutes les interfaces pour effacer les compteurs de l'ensemble des interfaces. Statistiques ACL Lorsque la fonctionnalité de journalisation ACL est activée, un message d'information SYSLOG est généré pour les paquets qui correspondent aux règles ACL. Pour voir les interfaces sur lesquelles les paquets ont été transférés ou rejetés en fonction des listes ACL : ÉTAPE 1 Cliquez sur État et statistiques > ACL. ÉTAPE 2 Sélectionnez la fréquence d'actualisation, à savoir la durée en secondes qui s'écoule avant l'actualisation de la page. Un nouveau groupe d'interfaces est créé pour chaque période. Les interfaces sur lesquelles les paquets ont été transférés ou rejetés en fonction des règles ACL sont affichées. Pour gérer les compteurs de statistiques : • Cliquez sur Actualiser pour réinitialiser les compteurs. • Cliquez sur Effacer les compteurs pour effacer les compteurs de l'ensemble des interfaces. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 26 État et statistiques Taux d'utilisation TCAM 3 Taux d'utilisation TCAM L'architecture du périphérique utilise une mémoire TCAM (Ternary Content Addressable Memory) pour prendre en charge les actions des paquets à vitesse filaire. La mémoire TCAM contient les règles produites par d'autres applications, telles que les règles ACL (Access Control Lists, listes de contrôle d'accès), les règles QoS (Qualité de service), les règles de routage IP et les règles créées par l'utilisateur. Certaines applications attribuent des règles lors de leur mise en œuvre. En outre, les processus qui s'initialisent lors du démarrage système utilisent une partie de leurs règles lors de ce processus de démarrage. Pour afficher l'utilisation de la mémoire TCAM, cliquez sur Status and Statistics > TCAM Utilization. Les champs suivants s'affichent pour les périphériques SG500X/SG500XG et les périphériques Sx500 en mode système Couche 3 et lorsque le périphérique fait partie d'une pile (par unité) : • N° d'unité : unité de la pile pour laquelle le taux d'utilisation TCAM s'affiche. Ce champ n'est pas présent lorsque le périphérique se trouve en mode autonome. • Maximum TCAM Entries for Routing and Multicast Routing (Entrées TCAM maximales pour routage et routage de multidiffusion) : entrées TCAM maximales disponibles pour le routage et le routage de multidiffusion. • Routage IPv4 • • • - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage IPv4. - Maximum : nombre d'entrées TCAM disponibles pouvant être utilisées pour le routage IPv4. Routage de multidiffusion IPv4 - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage de multidiffusion IPv4. - Maximum : nombre d'entrées TCAM disponibles pouvant être utilisées pour le routage de multidiffusion IPv4. Routage IPv6 - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage de multidiffusion IPv6. - Maximum : nombre d'entrées TCAM disponibles pouvant être utilisées pour le routage de multidiffusion IPv6. Routage de multidiffusion IPv6 : nombre d'entrées TCAM utilisées pour le routage IPv6. - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage IPv6. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 27 État et statistiques Intégrité - 3 Maximum : nombre d'entrées TCAM disponibles pouvant être utilisées pour le routage IPv6. • Entrées TCAM maximales pour règles non-IP : nombre maximal d'entrées TCAM disponibles pour les règles non-IP. • Règles non-IP - En cours d'utilis. : nombre d'entrées TCAM utilisées pour les règles non IP. - Maximum : nombre d'entrées TCAM disponibles pour une utilisation par les règles non IP. Pour savoir comment modifier l'attribution en fonction des divers processus (pour la série 500), reportezvous à la section Ressources du routeur. Intégrité Reportez-vous à la section Intégrité. RMON RMON (Remote Networking Monitoring) permet à un agent SNMP sur le périphérique de surveiller de façon proactive les statistiques de trafic sur une période donnée et d'envoyer des interceptions à un gestionnaire SNMP. L'agent SNMP local compare les compteurs en temps réel par rapport à des seuils prédéfinis et génère des alarmes, sans qu'une plate-forme de gestion SNMP centrale n'ait à générer des interrogations. Il s'agit d'un mécanisme efficace en termes de gestion proactive, à condition que des seuils adaptés aient été définis par rapport à la ligne de base de votre réseau. RMON réduit le trafic entre le gestionnaire et le périphérique. Le gestionnaire SNMP n'a en effet pas à interroger fréquemment le périphérique afin d'obtenir des informations. RMON permet en outre au gestionnaire d'obtenir des rapports d'état opportuns, le périphérique signalant les événements à mesure qu'ils se produisent. Cette fonction vous permet de réaliser les actions suivantes : • Afficher les statistiques actuelles (depuis le moment où les valeurs du compteur ont été effacées). Vous pouvez également collecter les valeurs de ces compteurs sur une période puis afficher la table des données collectées, chaque ensemble collecté représentant une ligne individuelle de l'onglet Historique. • Définir des changements intéressants dans les valeurs des compteurs, comme « un certain nombre de collisions tardives a été atteint » (définissant l'alarme), puis définir l'action à mettre en œuvre lorsque cet événement se produit (journal et/ou message d'interception). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 28 3 État et statistiques RMON RMON Statistics La page Statistiques affiche des informations détaillées sur la taille des paquets, ainsi que des informations sur les erreurs de couche physique. Les informations sont affichées conformément à la norme RMON. Un paquet surdimensionné est une trame Ethernet respectant les critères suivants : • La longueur du paquet est supérieure à la taille en octets de la MRU. • Un événement de collision n'a pas été détecté. • Un événement de collision tardive n'a pas été détecté. • Un événement d'erreur de réception (Rx) n'a pas été détecté. • Le paquet a un CRC valide. Pour afficher les statistiques RMON et/ou définir la fréquence d'actualisation : ÉTAPE 1 Cliquez sur État et statistiques > RMON > Statistiques. ÉTAPE 2 Sélectionnez l'interface pour laquelle les statistiques Ethernet doivent être affichées. ÉTAPE 3 Sélectionnez la fréquence d'actualisation, autrement dit la durée qui s'écoule avant l'actualisation des statistiques de l'interface. Les statistiques suivantes sont affichées pour l'interface sélectionnée. • Octets reçus : octets reçus, y compris les paquets erronés et les octets FCS, mais sans les bits de synchronisation. • Événements d'abandon : paquets abandonnés. • Paquets reçus : paquets corrects reçus, dont les paquets de multidiffusion et de diffusion. • Paquets de diffusion reçus : paquets de diffusion corrects reçus. Ce nombre n'inclut pas les paquets de multidestination. • Paquets de multidiffusion reçus : paquets de multidiffusion corrects reçus. • Erreurs d'alignement et CRC : erreurs d'alignement et CRC qui se sont produites. • Paquets de taille insuffisante : paquets de taille insuffisante (moins de 64 octets) reçus. • Paquets de taille excessive : paquets de taille excessive (plus de 2 000 octets) reçus. • Fragments : fragments (paquets de moins de 64 octets) reçus, à l'exception des bits de synchronisation, mais en incluant les octets FCS. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 29 État et statistiques RMON • 3 Jabbers : paquets reçus ayant une longueur supérieure à 1 632 octets. Ce nombre exclut les bits de synchronisation, mais inclut les octets FCS qui comportaient une séquence FCS (Frame Check Sequence) erronée avec un nombre entier d'octets (erreur FCS) ou une séquence FCS erronée avec un nombre non entier d'octets (erreur d'alignement). Un paquet long est une trame Ethernet respectant les critères suivants : - La longueur des données du paquet est supérieure à la MRU. - Le paquet a un CRC non valide. - Un événement d'erreur de réception (Rx) n'a pas été détecté. • Collisions : collisions reçues. Si les trames géantes sont activées, le seuil des trames Jabber est augmenté de façon à correspondre à la taille maximale des trames géantes. • Trames de 64 octets : trames de 64 octets reçues. • Trames de 65 à 127 octets : trames de 65 à 127 octets reçues. • Trames de 128 à 255 octets : trames de 128 à 255 octets reçues. • Trames de 256 à 511 octets : trames de 256 à 511 octets reçues. • Trames de 512 à 1 023 octets : trames de 512 à 1 023 octets reçues. • Trames de 1 024 octets ou plus : trames de 1 024 à 2 000 octets et trames géantes reçues. Pour effacer les compteurs de statistiques : • Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs sélectionnés. • Cliquez sur Voir les statistiques de toutes les interfaces pour visualiser l'ensemble des ports sur une seule et même page. Historique RMON La fonction RMON vous permet de contrôler les statistiques de chaque interface. Vous pouvez configurer la fréquence d'échantillonnage, la quantité d'échantillons à stocker, ainsi que le port à partir duquel recueillir les données via la page Table de contrôle de l'historique. Une fois que les données ont été échantillonnées et stockées, elles apparaissent sur la page Table d'historique que vous pouvez consulter en cliquant sur Table d'historique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 30 3 État et statistiques RMON Pour saisir des données de contrôle RMON : ÉTAPE 1 Cliquez sur État et statistiques > RMON > Historique. Les champs de cette page sont définis dans la page Ajouter un historique RMON ci-dessous. Le seul champ de cette page qui n'est pas défini dans la page Ajouter est le suivant : • Nombre d'échantillons actuel : de par la norme, RMON est autorisé à ne pas accepter tous les échantillons demandés et à limiter plutôt le nombre d'échantillons par demande. Ce champ représente donc le nombre d'échantillons réellement accordé à la demande, ce nombre étant égal ou inférieur à la valeur demandée. ÉTAPE 2 Cliquez sur Add. ÉTAPE 3 Saisissez les paramètres. • Nouvelle entrée d'historique : affiche le numéro de la nouvelle entrée de la table d'historique. • Interface source : sélectionnez le type d'interface à partir de laquelle les échantillons d'historique doivent être recueillis. • Max No. of Samples to Keep : saisissez le nombre d'échantillons à stocker. • Intervalle d'échantillonnage : saisissez la durée (en secondes) pendant laquelle des échantillons sont collectés au niveau des ports. La plage du champ est comprise entre 1 et 3 600. • Owner : saisissez l'utilisateur ou la station RMON ayant demandé les informations RMON. ÉTAPE 4 Cliquez sur Apply. L'entrée est ajoutée à la page Table de contrôle de l'historique, et le fichier de Configuration d'exécution est mis à jour. ÉTAPE 5 Cliquez sur Table d'historique (décrite ci-dessous) pour afficher les statistiques réelles. Table de l'historique RMON La page Table d'historique affiche les échantillonnages réseau statistiques propres à l'interface. Les échantillons ont été configurés dans la table de contrôle de l'historique décrite ci-dessus. Pour afficher les statistiques de l'historique RMON : ÉTAPE 1 Cliquez sur Status and Statistics > RMON > History. ÉTAPE 2 Cliquez sur History Table. ÉTAPE 3 Dans le menu déroulant N° d'entrée d'historique, sélectionnez éventuellement le numéro d'entrée de l'échantillon à afficher. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 31 État et statistiques RMON 3 Les champs sont affichés pour l'échantillon sélectionné. • Propriétaire : propriétaire de l'entrée dans la table d'historique. • Sample No. : les statistiques ont été récupérées à partir de cet échantillon. • Événements d'abandon : paquets abandonnés en raison d'un manque de ressources réseau lors de l'intervalle d'échantillonnage. Cela peut ne pas correspondre au nombre exact de paquets abandonnés, mais plutôt au nombre de détections de paquets de ce type. • Octets reçus : octets reçus, y compris les paquets erronés et les octets FCS, mais sans les bits de synchronisation. • Paquets reçus : paquets reçus, y compris les paquets erronés, ainsi que les paquets multicast et broadcast. • Paquets de diffusion : paquets de diffusion corrects reçus, à l'exception des paquets de multidiffusion. • Multicast Packets : paquets de multidestination corrects reçus. • Erreurs d'alignement et CRC : erreurs d'alignement et CRC qui se sont produites. • Paquets de taille insuffisante : paquets de taille insuffisante (moins de 64 octets) reçus. • Paquets de taille excessive : paquets de taille excessive (plus de 2 000 octets) reçus. • Fragments : fragments (paquets de moins de 64 octets) reçus, à l'exception des bits de synchronisation, mais incluant les octets FCS. • Jabotages : nombre total de paquets reçus dont la taille dépassait 2000 octets. Ce nombre exclut les bits de synchronisation, mais inclut les octets FCS qui comportaient une séquence FCS (Frame Check Sequence) erronée avec un nombre entier d'octets (erreur FCS) ou une séquence FCS erronée avec un nombre non entier d'octets (erreur d'alignement). • Collisions : collisions reçues. • Utilisation : pourcentage du trafic actuel de l'interface par rapport au trafic maximum pouvant être géré par cette dernière. Contrôle des événements RMON Vous pouvez contrôler les occurrences à l'origine du déclenchement d'une alarme et le type de notification envoyé. Pour ce faire, procédez comme suit : • Page Événements : permet de configurer les conséquences liées au déclenchement d'une alarme. Ce peut être n'importe quelle combinaison de journaux et de messages d'interception. • Alarms Page : permet de configurer les occurrences qui déclenchent une alarme. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 32 3 État et statistiques RMON Pour définir les événements RMON : ÉTAPE 1 Cliquez sur État et statistiques > RMON > Événements. Cette page affiche les événements précédemment définis. Les champs de cette page sont définis par la boîte de dialogue Ajouter des événements RMON, à l'exception du champ Heure. • Heure : affiche l'heure de l'événement. (Il s'agit d'une table en lecture seule dans la fenêtre parent qui ne peut pas être définie.) ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les paramètres. • Entrée d'événement : affiche le numéro d'index d'entrée d'événement pour la nouvelle entrée. • Communauté : saisissez la chaîne de communauté SNMP à inclure lors de l'envoi des interceptions (facultatif). Veuillez noter que la communauté doit être définie à l'aide des pages Définition de destinataires de notifications SNMPv1,2 ou Définition de destinataires de notification SNMPv3 pour que l'interception atteigne la station de gestion du réseau. • Description : saisissez un nom pour l'événement. Ce nom est utilisé sur la page Ajouter une alarme RMON pour associer une alarme à un événement. • Notification Type : sélectionnez le type d'action résultant de cet événement. Les valeurs possibles sont : • - None : aucune action ne se produit lorsque l'alarme se déclenche. - Journal (Table journal d'événements) : ajoutez une entrée de journal à la table du journal d'événements lorsque l'alarme se déclenche. - Interception (gestionnaire SNMP et serveur SYSLOG) : permet d'envoyer une interception au serveur de journalisation distant lorsque l'alarme se déclenche. - Journal et interception : ajoute une entrée de journal à la table du journal d'événements et envoie une interception au serveur de journalisation distant lorsque l'alarme se déclenche. Owner : saisissez le périphérique ou l'utilisateur ayant défini l'événement. ÉTAPE 4 Cliquez sur Apply. L'événement RMON est consigné dans le fichier de Configuration d'exécution. ÉTAPE 5 Cliquez sur Table du journal d'événements pour afficher le journal des alarmes déclenchées et consignées (voir description ci-dessous). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 33 3 État et statistiques RMON Journaux d'événements RMON La page Event Log Table affiche le journal des événements (actions) qui se sont produits. Deux types d'événements peuvent être journalisés : Journal ou Journal et interception. L'action de l'événement est réalisée lorsque l'événement est associé à une alarme (reportez-vous à la page Alarmes) et que les conditions de déclenchement de l'alarme sont remplies. ÉTAPE 1 Cliquez sur État et statistiques > RMON > Événements. ÉTAPE 2 Cliquez sur Event Log Table. Cette page affiche les champs suivants : • N° d'entrée d'événement : numéro d'entrée dans le journal de l'événement. • Log No. : numéro du journal (au sein de l'événement). • Log Time : heure à laquelle l'entrée a été enregistrée dans le journal. • Description : description de l'événement qui a déclenché l'alarme. Alarmes RMON Les alarmes RMON fournissent un mécanisme pour la définition de seuils et d'intervalles d'échantillonnage afin de générer des événements d'exception sur des compteurs ou sur tout autre compteur d'objets SNMP géré par l'agent. Les seuils supérieurs et inférieurs doivent tous deux être configurés dans l'alarme. Une fois qu'un seuil supérieur est franchi, aucun autre événement de hausse n'est généré jusqu'à ce que le seuil inférieur associé soit lui-même franchi. Lorsqu'une alarme de baisse est déclenchée, l'alarme suivante se déclenche dès qu'un seuil supérieur est franchi. Une ou plusieurs alarmes sont liées à un événement, ce qui indique l'action à entreprendre lorsque l'alarme se déclenche. Les compteurs d'alarme peuvent être contrôlés par des valeurs absolues ou par des changements (delta) dans les valeurs de ces compteurs. Pour entrer des alarmes RMON : ÉTAPE 1 Cliquez sur État et statistiques > RMON > Alarmes. Toutes les alarmes définies précédemment sont affichées. Les champs sont décrits dans la page Ajouter une alarme RMON ci-dessous. En plus de ces champs, le champ suivant apparaît : • Valeur du compteur : affiche la valeur de la statistique lors de la dernière période d'échantillonnage. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les paramètres. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 34 3 État et statistiques Afficher le journal • N° d'entrée d'alarme : affiche le numéro d'entrée de l'alarme. • Interface : sélectionnez le type d'interface pour lequel les statistiques RMON s'affichent. • Counter Name : sélectionnez la variable MIB qui indique le type d'occurrence mesuré. • Valeur du compteur : nombre d'occurrences. • Sample Type : sélectionnez la méthode d'échantillonnage pour générer une alarme. Les options sont les suivantes : - Absolu : si le seuil est franchi, une alarme est générée. - Delta : soustrait la valeur du dernier échantillon de la valeur actuelle. La différence obtenue est comparée au seuil. Si le seuil est franchi, une alarme est générée. • Seuil supérieur : saisissez la valeur qui déclenche l'alarme de seuil supérieur. • Événement de hausse : sélectionnez l'événement qui doit se produire lorsqu'un événement de hausse se déclenche. Les événements sont créés sur la page Événements. • Seuil inférieur : saisissez la valeur qui déclenche l'alarme de seuil inférieur. • Événement de baisse : sélectionnez l'événement qui doit se produire lorsqu'un événement de baisse se déclenche. • Startup Alarm : sélectionnez le premier événement à partir duquel lancer la génération d'alarmes. La hausse est définie en franchissant le seuil en partant d'un seuil de faible valeur vers un seuil de valeur plus importante. - Alarme de hausse : une valeur en hausse déclenche l'alarme de seuil supérieur. - Alarme de baisse : une valeur en baisse déclenche l'alarme de seuil inférieur. - Hausse et baisse : des valeurs en hausse et en baisse déclenchent l'alarme. • Interval : saisissez l'intervalle (en secondes) entre les alarmes. • Owner : saisissez le nom de l'utilisateur ou du système de gestion du réseau qui reçoit l'alarme. ÉTAPE 4 Cliquez sur Apply. L'alarme RMON est consignée dans le fichier de Configuration d'exécution. Afficher le journal Reportez-vous à la section Afficher les journaux de la mémoire. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 35 4 Administration : Journal système Cette section décrit la fonction de journalisation système, qui permet à l'appareil de générer plusieurs journaux indépendants. Chaque journal correspond à un ensemble de messages décrivant les événements système. L'appareil génère les journaux locaux suivants : • journal envoyé à l'interface de la console ; • journal enregistré dans une liste cyclique d'événements journalisés dans la mémoire RAM et effacé au redémarrage de l'appareil ; • journal enregistré dans un fichier journal cyclique enregistré dans la mémoire Flash et conservé d'un redémarrage à l'autre. Vous pouvez en outre envoyer des messages vers des serveurs SYSLOG distants sous la forme d'interceptions SNMP et de messages SYSLOG. Cette section contient les rubriques suivantes : • Définition des paramètres de journalisation système • Définition des paramètres de journalisation distante • Afficher les journaux de la mémoire Définition des paramètres de journalisation système Vous pouvez sélectionner les événements à journaliser en fonction de leur niveau de gravité. Chaque message de journal s'accompagne d'un niveau de sévérité. Il est marqué avec la première lettre de ce niveau concaténé avec un tiret (-) de chaque côté (à l'exception d'Urgence, indiquée par la lettre F). Par exemple, le message de journal « %INIT-I-InitCompleted: … » a un niveau de sévérité correspondant à I, qui signifie Informatif. Les niveaux de sévérité des événements sont répertoriés du niveau le plus élevé au plus faible, comme suit : • Emergency : le système n'est pas utilisable. • Alerte : une action est requise. • Critical : le système est dans un état critique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 36 Administration : Journal système Définition des paramètres de journalisation système • Error : le système subit une condition d'erreur. • Warning : un avertissement système a été généré. • Notice : le système fonctionne correctement, mais une remarque système a été générée. • Informational : informations sur le périphérique. • Débogage : fournit des informations détaillées sur un événement. 4 Vous pouvez sélectionner des niveaux de sévérité différents pour les journaux de la mémoire RAM et Flash. Ces journaux s'affichent respectivement sur les pages Mémoire RAM et Mémoire Flash. Si vous choisissez d'enregistrer un niveau de gravité spécifique dans un journal, tous les événements de sévérité plus élevée le seront également. Les événements de gravité plus faible ne seront pas enregistrés dans le journal. Par exemple, si Warning est sélectionné, tous les niveaux de gravité de type Warning et plus élevés sont enregistrés dans le journal (Emergency, Alert, Critical, Error et Warning). Aucun événement dont le niveau de sévérité est inférieur à Avertissement n'est enregistré (Remarque, Informatif et Débogage). Pour définir des paramètres de journalisation globaux : ÉTAPE 1 Cliquez sur Administration > System Log > Log Settings. ÉTAPE 2 Saisissez les paramètres. • Journalisation : sélectionnez cette option pour activer la journalisation des messages. • Agrégateur Syslog : sélectionnez cette option pour activer l'agrégation des interceptions et SYSLOG. Si elle est activée, les interceptions et les messages SYSLOG identiques et contigus sont agrégés pendant le temps d'agrégation max. spécifié et envoyés dans un même message. Les messages agrégés sont envoyés dans l'ordre de leur arrivée. Chaque message indique le nombre de fois où il a été agrégé. • Temps d'agrégation max. : saisissez la période pendant laquelle les messages SYSLOG sont agrégés. • Identifiant d'initiateur : permet d'ajouter un identifiant d'origine aux messages SYSLOG. Les options sont les suivantes : - Aucun : aucun identifiant d'origine n'est ajouté aux messages SYSLOG. - Nom d'hôte : inclut le nom d'hôte système aux messages SYSLOG. - Adresse IPv4 : l'adresse IPv4 de l'interface expéditrice est ajoutée aux messages SYSLOG. - Adresse IPv6 : l'adresse IPv6 de l'interface expéditrice est ajoutée aux messages SYSLOG. - Défini par l'utilisateur : permet de saisir la description à faire figurer dans les messages SYSLOG. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 37 Administration : Journal système Définition des paramètres de journalisation distante 4 • Journalisation de la mémoire RAM : sélectionnez les niveaux de sévérité des messages à journaliser dans la RAM. • Journalisation de la mémoire Flash : sélectionnez les niveaux de sévérité des messages à journaliser dans la mémoire Flash. ÉTAPE 3 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Définition des paramètres de journalisation distante La page Serveurs de journalisation distants permet de définir les serveurs SYSLOG distants où sont envoyés les messages de journalisation. Vous pouvez configurer la sévérité des messages que reçoit chaque serveur. Pour définir les serveurs SYSLOG : ÉTAPE 1 Cliquez sur Administration > System Log > Remote Log Servers. ÉTAPE 2 Renseignez les champs suivants : • Interface source IPv4 : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme adresse IPv4 source des messages SYSLOG envoyés aux serveurs SYSLOG. • Interface source IPv6 : sélectionnez l'interface source dont l'adresse IPv6 sera utilisée comme adresse IPv6 source des messages SYSLOG envoyés aux serveurs SYSLOG. REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. Les informations sont décrites pour chaque serveur de journalisation configuré précédemment. Les champs sont décrits ci-dessous sur la page Ajouter. ÉTAPE 3 Cliquez sur Ajouter. ÉTAPE 4 Saisissez les paramètres. • Server Definition : indiquez si vous souhaitez identifier le serveur de journalisation distante par son adresse IP ou par son nom. • Version IP : sélectionnez le format IP pris en charge. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 38 Administration : Journal système Afficher les journaux de la mémoire • 4 Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée). • Adresse IP/Nom serveur de journalisation : saisissez l'adresse IP ou le nom de domaine du serveur de journalisation. • UDP Port : saisissez le numéro du port UDP auquel les messages de journal sont envoyés. • Équipement : sélectionnez une valeur pour l'équipement à partir duquel les journaux système sont envoyés au serveur distant. Une seule valeur d'équipement peut être affectée à un serveur. Si un autre code d'équipement est affecté, la première valeur est remplacée. • Description : saisissez une description pour le serveur. • Minimum Severity : sélectionnez le niveau minimum de gravité des messages de journalisation système à envoyer au serveur. ÉTAPE 5 Cliquez sur Appliquer. La page Ajouter serveur de journalisation distant se ferme ; le serveur SYSLOG est ajouté et le fichier de Configuration d'exécution est mis à jour. Afficher les journaux de la mémoire L'appareil peut enregistrer des informations dans les journaux suivants : • Journal de la RAM (effacé lors du redémarrage). • Journal de la mémoire Flash (uniquement effacé sur instruction de l'utilisateur) Vous pouvez configurer les messages à enregistrer dans chaque journal en fonction de leur sévérité. Un message peut en outre être enregistré dans plusieurs journaux, y compris ceux qui résident sur des serveurs SYSLOG externes. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 39 Administration : Journal système Afficher les journaux de la mémoire 4 Mémoire RAM La page Mémoire RAM affiche tous les messages enregistrés dans la RAM (cache) dans l'ordre chronologique. Les entrées sont enregistrées dans le journal de la RAM en fonction de la configuration définie sur la page Paramètres des journaux. Pour afficher les entrées du journal, cliquez sur État et statistiques > Afficher le journal > Mémoire RAM. En haut de la page se trouve un bouton qui vous permet de désactiver le clignotement de l'icône d'alerte. Cliquez dessus. Ce bouton permet d'activer ou de désactiver cette fonction. Le seuil de journalisation actuel spécifie les niveaux de journalisation qui sont générés. Celui-ci peut être modifié en cliquant sur Modifier selon le nom du champ. Cette page contient les champs suivants, pour chaque fichier journal : • Log Index : numéro de l'entrée dans le journal. • Log Time : heure à laquelle le message a été généré. • Severity : niveau de sévérité de l'événement. • Description : message texte décrivant l'événement. Pour effacer les messages des journaux, cliquez sur Effacer les journaux. Les messages sont effacés. Mémoire Flash La page Mémoire Flash affiche, dans l'ordre chronologique, les messages enregistrés dans la mémoire Flash. Le niveau de gravité minimal de la journalisation peut être configuré sur la page Paramètres des journaux. Les journaux de la mémoire Flash sont conservés au redémarrage du commutateur. Vous pouvez effacer les journaux manuellement. Pour afficher les journaux de la mémoire Flash, cliquez sur État et statistiques > Afficher le journal > Mémoire Flash. Le seuil de journalisation actuel spécifie les niveaux de journalisation qui sont générés. Celui-ci peut être modifié en cliquant sur Modifier selon le nom du champ. Cette page contient les champs suivants, pour chaque fichier journal : • Log Index : numéro de l'entrée dans le journal. • Log Time : heure à laquelle le message a été généré. • Severity : niveau de sévérité de l'événement. • Description : message texte décrivant l'événement. Pour effacer les messages, cliquez sur Effacer les journaux. Les messages sont effacés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 40 5 Administration : Gestion de fichiers Cette section se concentre sur la gestion des fichiers système. Les sujets suivants sont traités : • Fichiers système • Mettre à niveau/sauvegarder micrologiciel/langue • Image active • Télécharger/sauvegarder configuration/journal • Propriétés des fichiers de configuration • Copier/enregistrer la configuration • Configuration/Mise à jour automatique de l'image via DHCP Fichiers système Les fichiers système contiennent des informations de configuration, des images du micrologiciel ou du code de démarrage. Vous pouvez effectuer diverses actions avec ces fichiers, par exemple : sélectionner le fichier du micrologiciel à partir duquel l'appareil doit démarrer, copier différents types de fichiers de configuration en interne sur l'appareil ou copier des fichiers vers ou depuis un appareil externe, comme un serveur externe. Les méthodes de transfert de fichiers disponibles sont les suivantes : • copie interne ; • HTTP/HTTPS qui utilise la structure fournie par le navigateur ; • client TFTF/SCP, nécessitant un serveur TFTP/SCP. Les fichiers de configuration de l'appareil sont définis en fonction de leur type et comportent les réglages et valeurs de paramètre de l'appareil. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 41 Administration : Gestion de fichiers Fichiers système 5 Lorsqu'une configuration est référencée sur l'appareil, cette opération s'effectue en fonction de son type de fichier de configuration (par exemple, Configuration de démarrage ou Configuration d'exécution) et non en fonction d'un nom de fichier modifiable par l'utilisateur. Le contenu peut être copié d'un type de fichier de configuration vers un autre, mais le nom des types de fichiers ne peut pas être modifié par l'utilisateur. Les autres fichiers présents sur l'appareil incluent les fichiers de micrologiciel, de code de démarrage et journaux et sont appelés fichiers opérationnels. Les fichiers de configuration sont des fichiers texte qui peuvent être modifiés dans un éditeur de texte tel que le Bloc-notes une fois copiés sur un appareil externe, un PC par exemple. Fichiers et types de fichiers Les fichiers de configuration et fichiers opérationnels correspondant aux types suivants sont présents sur l'appareil : • Configuration d'exécution : paramètres de fonctionnement actuellement utilisés par l'appareil. C'est le seul type de fichier qui est modifié quand vous changez les valeurs des paramètres du périphérique. En cas de redémarrage de l'appareil, la Configuration d'exécution est perdue. La Configuration de démarrage, stockée dans la mémoire Flash, remplace la Configuration d'exécution, stockée dans la mémoire RAM. Pour conserver toutes les modifications apportées à l'appareil, vous devez enregistrer la Configuration d'exécution dans la Configuration de démarrage ou dans un autre type de fichier. • Configuration de démarrage : valeurs de paramètres que vous avez enregistrées en copiant une autre configuration (généralement la Configuration d'exécution) dans la Configuration de démarrage. La Configuration de démarrage est conservée dans la mémoire Flash et préservée à chaque redémarrage de l'appareil. Lors du redémarrage, la configuration de démarrage est copiée dans la RAM et identifiée comme étant la configuration de fonctionnement. • Configuration miroir : copie de la Configuration de démarrage, créée par l'appareil dans l'un des cas suivants : - l'appareil a fonctionné en continu pendant 24 heures ; - aucune modification n'a été apportée à la configuration de fonctionnement au cours des dernières 24 heures ; - la Configuration de démarrage est identique à la Configuration d'exécution. Seul le système peut copier la configuration de démarrage dans la configuration miroir. Vous pouvez toutefois copier la configuration miroir vers d'autres types de fichiers ou sur un autre périphérique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 42 Administration : Gestion de fichiers Fichiers système 5 L'option permettant de copier automatiquement la Configuration d'exécution dans la Configuration miroir peut être désactivée sur la page Propriétés des fichiers de configuration. • Configuration de secours : copie manuelle d'un fichier de configuration servant à protéger le système en cas d'arrêt ou à maintenir un état de fonctionnement spécifique. Vous pouvez copier la Configuration miroir, la Configuration de démarrage ou la Configuration d'exécution dans un fichier de configuration de sauvegarde. La Configuration de secours est conservée dans la mémoire Flash et préservée en cas de redémarrage de l'appareil. • Micrologiciel : programme qui contrôle les opérations et les fonctions de l'appareil. Plus communément appelé image. • Code de démarrage : contrôle le démarrage de base du système et lance l'image du micrologiciel. • Fichier de langue : dictionnaire qui permet d'afficher les fenêtres de l'utilitaire de configuration Web dans la langue sélectionnée. • Journal Flash : messages SYSLOG stockés dans la mémoire Flash. Actions des fichiers Les actions suivantes peuvent être réalisées pour gérer le micrologiciel et les fichiers de configuration : • Mettre à niveau le micrologiciel ou le code de démarrage, ou remplacer une langue, comme décrit dans la section Mettre à niveau/sauvegarder micrologiciel/langue. • Afficher l'image du micrologiciel actuellement utilisée ou sélectionner l'image à utiliser lors du redémarrage suivant, comme décrit à la section Image active. • Enregistrer les fichiers de configuration de l'appareil dans un répertoire situé sur un autre appareil, comme décrit à la section Télécharger/sauvegarder configuration/journal. • Effacer les types de fichiers de Configuration de démarrage ou de Configuration de sauvegarde, comme décrit dans la section Propriétés des fichiers de configuration. • Copier un type de fichier de configuration dans un autre type de fichier de configuration, comme décrit dans la section Copier/enregistrer la configuration. • Télécharger automatiquement un fichier de configuration depuis un serveur DHCP vers l'appareil, comme décrit à la section Configuration/Mise à jour automatique de l'image via DHCP. Cette section aborde les points suivants : • Mettre à niveau/sauvegarder micrologiciel/langue • Image active • Télécharger/sauvegarder configuration/journal • Propriétés des fichiers de configuration • Copier/enregistrer la configuration • Configuration/Mise à jour automatique de l'image via DHCP Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 43 Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue 5 Mettre à niveau/sauvegarder micrologiciel/langue Le processus Mettre à niveau/sauvegarder micrologiciel/langue peut être utilisé pour : • mettre à niveau ou sauvegarder l'image du micrologiciel ; • mettre à niveau ou sauvegarder le code de démarrage ; • importer ou mettre à niveau un autre fichier de langue ; Les méthodes de transfert de fichiers suivantes sont prises en charge : • HTTP/HTTPS qui utilise la structure fournie par le navigateur • TFTP qui nécessite un serveur TFTP • SCP (Secure Copy Protocol), nécessitant un serveur SCP Lorsqu'un nouveau fichier de langue est chargé sur l'appareil, la langue y correspondant peut être sélectionnée dans le menu déroulant. Notez que redémarrer l'appareil n'est pas nécessaire. Le nouveau fichier de langue sélectionné est automatiquement copié sur tous les appareils de la pile. Toutes les images logicielles de la pile doivent être identiques pour garantir le bon fonctionnement de la pile. Si un périphérique est ajouté à une pile et si son image logicielle est différente de celle de l'unité principale, cette dernière charge automatiquement la bonne image sur le nouvel appareil. Il est possible de recourir aux méthodes suivantes pour mettre à jour des images dans la pile : • L'image peut être mise à jour avant de connecter une unité à la pile. Il s'agit de la méthode recommandée. • Mise à niveau de l'appareil ou de la pile : en cas de mise à jour de la pile, la mise à jour des unités asservies s'effectue automatiquement. Pour mettre à jour la pile, procédez comme suit : - Copiez l'image du serveur TFTP/SCP vers l'unité principale à l'aide de la page Mettre à niveau/ Sauvegarder le micrologiciel/la langue. - Modifiez l'image active à l'aide du menu Active Image (Image active). - Redémarrez l'unité à l'aide de page Redémarrer. Deux images du micrologiciel sont conservées sur l'appareil. Une des images est identifiée en tant qu'image active et l'autre en tant qu'image inactive. Lors de la mise à niveau du microprogramme, la nouvelle image remplace toujours celle identifiée comme étant inactive. Même après avoir téléchargé le nouveau micrologiciel sur l'appareil, ce dernier continue de démarrer en utilisant l'image active (l'ancienne version) jusqu'à ce que vous activiez la nouvelle image, en vous conformant à la procédure décrite à la section Image active. Démarrez ensuite l'appareil. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 44 Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue REMARQUE 5 Si l'appareil s'exécute en mode Pile native, le nouveau micrologiciel est transféré vers toutes les unités de la pile. S'il s'agit d'un nouvel appareil qui rejoint la pile et dispose d'une autre version de micrologiciel, l'unité principale synchronise automatiquement la version de micrologiciel avec cette nouvelle unité. Cette opération s'effectue en toute transparence, sans intervention manuelle. Mise à niveau et sauvegarde des fichiers de micrologiciel ou de langue Pour télécharger ou sauvegarder une image logicielle ou un fichier de langue : ÉTAPE 1 Cliquez sur Administration > File Management > Upgrade/Backup Firmware/ Language. ÉTAPE 2 Cliquez sur la Méthode de transfert. Procédez comme suit : • Si vous avez sélectionné TFTP, passez à l'ÉTAPE 3. • Si vous avez sélectionné via HTTP/HTTPS, passez à l'ÉTAPE 4. • Si vous avez sélectionné via SCP, passez à l'ÉTAPE 5. ÉTAPE 3 Si vous avez sélectionné via TFTP, saisissez les paramètres en suivant la procédure décrite dans cette étape. Sinon, passez à l'ÉTAPE 4. Sélectionnez le Mode d'enregistrement parmi les options suivantes : • Mettre à niveau : spécifie que le type de fichier présent sur l'appareil doit être remplacé par sa nouvelle version, laquelle version est située sur un serveur TFTP. • Sauvegarder : spécifie qu'une copie du type de fichier doit être enregistrée dans un fichier situé sur un autre appareil. Renseignez les champs suivants : • Type de fichier : sélectionnez le type de fichier de destination. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) • Définition du serveur TFTP : indiquez si vous souhaitez spécifier le serveur TFTP Par adresse IP ou Par nom. • Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 45 Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue 5 - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée). • Nom/Adresse IP du serveur TFTP : saisissez l'adresse IP ou le nom du serveur TFTP. • (Pour une mise à niveau) Nom du fichier source : saisissez le nom du fichier source. • (Pour une sauvegarde) Nom du fichier de destination : saisissez le nom du fichier de sauvegarde. ÉTAPE 4 Si vous avez sélectionné via HTTP/HTTPS, vous pouvez uniquement sélectionner le Mode d'enregistrement : Mettre à niveau. Saisissez les paramètres décrits dans cette étape. • • Type du fichier : sélectionnez l'un des types de fichiers suivants : - Image du micrologiciel : sélectionnez cette option pour mettre à niveau l'image du micrologiciel. - Fichier de langue : sélectionnez cette option pour mettre à niveau le fichier de langue. Nom du fichier : cliquez sur Parcourir pour sélectionner un fichier ou saisissez le chemin et le nom du fichier source à utiliser pour le transfert. ÉTAPE 5 Si vous avez sélectionné via SCP (sur SSH), consultez la section Authentification du client SSH pour obtenir de plus amples instructions. Renseignez ensuite les champs suivants : Notez que seuls les champs uniques sont décrits, pour les autres, consultez les descriptions ci-dessus. • Authentification du serveur SSH distant : pour activer l'authentification du serveur SSH (qui est désactivée par défaut), cliquez sur Modifier. Vous êtes redirigé vers la page Authentification du serveur SSH, où vous pourrez configurer le serveur SSH, puis vous reviendrez vers cette page. Utilisez la page Authentification du serveur SSH pour sélectionner une méthode d'authentification de l'utilisateur SSH (mot de passe ou clé privée/publique), définir un nom d'utilisateur et un mot de passe sur l'appareil (si vous avez choisi la méthode par mot de passe) et générer une clé RSA ou DSA, le cas échéant. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 46 Administration : Gestion de fichiers Mettre à niveau/sauvegarder micrologiciel/langue 5 Authentification du client SSH : l'authentification du client peut être effectuée de l'une des manières suivantes : • Utiliser les informations d'identification système du client SSH : définit les informations d'identification permanentes de l'utilisateur SSH. Cliquez sur Informations d'identification système pour accéder à la page Authentification de l'utilisateur SSH où vous pouvez définir le nom d'utilisateur et le mot de passe pour toutes les utilisations futures. • Utiliser les infos d'identification unique du client SSH : saisissez les informations suivantes : - Nom d'utilisateur : saisissez un nom d'utilisateur pour ce mode de copie. - Mot de passe : saisissez un mot de passe pour cette copie. REMARQUE Le nom d'utilisateur et le mot de passe relatifs aux informations d'identification unique ne seront pas enregistrés dans le fichier de configuration. Sélectionnez le Mode d'enregistrement parmi les options suivantes : • Mettre à niveau : spécifie que le type de fichier présent sur l'appareil doit être remplacé par sa nouvelle version, laquelle version est située sur un serveur TFTP. • Sauvegarder : spécifie qu'une copie du type de fichier doit être enregistrée dans un fichier situé sur un autre appareil. Renseignez les champs suivants : • Type de fichier : sélectionnez le type de fichier de destination. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) • Définition du serveur SCP : indiquez si vous souhaitez spécifier le serveur SCP par son adresse IP ou son nom de domaine. • Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut être routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste. • Adresse IP/Nom serveur SCP : saisissez l'adresse IP ou le nom de domaine du serveur SCP. • (Pour une mise à niveau) Nom du fichier source : saisissez le nom du fichier source. • (Pour une sauvegarde) Nom du fichier de destination : saisissez le nom du fichier de sauvegarde. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 47 Administration : Gestion de fichiers Image active 5 ÉTAPE 6 Cliquez sur Apply. Si les fichiers, les mots de passe et les adresses du serveur sont corrects, l'une des actions suivantes peut se produire : • Si l'authentification du serveur SSH est activée (dans la page Authentification du serveur SSH) et si le serveur SCP est sécurisé, l'opération aboutit. Si le serveur SCP n'est pas sécurisé, l'opération échoue et une erreur s'affiche. • Si l'authentification du serveur SSH n'est pas activée, l'opération aboutit pour n'importe quel serveur SCP. Image active Deux images du micrologiciel sont conservées sur l'appareil. Une des images est identifiée en tant qu'image active et l'autre en tant qu'image inactive. L'appareil démarre à partir de l'image que vous avez définie en tant qu'image active. Vous pouvez changer en image active l'image identifiée en tant qu'image inactive. Notez que vous pouvez redémarrer l'appareil en utilisant le processus décrit à la section Interface de gestion. Pour sélectionner l'image active : ÉTAPE 1 Cliquez sur Administration > File Management > Active Image. Cette page affiche les éléments suivants : • Image active : affiche le fichier image actuellement actif sur l'appareil. • Active Image Version Number : affiche la version du microprogramme de l'image active. • Image active après redémarrage : affiche l'image active après le redémarrage. • Numéro de version de l'image active après redémarrage : affiche la version du micrologiciel de l'image active utilisée après redémarrage. ÉTAPE 2 Sélectionnez l'image dans le menu Image active après redémarrage pour identifier l'image du micrologiciel à utiliser en tant qu'image active une fois l'appareil redémarré. Numéro de version de l'image active après redémarrage affiche la version du micrologiciel de l'image active à utiliser une fois l'appareil redémarré. ÉTAPE 3 Cliquez sur Apply. La sélection de l'image active est mise à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 48 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal 5 Télécharger/sauvegarder configuration/journal La page Download/Backup Configuration/Log permet : • La sauvegarde de fichiers de configuration ou de journaux depuis l'appareil vers un périphérique externe. • La restauration de fichiers de configuration depuis un périphérique externe vers l'appareil. REMARQUE Lorsque l'appareil fonctionne en mode pile, les fichiers de configuration proviennent de l'unité principale. Lorsque vous restaurez un fichier de configuration vers la Configuration d'exécution, le fichier importé ajoute toute commande de configuration qui n'existait pas dans l'ancien fichier et remplace toute valeur de paramètre dans les commandes de configuration existantes. Lorsque vous restaurez un fichier de configuration vers la Configuration de démarrage ou un fichier de configuration de secours, le nouveau fichier remplace le fichier précédent. Lorsque vous procédez à une restauration vers la Configuration de démarrage, l'appareil doit être redémarré pour que cette Configuration puisse être utilisée en tant que Configuration d'exécution. Notez que vous pouvez redémarrer l'appareil en suivant la procédure présentée à la section Interface de gestion. Compatibilité descendante du fichier de configuration Lors de la restauration des fichiers de configuration depuis un périphérique externe vers l'appareil, les problèmes de compatibilité suivants sont susceptibles de se présenter : • Modification du mode de files d'attente de 4 à 8 : les options de configuration des files d'attente doivent être examinées et ajustées de sorte à répondre aux objectifs QoS du nouveau mode de files d'attente. Pour obtenir la liste des commandes QoS, reportez-vous au de l'interface de ligne de commande (CLI). • Modification du mode de files d'attente de 8 à 4 : les commandes de configuration de files d'attente non compatibles avec le nouveau mode de files d'attente sont ignorées, ce qui se traduit par l'échec du téléchargement du fichier de configuration. Sur la page Mode du système et gestion des piles vous pouvez modifier le mode de files d'attente. • Modification du mode du système : lorsque le fichier de configuration contient un mode système identique à celui actuellement utilisé sur l'appareil où le fichier est téléchargé, cette information n'est pas prise en compte. En cas de modification du mode système, les situations suivantes peuvent se présenter : - Lorsque le téléchargement du fichier de configuration sur l'appareil s'effectue à l'aide de la page Télécharger/sauvegarder configuration/journal, cette opération est annulée et un message s'affiche indiquant que le mode système doit d'abord être modifié à partir de la page Mode du système et gestion des piles. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 49 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal - 5 Lorsque le téléchargement du fichier de configuration fait partie d'un processus de configuration automatique, le fichier de configuration de démarrage est supprimé et l'appareil redémarre automatiquement en exécutant le nouveau mode système. Lorsqu'un fichier de configuration vide est utilisé pour la configuration de l'appareil, Pour savoir ce qui se passe en cas de modification des modes de pile, reportez-vous à la section Configuration après redémarrage. Téléchargement ou sauvegarde d'un fichier de configuration ou d'un journal Pour sauvegarder ou restaurer le fichier de configuration système : ÉTAPE 1 Cliquez sur Administration > File Management > Download/Backup Configuration/Log. ÉTAPE 2 Sélectionnez la Méthode de transfert. ÉTAPE 3 Si vous avez sélectionné via TFTP, saisissez les paramètres. Sinon, passez à l'ÉTAPE 4. Sélectionnez Télécharger ou Sauvegarde comme Mode d'enregistrement. Télécharger : indique que le type de fichier de l'appareil est remplacé par le type de fichier d'un autre appareil. Renseignez les champs suivants : a. Définition du serveur TFTP : indiquez si vous souhaitez spécifier le serveur TFTP par adresse IP ou par nom de domaine. b. Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. REMARQUE Si le serveur est sélectionné par son nom dans la définition de serveur, il est inutile de sélectionner les options relatives à la version IP. c. Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. d. Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste. e. Nom/Adresse IP du serveur TFTP : saisissez l'adresse IP ou le nom du serveur TFTP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 50 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal f. 5 Source File Name : saisissez le nom du fichier source. Les noms de fichiers ne peuvent pas comporter de barres obliques (\ ou /), ne doivent pas débuter par un point (.) et ne peuvent dépasser 160 caractères. (Caractères valides : A-Z, a-z, 0-9, « . », « - », « _ »). g. Type du fichier de destination : saisissez le type du fichier de configuration de destination. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) Sauvegarde : spécifie qu'un type de fichier doit être copié dans un fichier situé sur un autre appareil. Renseignez les champs suivants : a. Définition du serveur TFTP : indiquez si vous souhaitez spécifier le serveur TFTP par adresse IP ou par nom de domaine. b. Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. c. Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les options sont les suivantes : • Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. • Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. d. Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste. e. Nom/Adresse IP du serveur TFTP : saisissez l'adresse IP ou le nom du serveur TFTP. f. Type du fichier source : saisissez le type du fichier de configuration source. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) g. Données confidentielles : choisissez comment les données sensibles doivent être incluses dans le fichier de sauvegarde. Les options suivantes sont disponibles : - Exclure : ne pas inclure les données sensibles à la sauvegarde. - Chiffré : inclure les données sensibles dans la sauvegarde, mais en les cryptant. - Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte en clair. REMARQUE Les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD. h. Nom du fichier de destination : saisissez le nom du fichier de destination. Les noms de fichiers ne peuvent pas comporter de barres obliques (\ ou /), ils doivent comprendre de 1 à 160 caractères et leur première lettre ne doit pas être un point (.). (Caractères valides : A-Z, a-z, 0-9, « . », « - », « _ »). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 51 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal i. 5 Cliquez sur Apply. Le fichier est mis à niveau ou sauvegardé. ÉTAPE 4 Si vous avez sélectionné via HTTP/HTTPS, saisissez les paramètres en suivant la procédure décrite dans cette étape. Sélectionnez l'Enregistrement. Si le Mode d'enregistrement est défini sur Télécharger (remplacement du fichier de l'appareil par une nouvelle version provenant d'un autre périphérique), procédez comme suit. Sinon, passez à la procédure suivante de cette étape. a. Nom du fichier source : cliquez sur Parcourir pour sélectionner un fichier ou saisissez le chemin et le nom du fichier source à utiliser pour le transfert. b. Type du fichier de destination : sélectionnez le type du fichier de configuration. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) c. Cliquez sur Apply. Le fichier est transféré de l'autre périphérique vers l'appareil. Si le Mode d'enregistrement est défini sur Sauvegarder (copie d'un fichier vers un autre périphérique), procédez comme suit : a. Type du fichier source : sélectionnez le type de fichier de configuration. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) b. Données confidentielles : choisissez comment les données sensibles doivent être incluses dans le fichier de sauvegarde. Les options suivantes sont disponibles : - Exclure : ne pas inclure les données sensibles à la sauvegarde. - Chiffré : inclure les données sensibles dans la sauvegarde, mais en les cryptant. - Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte en clair. REMARQUE Les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD. c. Cliquez sur Apply. Le fichier est mis à niveau ou sauvegardé. ÉTAPE 5 Si vous avez sélectionné via SCP (sur SSH), reportez-vous à la section Configuration du client SSH via l'interface utilisateur graphique (GUI) pour plus d'instructions. Renseignez ensuite les champs suivants : • Authentification du serveur SSH distant : pour activer l'authentification du serveur SSH (qui est désactivée par défaut), cliquez sur Modifier. Vous serez dirigé vers la page Authentification du serveur SSH pour procéder à la configuration, puis vous reviendrez sur cette page. Utilisez la page Authentification du serveur SSH pour sélectionner une méthode d'authentification de l'utilisateur SSH (mot de passe ou clé privée/publique), définir un nom d'utilisateur et un mot de passe sur l'appareil (si vous avez choisi la méthode par mot de passe) et générer une clé RSA ou DSA, le cas échéant. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 52 Administration : Gestion de fichiers Télécharger/sauvegarder configuration/journal 5 Authentification du client SSH : l'authentification du client peut être effectuée de l'une des manières suivantes : • Utiliser les informations d'identification système du client SSH : définit les informations d'identification permanentes de l'utilisateur SSH. Cliquez sur Informations d'identification système pour accéder à la page Authentification de l'utilisateur SSH où vous pouvez définir le nom d'utilisateur et le mot de passe pour toutes les utilisations futures. • Utiliser les infos d'identification unique du client SSH : saisissez les informations suivantes : - Nom d'utilisateur : saisissez un nom d'utilisateur pour ce mode de copie. - Mot de passe : saisissez un mot de passe pour cette copie. • Mode d'enregistrement : choisissez de sauvegarder ou de restaurer le fichier de configuration système. • Définition du serveur SCP : indiquez si vous souhaitez spécifier le serveur SCP par adresse IP ou par nom de domaine. • Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut être routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste. • Nom/Adresse IP du serveur SCP : saisissez l'adresse IP ou le nom du serveur SCP. Si le Mode d'enregistrement est défini sur Télécharger (remplacement du fichier de l'appareil par une nouvelle version provenant d'un autre périphérique), renseignez les champs suivants : • Nom du fichier source : saisissez le nom du fichier source. • Type du fichier de destination : sélectionnez le type du fichier de configuration. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) Si le Mode d'enregistrement est défini sur Sauvegarder (copie d'un fichier vers un autre périphérique), renseignez les champs suivants (en plus de ceux répertoriés ci-dessus) : • Type du fichier source : sélectionnez le type de fichier de configuration. Seuls les types de fichiers valides s'affichent. (Les types de fichiers sont décrits dans la section Fichiers et types de fichiers.) Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 53 Administration : Gestion de fichiers Propriétés des fichiers de configuration • 5 Données confidentielles : choisissez comment les données sensibles doivent être incluses dans le fichier de sauvegarde. Les options suivantes sont disponibles : - Exclure : ne pas inclure les données sensibles à la sauvegarde. - Chiffré : inclure les données sensibles dans la sauvegarde, mais en les cryptant. - Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte en clair. REMARQUE Les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD. • Nom du fichier de destination : nom du fichier vers lequel vous copiez des données. ÉTAPE 6 Cliquez sur Apply. Le fichier est mis à niveau ou sauvegardé. Propriétés des fichiers de configuration La page Propriétés des fichiers de configuration indique quand les différents fichiers de configuration du système ont été créés. Elle permet également de supprimer les fichiers de la configuration de démarrage et de la configuration de secours. En revanche, vous ne pouvez pas supprimer les autres types de fichiers de configuration. REMARQUE Lorsque l'appareil fonctionne en mode pile, les fichiers de configuration proviennent de l'unité principale. Pour définir si des fichiers de configuration miroir seront créés, effacez les fichiers de configuration et vérifiez quand les fichiers de configuration ont été créés : ÉTAPE 1 Cliquez sur Administration > File Management > Configuration Files Properties. Cette page affiche les champs suivants : • Nom du fichier de configuration : type de fichier système. • Heure de création : date et heure de modification du fichier. ÉTAPE 2 Si nécessaire, désactivez la Configuration miroir automatique. Des fichiers de configuration miroir ne seront donc pas créés automatiquement. En désactivant cette option, le fichier de configuration miroir est supprimé si vous en aviez créé un. Consultez la section Fichiers système pour obtenir une description des fichiers miroir et pour connaître les raisons qui peuvent vous pousser à éviter la création automatique de fichiers de configuration miroir. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 54 Administration : Gestion de fichiers Copier/enregistrer la configuration 5 ÉTAPE 3 Si nécessaire, choisissez Configuration de démarrage et/ou Configuration de secours, et cliquez sur Effacer les fichiers pour supprimer ces fichiers. Copier/enregistrer la configuration Lorsque vous cliquez sur Appliquer dans une quelconque fenêtre, les modifications que vous avez apportées aux paramètres de configuration de l'appareil sont stockées uniquement dans la Configuration d'exécution. Pour conserver les paramètres de la Configuration d'exécution, celle-ci doit être copiée sur un autre type de configuration ou enregistrée sur un autre appareil. ! ATTENTION À moins que la Configuration d'exécution ne soit copiée sur la Configuration de démarrage ou sur un autre fichier de configuration, toutes les modifications apportées depuis la dernière copie du fichier seront perdues au redémarrage de l'appareil. Les combinaisons suivantes de copie de types de fichiers internes sont autorisées : • De la Configuration d'exécution sur la Configuration de démarrage ou la Configuration de secours • De la Configuration de démarrage sur la Configuration d'exécution, Configuration de démarrage ou Configuration de secours • De la Configuration de secours sur la Configuration d'exécution, Configuration de démarrage ou Configuration de secours • De la Configuration miroir sur la Configuration d'exécution, Configuration de démarrage ou Configuration de secours Pour copier un type de fichier de configuration dans un autre type de fichier de configuration : ÉTAPE 1 Cliquez sur Administration > File Management > Copy/Save Configuration. ÉTAPE 2 Sélectionnez le Nom du fichier source à copier. Seuls les types de fichiers valides sont affichés (description dans la section Fichiers et types de fichiers). ÉTAPE 3 Sélectionnez le Nom du fichier de destination à remplacer par le fichier source. ÉTAPE 4 Sélectionnez l'option Données confidentielles si vous sauvegardez un fichier de configuration, puis sélectionnez un des formats suivants. - Exclure : ne pas inclure les données sensibles à la sauvegarde. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 55 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 - Chiffré : inclure les données sensibles dans la sauvegarde, mais en les cryptant. - Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte en clair. REMARQUE Les options disponibles relatives aux données confidentielles sont déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la page Gestion sécurisée des données confidentielles > Règles SSD. ÉTAPE 5 Le champ Save Icon Blinking indique si une icône clignote lorsque certaines données ne sont pas enregistrées. Pour activer/désactiver cette fonctionnalité, cliquez sur Désactiver/Activer clignotement icône d'enr. ÉTAPE 6 Cliquez sur Apply. Le fichier est copié. Configuration/Mise à jour automatique de l'image via DHCP La fonctionnalité de configuration/mise à jour automatique de l'image constitue un moyen pratique de configurer automatiquement des commutateurs Cisco Small Business 200, 300 et 500 dans un réseau et de mettre à jour leur micrologiciel. Ce processus permet à l'administrateur de vérifier à distance que la configuration et le micrologiciel de ces périphériques du réseau sont à jour. Cette fonctionnalité comporte les étapes suivantes : • Mise à jour automatique de l'image : téléchargement automatique d'une image du micrologiciel depuis un serveur TFTP/SCP distant. À l'issue du processus de configuration/mise à jour automatique de l'image, le périphérique redémarre avec la nouvelle image du micrologiciel. • Configuration automatique : téléchargement automatique d'un fichier de configuration depuis un serveur TFTP/SCP distant. À l'issue du processus de configuration/mise à jour automatique de l'image, le périphérique redémarre avec le nouveau fichier de configuration. REMARQUE Si à la fois la mise à jour automatique de l'image et la configuration automatique sont demandées, la mise à jour automatique de l'image est effectuée en premier. Après le redémarrage du périphérique, la configuration automatique a lieu à son tour, laquelle est également suivie d'un redémarrage final. Pour utiliser cette fonctionnalité, configurez un serveur DHCP dans le réseau en fonction de l'emplacement et du nom du fichier de configuration et de l'image du micrologiciel de vos périphériques. Les périphériques du réseau sont configurés en tant que clients DHCP par défaut. Lorsqu'une adresse IP a été attribuée par le serveur DHCP aux périphériques, ces derniers reçoivent également des informations sur le fichier de configuration et l'image du micrologiciel. Si le fichier de configuration et/ou l'image du micrologiciel diffèrent de ceux utilisés actuellement sur le périphérique, ce dernier redémarre après avoir téléchargé le fichier et/ ou l'image. La présente section décrit ces processus. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 56 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 Outre la possibilité de garder les périphériques du réseau à jour avec les derniers fichiers de configuration et image du micrologiciel disponibles, la fonctionnalité de configuration/mise à jour automatique permet une installation rapide des nouveaux périphériques sur le réseau. En effet, tout nouveau périphérique prêt à l'emploi est configuré de manière à extraire son fichier de configuration et l'image du logiciel depuis le réseau, sans intervention manuelle de l'administrateur système. Lorsqu'il demande une adresse IP auprès du serveur DHCP pour la première fois, le périphérique télécharge le fichier de configuration et/ou l'image du micrologiciel spécifiés par le serveur DHCP et redémarre automatiquement. Le processus de configuration automatique prend en charge le téléchargement de fichiers de configuration contenant des informations sensibles telles que des clés de serveur RADIUS et clés SSH/SSL, via l'utilisation du protocole de sécurité SCP (Secured Copy Protocol) et de la fonctionnalité de sécurisation SSD (Secure Sensitive Data). Pour en savoir plus à ce sujet, reportez-vous aux sections Authentification du client SSH et Sécurité : Gestion sécurisée des données confidentielles. Protocoles de téléchargement (TFTP ou SCP) Les fichiers de configuration et les images du micrologiciel peuvent être téléchargés depuis un serveur TFTP ou SCP. L'utilisateur configure le protocole à utiliser, comme suit : • Automatique par extension de fichier (option par défaut) : lorsque vous sélectionnez cette option, l'extension de fichier définie par l'utilisateur indique que les fichiers présentant cette extension doivent être téléchargés à l'aide du protocole SCP (sur SSH) tandis que les fichiers pourvus d'une extension autre doivent être téléchargés à l'aide du protocole TFTP. Par exemple, si vous avez défini l'extension .xyz, les fichiers portant cette extension sont téléchargés via SCP, tandis que les fichiers aux extensions différentes sont téléchargés via TFTP. L'extension par défaut est .scp. • TFTP uniquement : le téléchargement est effectué via TFTP quelle que soit l'extension de fichier du nom du fichier de configuration. • SCP uniquement : le téléchargement est effectué via SCP (sur SSH) quelle que soit l'extension de fichier du nom du fichier de configuration. Authentification du client SSH SCP est basé sur le protocole SSH. Par défaut, l'authentification du serveur SSH distant est désactivée ; l'appareil accepte donc n'importe quel serveur SSH distant prêt à l'emploi. Vous pouvez activer l'authentification du serveur SSH distant pour que seuls les serveurs répertoriés dans la liste des serveurs sécurisés puissent être utilisés. Les paramètres d'authentification du client SSH sont obligatoires pour que le client (autrement dit l'appareil) puisse accéder au serveur SSH. Voici les paramètres par défaut d'authentification du client SSH : • Méthode d'authentification SSH : par nom d'utilisateur/mot de passe • Nom d'utilisateur SSH : anonyme Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 57 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP • 5 Mot de passe SSH : anonyme REMARQUE Notez que les paramètres d'authentification du client SSH peuvent également être utilisés lors du téléchargement manuel d'un fichier (c.-à-d., téléchargement effectué sans exploiter la fonctionnalité de configuration/mise à jour automatique de l'image DHCP). Processus de configuration/Mise à jour automatique de l'image La configuration automatique DHCP utilise le nom/l'adresse du serveur de configuration et le nom/chemin du fichier de configuration, le cas échéant, dans les messages DHCP reçus. Par ailleurs, la fonctionnalité de mise à jour de l'image DHCP utilise le nom de fichier indirect du micrologiciel, le cas échéant, dans les messages. Ces informations sont spécifiées sous forme d'options DHCP dans le message d'offre provenant des serveurs DHCPv4 et dans les messages de réponse informative provenant des serveurs DHCPv6. Si ces informations sont introuvables dans les messages des serveurs DHCP, ce sont les informations de secours qui ont été configurées sur la page DHCP de configuration/mise à jour automatique de l'image qui sont utilisées. Lorsque le processus de configuration/mise à jour automatique de l'image est déclenché (reportez-vous à la section Déclenchement de la configuration/mise à jour automatique de l'image), la séquence d'événements décrite ci-dessous se produit. Démarrage de la mise à jour automatique de l'image : • Le commutateur utilise le nom de fichier indirect de l'option 125 (DHCPv4) et de l'option 60 (DHCPv6), le cas échéant, dans le message DHCP reçu. • Si le serveur DHCP n'a pas envoyé le nom du fichier indirect du fichier image du micrologiciel, c'est le nom du fichier image indirect de sauvegarde (indiqué sur la page de configuration/mise à jour automatique de l'image DHCP) qui est utilisé. • Le commutateur télécharge le fichier image indirect, puis en extrait le nom du fichier image du serveur TFTP/SCP. • Le commutateur compare la version du fichier image du serveur TFTP à la version de l'image active du commutateur. • Si les deux versions sont différentes, la nouvelle version est chargée dans l'image non active, un redémarrage a lieu et l'image non active devient l'image active. • Lors de l'utilisation du protocole SCP, un message SYSLOG est généré pour indiquer qu'un redémarrage va avoir lieu. • Lors de l'utilisation du protocole SCP, un message SYSLOG est généré pour confirmer que le processus de mise à jour automatique a eu lieu. • Lors de l'utilisation du protocole TFTP, des messages SYSLOG sont générés par le processus de copie. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 58 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 Démarrage de la configuration automatique : • Le périphérique utilise le nom/l'adresse du serveur TFTP/SCP ainsi que le nom/chemin du fichier de configuration (options DHCPv4 : 66, 150 et 67, options DHCPv6 : 59 et 60), le cas échéant, dans le message DHCP reçu. • Si ces informations ne sont pas envoyées par le serveur DHCP, c'est le nom/l'adresse IP du serveur de secours et le nom du fichier de configuration de secours (de la page de configuration/mise à jour automatique de l'image DHCP) qui sont utilisés. • Le nouveau fichier de configuration est utilisé si son nom est différent de celui du fichier de configuration précédemment utilisé sur le périphérique ou si ce dernier n'a jamais été configuré. • Le périphérique redémarre avec le nouveau fichier de configuration à l'issue du processus de configuration/mise à jour automatique de l'image. • Des messages SYSLOG sont générés par le processus de copie. Options manquantes • Si le serveur DHCP n'a pas envoyé l'adresse du serveur TFTP/SCP dans une option DHCP et que le paramètre d'adresse du serveur TFTP/SCP de secours n'a pas été configuré, voici ce qui se passe : - SCP : le processus de configuration automatique est interrompu. - TFTP : l'appareil envoie des messages de requête TFTP à une adresse de diffusion limitée (pour IPv4) ou à l'adresse de TOUS LES NŒUDS (pour IPv6) présents sur ses interfaces IP et se sert ensuite du premier serveur dont il parvient à obtenir une réponse pour poursuivre le processus de configuration/mise à jour automatique de l'image. Sélection du protocole de téléchargement • Le protocole de copie (SCP/TFTP) est sélectionné, comme décrit à la section Protocoles de téléchargement (TFTP ou SCP). SCP • Dans le cas d'un téléchargement via SCP, l'appareil accepte n'importe quel serveur SCP/SSH spécifié (sans authentification), si l'un des cas suivants se présente : - L'authentification du serveur SSH est désactivée. Par défaut, l'authentification du serveur SSH est désactivée pour permettre le téléchargement d'un fichier de configuration pour les périphériques disposant d'une configuration d'origine (par exemple, des appareils prêts à l'emploi). - Le serveur SSH est configuré dans la liste des serveurs SSH sécurisés. Si le processus d'authentification du serveur SSH est activé et si le serveur SSH ne figure pas dans la liste des serveurs SSH sécurisés, le processus de configuration automatique est interrompu. • Si cette information est en revanche disponible, le téléchargement du fichier de configuration ou de l'image s'effectue à partir du serveur SCP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 59 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 Déclenchement de la configuration/mise à jour automatique de l'image La configuration/mise à jour automatique de l'image via DHCPv4 se déclenche lorsque les conditions suivantes sont remplies : • L'adresse IP du périphérique est affectée/renouvelée de manière dynamique au redémarrage, renouvelée de manière explicite par une opération administrative ou renouvelée automatiquement en raison de l'expiration d'un bail. Le renouvellement explicité peut être activé dans la page de l'interface IPv4. • Si la mise à jour automatique de l'image est activée, le processus correspondant est déclenché lorsqu'un nom de fichier image indirect est reçu d'un serveur DHCP ou qu'un nom de fichier image indirect de sauvegarde a été configuré. Le terme "indirect" signifie qu'il ne s'agit pas de l'image proprement dite, mais d'un fichier qui contient le nom du chemin d'accès à l'image. • Si la configuration automatique est activée, le processus correspondant est déclenché lorsque le nom du fichier de configuration est reçu d'un serveur DHCP ou qu'un nom de fichier de fichier de configuration de secours a été configuré. La configuration/mise à jour automatique de l'image via DHCPv6 se déclenche lorsque les conditions suivantes sont remplies : • Lorsqu'un serveur DHCPv6 envoie des informations à l'appareil. Cet envoi se produit dans les cas suivants : - Lorsqu'une interface compatible IPv6 est définie comme client de configuration DHCPv6 sans état. - Lorsque des messages DHCPv6 sont reçus du serveur (p. ex., lorsque vous appuyez sur le bouton de redémarrage d'une page d'interfaces IPv6. - Lorsque des informations DHCPv6 sont actualisées par l'appareil. - Lorsque le client DHCPv6 sans état est activé après redémarrage de l'appareil. • Lorsque les paquets du serveur DHCPv6 contiennent l'option de nom de fichier de configuration. • Le processus de mise à jour automatique de l'image est déclenché lorsqu'un nom de fichier image indirect est fourni par le serveur DHCP ou qu'un nom de fichier image indirect de sauvegarde a été configuré. Le terme "indirect" signifie qu'il ne s'agit pas de l'image proprement dite, mais d'un fichier qui contient le nom du chemin d'accès à l'image. Configuration/mise à jour automatique de l'image dans une pile L'unité principale d'une pile est responsable de la configuration/mise à jour automatique de l'image de la pile entière. Pour la configuration automatique, le nouveau fichier de configuration est téléchargé vers l'unité principale. Pour la mise à jour automatique de l'image, la nouvelle image est enregistrée dans l'image non active de l'unité principale. Une fois que la pile a redémarré, la nouvelle image est copiée dans les unités de la pile. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 60 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 Contrôle des performances Pour vous assurer que la fonctionnalité de configuration/mise à jour automatique de l'image fonctionne correctement, notez les points suivants : • Un fichier de configuration placé sur le serveur TFTP/SCP doit correspondre aux exigences en termes de forme et de format du fichier de configuration pris en charge. La forme et le format du fichier sont vérifiés mais la validité des paramètres de configuration n'est pas contrôlée avant son chargement dans la Configuration de démarrage. • Dans IPv4, pour s'assurer qu'un périphérique télécharge les fichiers images et de configuration comme prévu lors du processus de configuration/mise à jour automatique de l'image, il est recommandé de toujours attribuer la même adresse IP au périphérique. Ainsi, le périphérique dispose toujours de la même adresse IP et obtient les mêmes informations que celles utilisées dans le processus de configuration/mise à jour automatique de l'image. Configuration/mise à jour automatique de l'image DHCP Les pages d'interface utilisateur graphique suivantes permettent de configurer le périphérique : • Administration > Gestion de fichiers > DHCP Auto Configuration/Image Update (Configuration automatique DHCP/Mise à jour automatique de l'image DHCP) : pour configurer le périphérique en tant que client DHCP. • Administration > Interface de gestion > Interface IPv4 (dans L2) ou Configuration IP > Interfaces et gestion IPv4 > Interfaces IPv4 (dans L3) : pour renouveler l'adresse IP via DHCP lors le périphérique fonctionne en mode système Couche 2. Configuration et paramètres par défaut Les valeurs par défaut suivantes existent sur le système : • La configuration automatique est activée. • La mise à jour automatique de l'image est activée. • Le périphérique est activé en tant que client DHCP. • L'authentification du serveur SSH distant est désactivée. Avant de lancer le processus de configuration/mise à jour automatique de l'image Pour utiliser cette fonctionnalité, le périphérique doit être configuré comme client DHCPv4 ou DHCPv6. Le type de client DHCP défini sur le périphérique doit être en adéquation avec le type d'interfaces défini sur le périphérique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 61 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 Préparatifs en vue de la configuration automatique sur le serveur Pour préparer les serveurs DHCP et TFTP/SCP, procédez comme suit : Serveur TFTP/SCP • Placez un fichier de configuration dans le répertoire de travail. Ce fichier peut être créé en copiant un fichier de configuration depuis un périphérique. Au démarrage du périphérique, ce fichier devient le fichier Configuration d'exécution. Serveur DHCP Configurez le serveur DHCP avec les options suivantes : • • DHCPv4 : - 66 (adresse de serveur unique) ou 150 (liste d'adresses de serveur) - 67 (nom du fichier de configuration) DHCPv6 - Option 59 (adresse du serveur) - Options 60 (nom du fichier de configuration, ainsi que le nom du fichier image indirect, séparés par une virgule) Préparatifs en vue de la mise à jour automatique de l'image Pour préparer les serveurs DHCP et TFTP/SCP, procédez comme suit : Serveur TFTP/SCP 1. Créez un sous-répertoire dans le répertoire principal. Placez un fichier image du logiciel dans ce sousrépertoire. 2. Créez un fichier indirect contenant un chemin d'accès, ainsi que le nom de la version du micrologiciel (indirect-cisco.txt, par exemple, qui contient cisco\cisco-version.ros). 3. Copiez ce fichier indirect dans le répertoire principal du serveur TFTP/SCP Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 62 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 Serveur DHCP Configurez le serveur DHCP avec les options suivantes • DHCPv4 : option 125 (nom de fichier indirect) • DHCPv6 : options 60 (nom du fichier de configuration, ainsi que le nom du fichier image indirect, séparés par une virgule) Workflow du client DHCP ÉTAPE 1 Configurez les paramètres de configuration automatique et/ou de mise à jour automatique de l'image sur la page Administration > Gestion de fichiers > DHCP Auto Configuration/Image Update (Configuration automatique DHCP/Mise à jour automatique de l'image DHCP). ÉTAPE 2 Définissez le type d'adresse IP sur Dynamique sur les pages Définition d'une interface IPv4 en mode système Couche 2 ou Définition d'une interface IPv4 en mode système Couche 3, et/ou définissez le périphérique en tant que client DHCPv6 sans état sur la page Interface IPv6. Configuration Web Pour configurer la fonctionnalité de configuration automatique et/ou de mise à jour automatique : ÉTAPE 1 Cliquez sur Administration > Gestion de fichiers > DHCP Auto Configuration/ Image Update (Configuration automatique DHCP/Mise à jour automatique de l'image DHCP). ÉTAPE 2 Saisissez les valeurs appropriées. • Configuration automatique via DHCP : sélectionnez cette option pour activer la configuration automatique DHCP. Cette fonctionnalité est activée par défaut, mais peut être désactivée ici. • Protocole de téléchargement : sélectionnez une des options suivantes : - Automatique par extension de fichier : sélectionnez cette option pour indiquer que la configuration automatique utilise le protocole TFTP ou SCP en fonction de l'extension du fichier de configuration. Si cette option est sélectionnée, l'extension du fichier de configuration n'a pas besoin d'être spécifiée. Si vous ne spécifiez rien, l'extension par défaut est utilisée (comme indiqué ci-dessous). - Extension de fichier pour SCP : si l'option Automatique par extension de fichier est sélectionnée, vous pouvez indiquer une extension de fichier ici. Tout fichier portant cette extension est téléchargé via SCP. Si aucune extension n'est saisie, l'extension par défaut .scp est utilisée. - TFTP uniquement : choisissez cette option pour indiquer que seul le protocole TFTP doit être utilisé pour la configuration automatique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 63 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP - 5 SCP uniquement : choisissez cette option pour indiquer que seul le protocole SCP doit être utilisé pour la configuration automatique. • Image Auto Update Via DHCP (Mise à jour automatique de l'image via DHCP) : sélectionnez ce champ pour activer la mise à jour de l'image du micrologiciel depuis le serveur DHCP. Cette fonctionnalité est activée par défaut, mais peut être désactivée ici. • Protocole de téléchargement : sélectionnez une des options suivantes : - Automatique par extension de fichier : sélectionnez cette option pour indiquer que la mise à jour automatique utilise le protocole TFTP ou SCP en fonction de l'extension du fichier image. Si cette option est sélectionnée, l'extension du fichier du fichier image n'a pas besoin d'être spécifiée. Si vous ne spécifiez rien, l'extension par défaut est utilisée (comme indiqué ci-dessous). - Extension de fichier pour SCP : si l'option Automatique par extension de fichier est sélectionnée, vous pouvez indiquer une extension de fichier ici. Tout fichier portant cette extension est téléchargé via SCP. Si aucune extension n'est saisie, l'extension par défaut .scp est utilisée. - TFTP uniquement : choisissez cette option pour indiquer que seul le protocole TFTP doit être utilisé pour la mise à jour automatique. - SCP uniquement : choisissez cette option pour indiquer que seul le protocole SCP doit être utilisé pour la mise à jour automatique. • Paramètres SSH pour SCP : lorsque vous utilisez le protocole SCP pour télécharger les fichiers de configuration, sélectionnez l'une des options suivantes : • Authentification du serveur SSH distant : cliquez sur le lien Activer/désactiver pour accéder à la page Authentification du serveur SSH. Vous pouvez y activer l'authentification du serveur SSH à utiliser pour le téléchargement et saisir le serveur SSH sécurisé si nécessaire. • Authentification du client SSH : cliquez sur le lien Informations d'identification système pour saisir les informations d'identification utilisateur sur la page Authentification des utilisateurs SSH. • Définition du serveur de secours : indiquez si le serveur de secours sera configuré Par adresse IP ou Par nom. • Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : • - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée) Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 64 Administration : Gestion de fichiers Configuration/Mise à jour automatique de l'image via DHCP 5 ÉTAPE 3 Entrez les informations facultatives suivantes qui seront utilisées si le serveur DHCP ne fournit pas les informations requises. • Nom/Adresse IP du serveur de secours : saisissez l'adresse IP ou le nom du serveur de secours. • Nom du fichier de configuration de secours : entrez le nom du fichier de configuration de secours. • Backup Indirect Image File Name (Nom du fichier image indirect de sauvegarde) : entrez le nom du fichier image indirect à utiliser. Il s'agit d'un fichier qui contient le chemin d'accès à l'image. Exemple de nom de fichier image indirect : indirect-cisco.scp. Ce fichier contient le chemin d'accès et le nom de l'image du micrologiciel. Les champs suivants s'affichent : • Last Auto Configuration/Image Server IP Address (Adresse IP du dernier serveur pour configuration automatique/mise à jour automatique de l'image) : adresse du dernier serveur de secours. • Dernier nom du fichier de configuration automatique : dernier nom du fichier de configuration. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont copiés dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 65 6 Administration : Gestion des piles Cette section décrit la façon dont les piles sont gérées. Elle couvre les rubriques suivantes : • Présentation • Types d'unités dans une pile • Topologie de la pile • Affectation d'ID d'unité • Processus de sélection de l'unité principale • Modification apportée à la pile • Échec d'unité dans la pile • Synchronisation automatique du logiciel dans la pile • Mode de l'unité de pile • Ports de pile • Configuration par défaut • Interactions avec les autres fonctions • Modes système Présentation Les périphériques peuvent fonctionner de manière autonome ou être connectés à une pile de huit périphériques au maximum opérant dans divers modes de pile (voir Mode de l'unité de pile). Les périphériques (ou unités) d'une même pile sont connectées via des ports de pile. Ces périphériques sont alors gérés collectivement en tant qu'appareil logique unique. Dans certains cas, les ports de pile peuvent devenir membres d'un LAG (Link Aggregation Group, groupe d'agrégation de liaisons), ce qui augmente la bande passante du port de pile. Reportez-vous à la section Agrégation de liaisons de ports de pile. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 66 Administration : Gestion des piles Présentation 6 La pile est basée sur le modèle suivant : une unité principale/de secours et plusieurs unités asservies. L'exemple ci-dessous illustre une pile de huit périphériques connectés : Architecture de pile (topologie en chaîne) Une pile offre les avantages suivants : • La capacité du réseau peut être dynamiquement augmentée ou diminuée. En ajoutant une unité, l'administrateur peut dynamiquement augmenter le nombre de ports de la pile tout en conservant un seul point de gestion. De même, il est possible de supprimer des unités pour réduire la capacité du réseau. • Le système empilé prend en charge la redondance comme suit : - L'unité de secours devient l'unité principale de la pile si l'unité principale d'origine rencontre un problème. - Le système de pile prend en charge deux types de topologie : topologie en chaîne (voir "Architecture de pile (topologie en chaîne)" et topologie en anneau (voir "Pile dans une topologie en anneau"). Dans une topologie en anneau, si l'un des ports de pile échoue, la pile continue à fonctionner sous la forme d'une topologie de pile (voir Topologie de la pile). - Un processus appelé Basculement rapide de la liaison de pile (Fast Stack Link Failover) est pris en charge sur les ports d'une pile en chaîne, afin de réduire la durée de la perte des paquets de données lorsque l'un des ports de pile échoue. Jusqu'à ce que la pile soit rétablie dans la nouvelle topologie en chaîne, le port de pile qui ne fonctionne actuellement pas retourne en boucle les paquets qui devaient transiter par celui-ci, de manière à ce que les paquets arrivent à leur destination via les liaisons de pile restantes. Lors du Basculement rapide de la liaison de pile, les unités principale/de secours restent actives et en état de fonctionnement. REMARQUE La fonction Fast Stack Link Failover (Basculement rapide de la liaison de pile) est seulement active pour une ou deux piles d'unités. Reportez-vous à la section Agrégation de liaisons de ports de pile. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 67 Administration : Gestion des piles Types d'unités dans une pile 6 Types d'unités dans une pile Une pile comporte huit unités maximum. Une unité de pile peut avoir l'un des types suivants : • Principale : l'ID de l'unité principale doit être 1 ou 2. La pile est gérée par l'intermédiaire de l'unité principale qui, elle-même, gère l'unité de secours et les unités asservies. • Secours : en cas d'échec de l'unité principale, c'est l'unité de secours qui endosse le rôle de l'unité principale (basculement). L'ID de l'unité de secours doit être 1 ou 2. • Asservies : ces unités sont gérées par l'unité principale. Pour qu'un groupe d'unités puisse fonctionner en tant que pile, une unité doit avoir été définie comme unité principale. Lorsque l'unité définie comme unité principale échoue, la pile continue de fonctionner tant qu'il y a une unité de secours (l'unité active qui prend le rôle principal). Si en plus de l'unité principale, l'unité de secours échoue également, les seules unités qui restent opérationnelles sont les unités asservies qui cessent à leur tour de fonctionner au bout d'une minute. Cela signifie en d'autres termes que si, au bout d'une minute, vous décidez de raccorder un câble à l'une des unités asservies s'exécutant en l'absence d'unité principale, aucune liaison ne sera établie. Compatibilité descendante du nombre d'unités dans une pile Si les versions antérieures prenaient uniquement en charge quatre unités, la version actuelle, elle, en prend huit. Une mise à niveau, à partir d'anciennes versions du logiciel peut être effectuée sans modification des fichiers de configuration. En cas de chargement d'une version de micrologiciel non compatible avec les modes Pile hybride dans la pile et que cette dernière est redémarrée, celle-ci repasse en mode Pile native. En cas de chargement d'un périphérique en mode pile Hybride avec une version de micrologiciel non compatible avec ce mode, le mode système par défaut de ce périphérique est automatiquement rétabli (SG500X/EWS2-550X : L3 et L2, Sx500 : L2). Si les ID d'unité d'une pile ont été configurés manuellement, la numérotation automatique est appliquée aux ID d'unité dont la valeur est supérieure à quatre. LED d'unité Les périphériques sont pourvus de quatre LED, numérotées de 1 à 4, lesquelles sont utilisées pour indiquer l'ID de chaque unité (par ex., sur l'unité portant l'ID 1, la LED 1 est allumée et les trois autres LED sont éteintes). Pour prendre en charge les ID d'unité dont la valeur dépasse 4, l'allumage des LED a la signification suivante : • ID d'unité allant de 1 à 4 : La LED 1 est allumée pour identifier l'unité 1, la LED 2, pour identifier l'unité 2, etc., jusqu'à 4. • ID d'unité 5 : La LED 1 et la LED 4 sont allumées pour identifier l'unité 5. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 68 Administration : Gestion des piles Topologie de la pile • ID d'unité 6 : La LED 2 et la LED 4 sont allumées pour identifier l'unité 6. • ID d'unité 7 : La LED 3 et la LED 4 sont allumées pour identifier l'unité 7. • ID d'unité 8 : La LED 1, la LED 3 et la LED 4 sont allumées pour identifier l'unité 8. 6 Topologie de la pile Types de topologie de pile Les unités d'une pile peuvent être connectées dans l'un des types de topologie suivants : • Chaîne : chaque unité est connectée à l'unité voisine, mais il n'existe aucune connexion par câble entre la première et la dernière unité. L'illustration "Architecture de pile (topologie en chaîne)" présente une topologie de type Chaîne. • Anneau : chaque unité est connectée à l'unité voisine. La dernière unité est connectée à la première unité. L'exemple suivant illustre la topologie en anneau de huit unités : Pile dans une topologie en anneau Une topologie en anneau est plus fiable qu'une topologie en chaîne. L'échec d'une liaison dans un anneau n'affecte pas le fonctionnement de la pile, alors que l'échec d'une liaison dans une connexion en chaîne peut entraîner la division de la pile. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 69 Administration : Gestion des piles Affectation d'ID d'unité 6 Détection de la topologie Une pile est établie par un processus appelé la détection de la topologie. Ce processus est déclenché par une modification de l'état actif/inactif d'un port de pile. Les exemples suivants illustrent des situations dans lesquelles une telle modification peut intervenir : • Changement de la topologie de la pile d'une formation en anneau à une formation en chaîne • Fusion de deux piles en une seule pile • Division de la pile • Insertion d'autres unités asservies dans la pile (par exemple, parce que les unités ont été précédemment déconnectées de la pile à cause d'une défaillance). Cela peut se produire dans une topologie en chaîne si une unité située au milieu de la pile rencontre un problème. Lors de la détection de la topologie, chaque unité d'une pile échange des paquets qui contiennent des informations de topologie. Au terme du processus de détection de la topologie, chaque unité contient les informations de mappage de pile de toutes les unités présentes dans la pile. Affectation d'ID d'unité Lorsque la détection de la topologie est terminée, chaque unité présente dans une pile se voit affecter un ID d'unité unique. Pour définir l'ID d'unité sur la page Mode du système et gestion des piles, vous pouvez recourir à l'une ou l'autre des méthodes ci-dessous : • Automatiquement (Auto) : l'ID d'unité est affecté par le processus de détection de la topologie. Il s’agit du paramètre par défaut. • Manuellement : l'ID d'unité est défini manuellement par un entier compris entre 1 et 8. ID d'unité en double Si vous affectez le même ID d'unité à deux unités distinctes, seule une d'entre elles peut intégrer la pile avec cet ID d'unité. Si la numérotation automatique a été sélectionnée, l'unité dupliquée se voit affecter un nouveau numéro d'unité. Si la numérotation automatique n'a pas été sélectionnée, l'unité dupliquée est fermée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 70 Administration : Gestion des piles Affectation d'ID d'unité 6 Dans le cas de figure suivant, le même ID a été attribué manuellement à deux unités distinctes. L'unité 1 ne parvient pas à rejoindre la pile et est fermée. Elle ne gagne pas le processus de sélection d'unité principale entre les unités définies comme unités principales (1 ou 2). Unité dupliquée fermée L'illustration suivante présente un exemple dans lequel une des unités dupliquées (numérotées automatiquement) est renumérotée. Unité dupliquée renumérotée Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 71 Administration : Gestion des piles Processus de sélection de l'unité principale 6 L'illustration suivante présente un exemple dans lequel une des unités dupliquées est renumérotée. Celle qui a l'adresse MAC la plus basse conserve son ID d'unité (reportez-vous à Processus de sélection de l'unité principale pour obtenir une description de ce processus). Duplication entre deux unités avec ID d'unité numéroté automatiquement REMARQUE Si une nouvelle pile comporte plus d'unités que le nombre d'unités maximal (8), toutes les unités supplémentaires sont fermées. Processus de sélection de l'unité principale L'unité principale est sélectionnée parmi les unités définies comme unités principales (1 ou 2). Les facteurs de sélection de l'unité principale sont pris en compte selon la priorité suivante : • Forcer en unité principale : si l'option Forcer en unité principale est activée sur une unité, c'est cette unité qui est sélectionnée comme unité principale. • Disponibilité du système : les unités définies comme unités principales échangent la disponibilité, mesurée par segments de 10 minutes. L'unité qui comporte le plus de segments est alors sélectionnée comme unité principale. Si ces deux unités présentent un nombre identique de segments, c'est l'unité dont l'ID a été défini manuellement qui est sélectionnée comme unité principale, si l'ID de l'autre unité a été définie automatiquement. Dans tous les autres cas, c'est l'unité dont l'ID a la valeur la plus basse qui est sélectionnée. Si l'ID des deux unités est identique, c'est l'unité présentant l'adresse MAC la moins élevée qui est sélectionnée. Remarque : la disponibilité de l'unité de secours est conservée lorsqu'elle est sélectionnée comme unité principale lors du processus de basculement de commutateur. • ID d'unité : si les deux unités ont le même nombre de segments horaires, l'unité ayant l'ID d'unité le plus bas est sélectionnée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 72 Administration : Gestion des piles Modification apportée à la pile • 6 Adresse MAC : si l'ID des deux unités est identique, l'unité ayant l'adresse MAC la plus basse est sélectionnée. REMARQUE Pour qu'une pile fonctionne, elle doit comporter une unité principale. Une unité principale peut être définie comme l'unité active qui prend le rôle principal. La pile doit contenir une unité1 et/ou une unité 2 après le processus de sélection de l'unité principale. Sinon, la pile et toutes ses unités sont partiellement fermées, à savoir qu'elles ne sont pas complètement éteintes mais que leurs fonctionnalités de transmission du trafic sont interrompues. Modification apportée à la pile Cette section décrit les différents événements qui peuvent entraîner une modification de la pile. La topologie de la pile change dans l'un des cas suivants : • Une ou plusieurs unités se connectent à la pile ou se déconnectent de celle-ci. • Chaque port de la pile a une liaison active ou inactive. • La pile change entre une formation en anneau et une formation en chaîne. Lorsque des unités sont ajoutées à une pile ou supprimées de cette pile, elle déclenche des modifications topologiques, un processus de sélection de l'unité principale et/ou l'affectation d'ID d'unité. Connexion d'une nouvelle unité Lorsqu'une nouvelle unité est insérée dans la pile, une modification de la topologie de la pile est déclenchée. L'ID d'unité est affecté (en cas de numérotation automatique) et l'unité est configurée par l'unité principale. L'un des cas suivants peut se produire lors de la connexion d'une nouvelle unité à une pile existante : • Aucun ID d'unité n'est dupliqué. - Les unités dont les ID sont définis par l'utilisateur conservent leur ID d'unité. - Les unités dont les ID sont attribués automatiquement conservent leur ID d'unité. - Les unités définies en usine reçoivent automatiquement des ID d'unité, en commençant par l'ID le plus bas disponible. • Il existe un ou plusieurs ID d'unité dupliqués. La numérotation automatique résout les conflits et affecte des ID d'unité. En cas de numérotation manuelle, seule une unité conserve son ID d'unité et les autres sont fermées. • Le nombre d'unités dans la pile dépasse le nombre maximal d'unités autorisé. Les nouvelles unités qui viennent de rejoindre la pile sont fermées et un message SYSLOG s'affiche sur l'unité principale. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 73 Administration : Gestion des piles Modification apportée à la pile 6 L'illustration suivante présente un exemple de numérotation automatique lorsqu'une unité définie comme unité principale intègre la pile. Deux unités ont pour ID le numéro 1. Le processus de sélection de l'unité principale sélectionne parmi ces deux unités celle qu'il estime être la meilleure pour endosser le rôle de l'unité principale. La meilleure unité est objectivement celle présentant le plus de disponibilités, en d'autres termes le plus grande nombre de segments horaires de 10 minutes. L'autre unité devient alors l'unité de secours. Unité définie comme unité principale et numérotée automatiquement L'illustration suivante présente un exemple de numérotation automatique lorsqu'une nouvelle unité intègre la pile. Les unités existantes conservent leur ID. La nouvelle unité reçoit l'ID le plus bas disponible. Unité numérotée automatiquement Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 74 Administration : Gestion des piles Échec d'unité dans la pile 6 L'illustration suivante indique ce qui se passe lorsqu'une unité définie comme unité principale, affectée par l'utilisateur et portant l'ID d'unité1 intègre une pile qui comporte déjà une unité principale dont l'ID d'unité1 a été affecté par l'utilisateur. La nouvelle unité1 n'intègre pas la pile et cette unité est fermée. Unité définie comme unité principale et affectée par l'utilisateur Échec d'unité dans la pile Échec de l'unité principale Si l'unité principale échoue, l'unité de secours prend le rôle principal et poursuit l'exécution normale de la pile. Pour que l'unité de secours puisse prendre le relais de l'unité principale, les deux unités restent en permanence à l'état de réserve actif. En état de réserve actif, l'unité principale et son unité de secours sont synchronisées avec la configuration statique (contenue dans les fichiers de Configuration de démarrage et de Configuration d'exécution). Les fichiers de Configuration de secours ne sont pas synchronisés. Le fichier de configuration de sauvegarde reste sur l'unité principale précédente. Les informations d'état de processus dynamiques, telles que la table des états STP, les adresses MAC apprises dynamiquement, les types de port intelligent appris dynamiquement, les tables de multidiffusion MAC, LACP et GVRP ne sont pas synchronisées. Lorsqu'une unité principale est configurée, elle synchronise immédiatement l'unité de secours. La synchronisation s'effectue dès l'exécution de la commande. Elle est transparente. Si une unité est insérée dans une pile en cours d'exécution et qu'elle est sélectionnée en tant qu'unité de secours, l'unité principale procède à sa synchronisation pour qu'elle dispose d'une configuration à jour, puis génère un message SYSLOG pour signaler la fin du processus de synchronisation. Ce message SYSLOG est unique en son genre et s'affiche uniquement en cas de convergence entre l'unité de secours et l'unité principale. Il se présente comme suit : %DSYNCH-I-SYNCH_SUCCEEDED: la synchronisation avec l'unité 2 est présent terminée et s'est déroulée sans incident. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 75 Administration : Gestion des piles Échec d'unité dans la pile 6 Basculement unité principale/unité de secours Lorsqu'une unité principale rencontre une défaillance ou que vous définissez l'option Forcer en unité principale sur l'unité de secours, un basculement se produit. L'unité de secours devient l'unité principale et toutes ses piles de processus et de protocoles sont initialisées pour prendre la responsabilité de l'ensemble de la pile. Ainsi, il n'y a temporairement aucun transfert de trafic dans cette unité, mais les unités asservies restent actives. REMARQUE Lorsque le protocole STP est utilisé et que la liaison des ports est active, le port STP se trouve de manière temporaire à l'état Blocage et il ne peut donc pas transférer le trafic ou apprendre les adresses MAC. Ceci a pour but d'éviter des boucles Spanning Tree entre les unités actives. Gestion des unités de secours Alors que l'unité de secours devient l'unité principale, les unités asservies actives restent actives et continuent à transférer les paquets sur la base de la configuration de l'unité principale d'origine. Cela permet de réduire au maximum l'interruption du trafic de données dans les unités. Une fois que l'unité de secours a terminé sa transition vers l'état d'unité principale, elle initialise tour à tour chacune des unités asservies en procédant comme suit : • Supprime et rétablit les valeurs par défaut de la configuration de l'unité asservie (pour empêcher toute configuration incorrecte à partir de la nouvelle unité principale). Ainsi, il n'y a aucun transfert de trafic sur l'unité asservie. • Appliquer les configurations utilisateur à l'unité asservie. • Échanger les informations dynamiques comme l'état STP de port, les adresses MAC dynamiques et la liaison active/inactive entre l'unité principale et l'unité asservie. Le transfert de paquets sur l'unité asservie reprend lorsque ses ports sont définis par l'unité principale sur l'état de transfert en fonction du STP. REMARQUE L'inondation de paquets vers les adresses MAC de monodiffusion inconnues se produit tant que les adresses MAC ne sont pas apprises ou réapprises. Reconnexion de l'unité principale d'origine après le basculement Après le basculement, si l'unité d'origine est de nouveau connectée, le processus de sélection de l'unité principale est mis en œuvre. Si l'unité principale d'origine (unité1) est resélectionnée pour être l'unité principale, alors l'unité principale actuelle (unité 2, qui était l'unité de secours d'origine) est redémarrée et redevient l'unité de secours. REMARQUE Lors du basculement unité principale/unité de secours, l'unité de secours reste disponible. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 76 Administration : Gestion des piles Synchronisation automatique du logiciel dans la pile 6 Synchronisation automatique du logiciel dans la pile Toutes les unités de la pile doivent exécuter la même version du logiciel (micrologiciel et code de démarrage). Chaque unité d'une pile télécharge automatiquement le micrologiciel et le code de démarrage à partir de l'unité principale si le micrologiciel et/ou le code de démarrage exécutés par l'unité et l'unité principale sont différents. L'unité redémarre automatiquement pour exécuter la nouvelle version. Mode de l'unité de pile Le mode de l'unité de pile d'un périphérique indique si ce dernier est configuré de manière à faire partie d'une pile ou s'il fonctionne de manière autonome. Les périphériques peuvent fonctionner dans l'un des modes de l'unité de pile suivants : • Autonome : un périphérique fonctionnant dans le mode d'unité de pile Autonome n'est connecté à aucun autre périphérique et il ne dispose d'aucun port de pile désigné. • Pile native : un périphérique fonctionnant en mode Pile native de l'unité de pile peut être connecté à d'autres périphériques du même type grâce à ses ports de pile afin de former une pile. Toutes les unités d'une pile native doivent être du même type (toutes de type Sx500, toutes de type SG500Xs/ ESW2-550X ou toutes de type SG500XG). • Pile hybride de base : un périphérique fonctionnant en mode Pile hybride de base de l'unité de pile peut être connecté à des périphériques Sx500 et SG500X/ESW2-550X pour former une pile. L'absence de prise en charge des technologies VRRP et RIP constitue l'unique restriction (raison pour laquelle ce mode se nomme Pile hybride de base par opposition au mode Pile hybride avancée). Dans ce mode, l'interface utilisateur graphique affiche les pages du Sx500, même si l'unité principale de la pile est un SG500X/ESW2-550X, car la fonctionnalité définie est celle du Sx500. Dans ce mode, tout type d'appareil peut indifféremment jouer le rôle d'unité principale ou de secours. Seuls les ports 5G peuvent être utilisés en tant que ports de pile. • Pile hybride avancée : un périphérique fonctionnant en mode Pile hybride avancée peut être connecté à des périphériques Sx500 et SG500X/ESW2-550X pour former une pile. Dans ce mode, les technologies VRRP et/ou RIP sont prises en charge, ce qui n'est pas le cas de la numérotation automatique des unités, car seuls les périphériques SG500X ou ESW2-550X peuvent être utilisés en tant qu'unité principale ou de secours. Les périphériques Sx500 ne peuvent être utilisés qu'en mode asservi. Par conséquent, vous pouvez associer jusqu'à six unités Sx500 avec deux périphériques de la gamme SG500X/ESW2-550X au sein d'une pile. • Pile hybride avancée XG : un périphérique fonctionnant en mode Pile hybride avancée XG peut être connecté à des périphériques SG500X/ESW2-550X et SG500XG pour former une pile. Toutes les unités peuvent être des unités principales ou asservies. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 77 6 Administration : Gestion des piles Mode de l'unité de pile Options de configuration de pile Voici quelques exemples de configurations de piles classiques : Configuration de pile possible Possible prise en charge des technologies RIP/ VRRP Débit des ports de la pile La pile se compose uniquement d'unités SG500X fonctionnant en mode Pile native. Activées/Désactivées 1G/10G ou 1G/5G La pile se compose de toutes les unités ESW2-550X fonctionnant en mode Pile native. Activées/Désactivées 1G/10G ou 1G/5G La pile se compose uniquement d'unités Sx500 fonctionnant en mode Pile native. Non prises en charge 1G/5G (par défaut) ou 1G cuivre/SFP (combinés) La pile se compose de divers types d'appareils fonctionnant en mode Pile hybride de base. Non prises en charge 1G/5G Activées/Désactivées 1G/5G Activées/Désactivées 1G ou 10G • Unité principale : SG500X, ESW2-550X ou Sx500 • Unité de secours : appareil de l'une ou l'autre gamme • Unités asservies : appareil de l'une ou l'autre gamme La pile se compose de divers types d'appareils fonctionnant en mode Pile hybride avancée. • Unité principale : SG500X • Unité de secours : SG500X • Unités asservies : appareil de l'une ou l'autre gamme La pile se compose de divers types d'appareils fonctionnant en mode Pile hybride avancée XG. • Unité principale : SG500X/ ESW2-550X ou SG500XG • Unité de secours : SG500X/ ESW2-550X ou SG500XG • Unités asservies : appareil de l'une ou l'autre gamme Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 78 Administration : Gestion des piles Mode de l'unité de pile 6 Homogénéité des modes d'unité de pile dans la pile Toutes les unités de la pile doivent utiliser le même mode d'unité de pile. À l'initialisation de la pile, un algorithme de détection de la topologie est exécuté afin de recueillir des informations sur les unités en présence. Après sélection d'une unité comme unité principale, celle-ci peut rejeter les demandes de connexion émises par les autres unités si leur mode d'unité de pile n'est pas cohérent. En cas de rejet de l'une des unités pour ce motif, cette unité est logiquement fermée (les ports de cette unité ne peuvent plus ni envoyer/ni recevoir du trafic) et toutes ses LED (système, ventilation, ID, ports réseaux et ports de pile) sont allumées. Les informations relatives au mode d'unité de pile discordant sont affichées sous la forme d'un message d'erreur SYSLOG, sur l'unité principale. Notez que débrancher le cordon d'alimentation de l'unité, puis le rebrancher est le seul moyen pour que l'unité quitte ce mode. Changement du mode d'unité de pile Modifier le mode d'unité de pile d'un appareil peut être nécessaire pour deux raisons : vous souhaitez retirer l'appareil de la pile (en redéfinissant son mode sur Autonome) ou vous souhaitez au contraire le reconfigurer de sorte qu'il opère dans le cadre d'une pile (en redéfinissant son mode d'unité de pile sur Pile native à Pile hybride de base ou Pile hybride avancée). Les paragraphes qui suivent contiennent des informations sur le mode système et la configuration de l'appareil, après son redémarrage, une fois son mode d'unité de pile modifié. Mode système (périphériques 500) après redémarrage En cas de modification du mode d'unité de pile de l'appareil, le mode système de l'appareil peut être changé après le redémarrage : • périphériques Sx500 : le mode système (Couche 2 ou Couche 3) de l'unité de secours et des unités asservies est calqué sur celui de l'unité principale. En l'absence de définition spécifique avant le redémarrage, le mode système est défini par défaut sur Couche 2. Pour que le mode système de l'appareil soit redéfini sur Couche 3 au terme du redémarrage, vous devez configurer l'appareil dans ce sens avant son redémarrage. • périphériques SG500X/ESW2-550X : lorsque l'appareil se trouve en mode Autonome ou Pile native, le mode système est toujours redéfini sur Couche 2 ou Couche 3. Lorsque l'appareil se trouve en mode Pile hybride de base ou Pile hybride avancée, le mode système se comporte de la même manière que le mode système des périphériques Sx500, comme décrit ci-dessus. Lorsque le périphérique se trouve en mode de base ou hybride avancé, il a le même comportement que celui décrit ci-dessus pour les périphériques Sx500. • périphériques SG500XG : toujours Couche 2 et Couche 3. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 79 Administration : Gestion des piles Ports de pile 6 Configuration après redémarrage Lorsque vous changez le mode pile d'un appareil et que vous redémarrez ce dernier, le fichier de Configuration de démarrage est généralement supprimé car il peut contenir des informations de configuration qui ne s'appliquent pas au nouveau mode. Il est conservé après le redémarrage dans les cas suivants : • • • périphériques SG500X/ESW2-550X : - Mode Autonome redéfini sur mode Pile native : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 - Mode Hybride de base redéfini sur mode Hybride avancée : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 - Mode Hybride de base redéfini sur mode Hybride avancée XG : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 SG500XG : - Mode Autonome redéfini sur mode Pile native : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 - Mode Natif redéfini sur mode Hybride avancée XG : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 périphériques Sx500 : - Mode Autonome redéfini sur mode Pile native : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 - Mode Autonome redéfini sur mode Hybride de base : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 - Mode Pile native redéfini sur mode Hybride de base : le fichier est conservé uniquement si l'unité est contrainte d'endosser le rôle d'unité principale avec l'ID d'unité = 1 Ports de pile Certains ports de la pile doivent être réservés pour assurer les fonctions suivantes : • Ports réseau : également baptisés ports de liaison montante. Ces ports sont connectés au réseau. • Ports de pile : ports assurant la connexion par paire des unités au sein de la pile. Ces ports assurent le transfert des paquets de protocole et de données entre les unités. Vous devez indiquer au système les ports que vous envisagez d'utiliser comme ports de pile (page Mode du système et gestion des piles). Ces ports sont donc réservés à cet usage. Tous les autres ports non réservés à cet usage sont considérés comme des ports réseau. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 80 Administration : Gestion des piles Ports de pile 6 Agrégation de liaisons de ports de pile Si deux unités voisines sont connectées, les ports qui les relient sont automatiquement affectés à un LAG de pile. Cette fonction permet d'augmenter la bande passante de pile du port de pile au-delà de celle d'un port unique. Il peut exister jusqu'à deux LAG de pile par unité. Le LAG de pile peut se composer de deux à huit ports de pile selon le type d'unité. États des ports de pile Les ports de pile peuvent présenter l'un des états suivants : • Inactif : l'état opérationnel du port est inactif, ou l'état opérationnel du port de pile est actif, mais le trafic ne peut pas passer sur ce port. • Actif : le port de pile a été ajouté à un LAG de pile dont l'état opérationnel de port de pile est actif et le trafic peut passer sur le port ; il fait par ailleurs partie d'un LAG de pile. • Standby (Réserve) : l'état opérationnel du port de pile est actif et le trafic bidirectionnel peut passer sur le port, mais le port ne peut pas être ajouté à un LAG de pile, et le port ne transmet aucun trafic. Un port peut se trouver en mode de réserve pour plusieurs raisons : - Des ports de pile présentant des vitesses différentes sont utilisés pour la connexion d'un seul voisin. - Une unité est connectée à plus de deux unités voisines. Compatibilité descendante Pour en savoir plus sur les performances d'une pile constituée de périphériques qui prennent en charge les LAG de ports de pile et de périphériques qui ne prennent pas en charge cette fonction, reportez-vous à Compatibilité descendante. Contraintes physiques liées aux LAG de pile Les facteurs suivants limitent l'utilisation des LAG de pile : • Un LAG de pile doit contenir des ports de pile comme décrit dans Tableau 1 à Tableau 4. • Un LAG de pile doit contenir des ports présentant la même vitesse. • En cas de tentative de connexion d'une unité à une pile dont la topologie n'est pas du type Anneau ou Chaîne (par exemple, tentative de connexion d'une unité à plus de deux unités voisines : topologie en étoile), seuls deux LAG de pile peuvent être actifs, les ports de pile restants sont placés en mode de réserve (inactif). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 81 Administration : Gestion des piles Ports de pile 6 Connexions recommandées dans la pile Les tableaux ci-dessous décrivent la méthode optimale pour connecter des unités dans une pile en fonction du type des unités de la pile. En cas de défaillance d'une liaison sur un port dans un LAG de pile, le trafic sur la pile est redistribué entre les ports de pile restants dans le LAG de pile. Les connexions de la pile peuvent alors passer d'une configuration recommandée à une configuration non recommandée. Tableau 1 Pile Sx500 avec Sx500 ou SG500X/ESW2-550X Nombre de ports de pile actifs Connexions recommandées pour les ports de pile sur le périphérique Sx500 1 S1 ou S2 ou S3 ou S4 2 Les cas suivants peuvent se présenter : Cas 1 : S1 à un voisin et S2 à un autre voisin Cas 2 : S3 à un voisin et S4 à un autre voisin Cas 3 : S1 et S2 au même voisin Cas 4 : S3 et S4 au même voisin Tableau 2 Piles SG500X et ESW2550X avec Sx500, SG500X/ESW2-550X ou SG500XG Nombre de ports de pile actifs Connexions recommandées pour les ports de pile sur le périphérique SG500X 1 S1 ou S2 ou XG1 ou XG2 2 Cas 1 : S1 à un voisin et S2 à un autre voisin Cas 2 : XG1 à un voisin et XG2 à un autre voisin Cas 3 : S1 et S2 au même voisin Cas 4 : XG1 et XG2 au même voisin 4 S1+S2 au même voisin et XG1+XG2 à un autre voisin Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 82 Administration : Gestion des piles Ports de pile Tableau 3 6 Pile SG500XG avec SG500X/ESW2-550X Nombre de ports de pile actifs Connexions recommandées pour les ports de pile sur le périphérique SG500XG 1 N'importe quel port 2 Un port à un voisin et un autre port à un autre voisin Deux ports au même voisin 4 Deux ports à un voisin et deux autres ports à un autre voisin Tableau 4 Pile Sx500XG avec Sx500XG Nombre de ports de pile actifs Connexions recommandées pour les ports de pile sur le périphérique Sx500XG 1 N'importe quel port 2 Un port à un voisin et l'autre port à un autre voisin Deux ports au même voisin 4 Deux ports à un voisin et les deux autres ports à un autre voisin Quatre ports au même voisin 8 Quatre ports à un voisin et les quatre autres ports à un autre voisin Ports de pile et ports réseau par défaut Les ports de pile et ports réseau par défaut sont les suivants : • périphériques Sx500 : lorsqu'un périphérique Sx500 fonctionne en mode Pile native, S1-S2-1G fonctionnent en tant que ports réseau standard et S3-S4-5G en tant que ports de pile par défaut. • périphériques SG500X/ESW2-550X : S1-S2-10G sont les ports de pile par défaut. Vous pouvez reconfigurer manuellement les ports S1-S2-10G et S1-S2-5G en tant que ports réseau ou ports de pile. • périphériques SG500XG : tous les ports peuvent être des ports de pile ou réseau. Par défaut, le périphérique est autonome. Lorsque vous faites passer un périphérique de l'un des modes Pile au mode Autonome, les ports de pile deviennent automatiquement des ports réseau. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 83 6 Administration : Gestion des piles Ports de pile Vitesse des ports La vitesse des ports de pile peut être définie manuellement ou configurée sur sélection automatique. Le tableau suivant répertorie les types de ports de piles disponibles et leurs vitesses en fonction des types d'appareils utilisés : Type d'appareil Paires de ports Vitesses possibles au sein de la pile Sélection automatique de la vitesse disponible Sx500 S1-S2 1G Non Sx500 S3-S4 5G/1G Oui SG500X/ ESW2-550X S1-S2-XG 10G/1G Oui SG500X/ ESW2-550X S1-S2-5G 5G/1G Oui SG500XG Toute paire de ports de XG1 - XG16 1G ou 10G Oui Sélection automatique de la vitesse de port À la connexion du câble d'empilage au port, son type peut être détecté automatiquement (la détection automatique est le paramètre par défaut). Lorsque ce paramètre est activé, le système identifie automatiquement le type de câble de pile et sélectionne la vitesse la plus haute prise en charge par ce câble et le port correspondant. Lorsque le type du câble n'est pas reconnu, un message SYSLOG s'affiche au niveau informatif, invitant l'utilisateur à configurer manuellement la vitesse du port. Connexion des unités La connexion entre deux unités au sein d'une même pile peut être établie uniquement si la vitesse des ports situés de part et d'autre de la liaison est identique. Pour que cette vitesse soit identique, les ports de pile doivent être configurés comme suit : • Mode Vitesse automatique • Vitesse identique de part et d'autre de la connexion Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 84 6 Administration : Gestion des piles Ports de pile Types de câbles Chaque type de port de pile peut être utilisé avec des types de câbles spécifiques. Lorsque le mode pile est défini sur Pile native, le câble d'empilage peut être un câble en cuivre ou un câble en fibre. Lorsque les deux types de câbles (fibre et cuivre) sont raccordés, la fibre est le support privilégié. Une double connexion offre une fonction de redondance. En cas de changement apporté au support, par exemple, en cas de déconnexion du câble d'empilage en fibre et d'activation du câble d'empilage en cuivre, le système initie un événement de changement de topologie. Le tableau suivant décrit les combinaisons possibles de types de câble et de ports. Ports de pile Ports réseau Type de connecteur S1-S2-5G pour SG500X/ ESW2-550X et S3-S4 pour Sx500 S1, S2 dans Sx500 S1,S2 - XG dans SG500X/ ESW2-550X S1,S2 - 5G S1,S2 dans S1,S2 - XG pour Sx500 dans SG500X et SG500X S3, S4 pour Sx500 Cisco SFPH10GB-CU1M – Câble en cuivre passif 5G 1G 10G 1G 1G 10G Cisco SFPH10GB-CU3M – Câble en cuivre passif 5G 1G 10G 1G 1G 10G Cisco SFPH10GB-CU5M – Câble en cuivre passif 5G 1G 10G 1G 1G 10G Cisco SFP-10GSR Non pris en charge Non pris en charge 10G Non pris en charge Non pris en charge 10G Cisco SFP-10GLRM Non pris en charge Non pris en charge 10G Non pris en charge Non pris en charge 10G Cisco SFP-10GLR Non pris en charge Non pris en charge 10G Non pris en charge Non pris en charge 10G 1G SFP Module MGBSX1 1G 1G 1G 1G 1G 1G 1G SFP Module MGBT1 1G 1G 1G 1G 1G 1G Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 85 6 Administration : Gestion des piles Ports de pile Ports de pile Ports réseau Type de connecteur S1-S2-5G pour SG500X/ ESW2-550X et S3-S4 pour Sx500 S1, S2 dans Sx500 S1,S2 - XG dans SG500X/ ESW2-550X S1,S2 - 5G S1,S2 dans S1,S2 - XG pour Sx500 dans SG500X et SG500X S3, S4 pour Sx500 1G SFP Module MGBLX1 1G 1G 1G 1G 1G 1G 1G SFP Module MGBBX1 1G 1G 1G 1G 1G 1G 100Mbit/s SFP Module MFELX1 Non pris en charge Non pris en charge Non pris en charge Non pris en charge 100Mbit/s Non pris en charge 100Mbit/s SFP Module MFEFX1 Non pris en charge Non pris en charge Non pris en charge Non pris en charge 100Mbit/s Non pris en charge 100Mbit/s SFP Module MFEBX1 Non pris en charge Non pris en charge Non pris en charge Non pris en charge 100Mbit/s Non pris en charge Autres SFP 1G En fonction de : En fonction de : 1G En fonction de : En fonction de : Vitesse utilisateur forcée Vitesse utilisateur forcée Vitesse utilisateur forcée Vitesse utilisateur forcée Vitesse EEP Vitesse EEP ROM ROM Vitesse EEPR Vitesse EEPR OM OM Vitesse1G Vitesse1G Vitesse1G Vitesse10G Ports de pile ou ports réseau Type de connecteur Tous les ports Cisco SFP-H10GB-CU1M – Câble en cuivre passif 1G - 10G Cisco SFP-H10GB-CU3M – Câble en cuivre passif 1G - 10G Cisco SFP-H10GB-CU5M – Câble en cuivre passif 1G - 10G Cisco SFP-10G-SR Non pris en charge Cisco SFP-10G-LRM Non pris en charge Cisco SFP-10G-LR Non pris en charge 1G SFP Module MGBSX1 1G 1G SFP Module MGBT1 1G 1G SFP Module MGBLX1 1G Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 86 6 Administration : Gestion des piles Configuration par défaut Ports de pile ou ports réseau Type de connecteur Tous les ports 1G SFP Module MGBBX1 1G 100Mbit/s SFP Module MFELX1 Non pris en charge 100Mbit/s SFP Module MFEFX1 Non pris en charge 100Mbit/s SFP Module MFEBX1 Non pris en charge Autres SFP 1G Configuration par défaut Les valeurs par défaut des périphériques dans les différents modes de pile sont spécifiées ci-dessous : Type d'appareil Mode pile Ports de pile par défaut Mode du système par défaut Sx500 Pile native Pile S3-S4 5G Couche 2 Hybride de base Pile S3-S4 5G Couche 2 Advanced Hybrid Pile S3-S4 5G Couche 2 Pile native Pile S1-S2 10G Couche 2+Couche 3 Hybride de base Pile S1-S2 5G Couche 2 Advanced Hybrid Pile S1-S2 5G Couche 2 Hybride avancée XG Pile S1-S2 5G Couche 2 Pile native L'utilisateur peut choisir n'importe quelle paire Couche 2+Couche 3 Hybride avancée XG L'utilisateur peut choisir n'importe quelle paire Couche 2+Couche 3 SG500X/ ESW2550X SG500XG Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 87 Administration : Gestion des piles Interactions avec les autres fonctions 6 Interactions avec les autres fonctions Les technologies RIP et VRRP ne sont pas prises en charge par le mode Pile hybride de base. Modes système Sur la page Mode du système et gestion des piles, vous pouvez : • modifier le mode pile d'un appareil en le redéfinissant sur Autonome ; • modifier le mode pile d'un périphérique en le redéfinissant sur l'un des autres modes de pile disponibles, modifier l'ID d'unité, les ports de pile et le débit des ports de pile de tous les périphériques présents dans la pile ; • modifier le mode système (Couche 2/3) d'un appareil autonome ou de la pile ; • modifier le nombre de files d'attente prises en charge de 4 à 8 ou inversement. Les informations relatives à ces modes sont disponibles dans le fichier de configuration et se présentent comme suit : • En-tête de fichier de configuration : contient le mode du système le mode des files d'attente (même s'il s'agit des valeurs par défaut). • Corps du fichier de configuration : contient les commandes de configuration. Compatibilité descendante Les modes suivants ont fait l'objet d'améliorations désormais intégrées à la version actuelle du logiciel. Lorsque ces nouvelles fonctionnalités sont utilisées avec des versions antérieures, des précautions doivent être prises : • Stack Port LAG (LAG de ports de pile) : si une unité dont le logiciel prend en charge des ports de pile dans des LAG est connectée à une unité dont le logiciel ne prend pas en charge les ports de pile dans des LAG, le port de pile connectant les unités ne devient pas membre du LAG de pile. Les unités sont connectées via les ports de pile, et l'unité principale de la pile copie son logiciel vers l'autre unité. Le logiciel copié dépend de l'unité qui devient l'unité principale. • Mode de files d'attente : ce mode peut à présent être redéfini pour passer de 4 files d'attente QoS à 8 files d'attente QoS. La mise à niveau à partir de versions antérieures du logiciel qui ne prennent pas en charge 8 files d'attente ne pose aucun problème, puisque le mode 4 files d'attente est le mode par défaut de la version actuelle du logiciel. Toutefois, lorsque le mode de files d'attente est redéfini sur 8 files d'attente, la configuration doit être examinée et ajustée en conséquence pour répondre aux objectifs QoS fixés dans le cadre du nouveau mode de files d'attente défini. Le changement apporté au Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 88 Administration : Gestion des piles Modes système 6 mode de files d'attente devient effectif après le redémarrage du système. Les options de configuration des files d'attente non compatibles avec le nouveau mode de files d'attente sont rejetées. • Mode de pile : le mode de pile a été amélioré via l'intégration de deux nouveaux modes Pile hybride. La mise à niveau dans un tel cas à partir de versions antérieures du logiciel ne pose aucun problème, l'appareil démarrant à partir du mode pile existant (mode Pile native). Si vous souhaitez, sur un appareil configuré en mode Pile hybride, repasser à une version antérieure du logiciel non compatible avec ce type de mode, redéfinissez d'abord le mode de cet appareil sur le mode Pile native. Mode du système et gestion des piles Pour configurer la pile : ÉTAPE 1 Cliquez sur Administration > Mode du système et gestion des piles. L'état opérationnel d'un appareil autonome ou d'une pile s'affiche dans le bloc État opérationnel : • Mode pile : affiche l'une des valeurs suivantes pour le périphérique : - Autonome : l'appareil ne fait pas partie d'une pile. - Pile native ; l'appareil fait partie d'une pile dans laquelle toutes les unités sont du même type. - Pile hybride de base : l'appareil fait partie d'une pile comportant à la fois des périphériques SG500X et Sx500 avec la fonctionnalité Sx500 activée. - Pile hybride avancée : l'appareil fait partie d'une pile comportant à la fois des périphériques SG500X et Sx500 avec la fonctionnalité SG500X activée. - Pile hybride avancée XG : l'appareil fait partie d'une pile comportant à la fois des périphériquesSG500X/ESW2-550X et SG500XG avec la fonctionnalité SG500X activée. • Topologie de la pile : indique si la topologie de la pile est chaîne ou anneau. • Mode du système : indique si les périphériques de pile/autonomes fonctionnent en mode système Couche 2, Couche 3 ou Couche 2 et Couche 3. • Unité principale de la pile : affiche l'ID de l'unité principale de la pile. • État du choix de l'unité principale : affiche la façon dont l'unité principale de la pile a été sélectionnée. Reportez-vous à la section Processus de sélection de l'unité principale. ÉTAPE 2 Renseignez les champs État administratif suivants : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 89 Administration : Gestion des piles Modes système • • 6 Unité princ. de la pile : sélectionnez l'unité principale de la pile. Les options suivantes sont disponibles : - Sélection automatique : le système sélectionne l'unité principale. Reportez-vous à la section Processus de sélection de l'unité principale. - Unité 1 : sélectionnez l'unité1 en tant qu'unité principale après le redémarrage. - Unité 2 : sélectionnez l'unité 2 en tant qu'unité principale après le redémarrage. Mode du système : sélectionnez le mode Couche 2 ou Couche 3. REMARQUE Uniquement disponible sur les périphériques où le mode du système peut être sélectionné. • Mode files d'attente : indiquez s'il faut configurer 4 ou 8 files d'attente QoS sur le périphérique. Reportez-vous à la section Configuration de files d'attente de QoS. REMARQUE Si l'appareil correspond au modèle Sx500 et que vous changez le mode pile de Pile native à Autonome, l'appareil sera en mode système Couche 2 après le redémarrage, sauf si, à ce stade de la configuration, vous définissez le champ Mode du système sur Couche 3. Vue de la topologie de la pile Cette vue affiche la façon dont les périphériques de la pile sont connectés les uns aux autres. Lorsque vous cliquez sur les flèches connectant les périphériques, une info-bulle affiche le numéro d'unité, le type des ports de pile connectant les unités et les numéros des unités connectées. Voici un exemple : Vue de l'unité et configuration des ports de pile Pour sélectionner des ports de pile pour un périphérique : a. Cliquez sur un périphérique dans la vue de la topologie de la pile. Les ports de ce périphérique sont affichés dans cette vue. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 90 6 Administration : Gestion des piles Modes système b. Lorsque vous cliquez sur un port, une info-bulle affiche le numéro de port, l'unité qui y est connectée, la vitesse du port et son état de connexion. Voici un exemple : Ne peut pas devenir un port de pile Port de pile Port réseau Deviennent des ports de pile après application et redémarrage c. Cliquez sur les ports réseau (en noir) à sélectionner en tant que ports de pile (ports gris) Il s'agit des ports qui sont actuellement des ports réseau. Lorsque vous cliquez sur Appliquer et redémarrer, ces ports deviennent des ports de pile après le redémarrage. d. Pour configurer les paramètres de pile pour les périphériques de la pile, cliquez sur un périphérique dans la vue de la topologie de la pile, puis renseignez les champs suivants pour les ports de périphérique et de pile : • Unit ID After Reset (ID d'unité après réinitialisation) : sélectionnez un ID d'unité ou Automatique pour que l'ID d'unité soit affecté par le système. • Unit 1 Stack Mode (Mode pile unité 1) : sélectionnez un mode pile. • Unit 1 Stack Connection Speed (Vitesse de connexion de la pile unité 1) : sélectionnez la vitesse des ports de pile. Sélectionnez Automatique pour que le système choisisse la vitesse. ÉTAPE 3 Cliquez sur Appliquer et redémarrer. Les paramètres sont copiés dans le fichier Configuration d'exécution et la pile est redémarrée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 91 7 Administration Cette section décrit comment afficher les informations relatives au système et configurer différentes options sur le périphérique. Elle couvre les rubriques suivantes : • Modèles de périphériques • Paramètres système • Paramètres de console (prise en charge du débit de bauds automatiques) • Interface de gestion • Mode du système et gestion des piles • Comptes d'utilisateur • Définition du délai d'expiration en cas de session inactive • Paramètres de l'heure • Journal système • Gestion de fichiers • Redémarrage du périphérique • Ressources de routage • Intégrité • Diagnostic • Détection - Bonjour • Détection - LLDP • Détection - CDP • Ping • Traceroute Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 92 7 Administration Modèles de périphériques Modèles de périphériques Tous les modèles peuvent être entièrement gérés via l'utilitaire Web de configuration du commutateur. Lorsque le périphérique fonctionne en mode système Couche 3, les gestionnaires de stratégie de limite du débit VLAN et de QoS ne sont pas opérationnels. Les autres fonctionnalités du Mode avancé de QoS sont quant à elles opérationnelles. Seuls les modèles SG500X/SG500XG/ESW2-550X prennent en charge les protocoles VRRP (Virtual Router Redundancy Protocol) et RIP (Routing Information Protocol). REMARQUE Reportez-vous à la section Conventions de nommage de l'interface pour connaître les conventions d'affectation de noms aux ports. Le tableau suivant décrit les différents modèles, le nombre et le type de ports qu'ils contiennent, ainsi que leurs informations PoE. Nom du modèle ID du produit (PID) Description des ports de l'appareil Puissance dédiée au PoE Nbre de ports gérant PoE SF500-24 SF500-24-K9 Commutateur administrable empilable 10/100 à 24 ports N/A N/A SF500-24MP SF500-24MP-K9 Commutateur administrable empilable Max PoE 24 ports 10/100 375 W 24 SF500-24P SF500-24P-K9 Commutateur administrable empilable PoE 10/100 à 24 ports 180 W 24 SF500-48 SF500-48-K9 Commutateur administrable empilable 10/100 à 48 ports N/A N/A SF500-48MP SF500-48MP-K9 Commutateur administrable empilable Max PoE 48 ports 10/100 740 W 48 SF500-48P SF500-48P-K9 Commutateur administrable empilable PoE 10/100 à 48 ports 375 W 48 SG500-28 SG5000-28-K9 Commutateur administrable empilable Gigabit à 28 ports N/A N/A SG500-28MPP SG500-28MPPK9 Commutateur administrable PoE Gigabit à 28 ports 740 W 24 SG500-28P SG500-28P-K9 Commutateur administrable empilable PoE Gigabit à 28 ports 180 W 24 Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 93 7 Administration Modèles de périphériques Nom du modèle ID du produit (PID) Description des ports de l'appareil Puissance dédiée au PoE Nbre de ports gérant PoE SG500-52 SG500-52-K9 Commutateur administrable empilable Gigabit à 52 ports N/A N/A SG500-52MP SG500-52MPK9 Commutateur administrable PoE Gigabit Max à 52 ports 740 W 48 SG500-52P SG500-52P-K9 Commutateur administrable empilable PoE Gigabit à 52 ports 375 W 48 SG500X-24 SG500X-24-K9 Commutateur administrable empilable Gigabit à 24 ports avec 4 ports 10 Gigabit N/A N/A SG500X-24P SG500X-24P-K9 Commutateur administrable empilable PoE Gigabit à 24 ports avec 4 ports 10 Gigabit 375 W 24 SG500X-24MPP SG500X24MPP-K9 Commutateur administrable PoE Gigabit à 24 ports 740 W 24 SG500X-48 SG500X-48-K9 Commutateur administrable empilable Gigabit à 48 ports avec 4 ports 10 Gigabit N/A N/A SG500X-48MP SG500X-48MPK9 Commutateur administrable PoE Gigabit Max à 48 ports 740 W 48 SG500X-48P SG500X-48P-K9 Commutateur administrable empilable PoE Gigabit à 48 ports avec 4 ports 10 Gigabit 375 W 48 ESW2-550X-48 ESW2-550X-48K9 Commutateur administrable empilable Gigabit à 48 ports avec 4 ports 10 Gigabit N/A N/A ESW2-550X48DC ESW2-550X48DC-K9 Commutateur administrable empilable Gigabit à 48 ports avec 4 ports 10 Gigabit N/A N/A SG500XG-8F8T SG500XG-8F8TK9 Commutateur administrable empilable 16 ports 10 Gigabit N/A N/A Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 94 Administration Paramètres système 7 Paramètres système La page Récapitulatif du système fournit une vue graphique du périphérique et affiche l'état du périphérique, des informations sur le matériel, des informations sur le micrologiciel, l'état PoE (Power-overEthernet) général, etc. Affichage du récapitulatif du système Pour afficher les informations système : ÉTAPE 1 Cliquez sur État et statistiques > Récapitulatif du système. Informations système : • Mode pile du système : indique si le périphérique fait partie d'une pile. Consultez la section Mode de l'unité de pile pour de plus amples informations sur les modes pile. REMARQUE Si le système est en mode Pile native, le numéro de version du micrologiciel affiché se base sur la version de l'unité principale. • Mode de fonctionnement du système : indique si le système des périphériques 500 fonctionne en mode système Couche 2 ou Couche 3. • Description du système : affiche une description du système. • Emplacement du système : indique l'emplacement physique du périphérique. Cliquez sur Modifier pour accéder à la page Paramètres système, afin d'entrer cette valeur. • System Contact : nom de la personne à contacter. Cliquez sur Modifier pour accéder à la page Paramètres système, afin d'entrer cette valeur. • Nom d'hôte : nom du périphérique. Cliquez sur Modifier pour accéder à la page Paramètres système, afin d'entrer cette valeur. Par défaut, le nom d'hôte du périphérique se compose du mot commutateur concaténé avec les trois octets les moins significatifs de l'adresse MAC du périphérique (les six chiffres hexadécimaux les plus à droite). • ID de l'objet système : identification unique du fournisseur du sous-système de gestion du réseau contenu dans l'entité (utilisée dans SNMP). • System Uptime : temps qui s'est écoulé depuis le dernier redémarrage. • Current Time : heure actuelle du système. • Adresse MAC de base : indique l'adresse MAC du périphérique. Si le système est en mode pile, l'adresse MAC de base de l'unité principale est affichée. • Jumbo Frames : état de prise en charge des cadres géants. Cette prise en charge peut être activée ou désactivée sur la page Paramètres des ports du menu Gestion des ports. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 95 Administration Paramètres système 7 REMARQUE La prise en charge des trames Jumbo est effective une fois qu'elle a été activée et que le périphérique a été redémarré. Informations sur le logiciel : • Version du micrologiciel (image active) : numéro de version du micrologiciel de l'image active. REMARQUE Si le système est en mode Pile, le numéro de version du micrologiciel affiché se base sur la version de l'unité principale. Consultez la section Mode de l'unité de pile pour de plus amples informations sur les modes pile. • MD5 Checksum du micrologiciel (image active) : MD5 Checksum de l'image active. • Version du micrologiciel (non active) : numéro de version du micrologiciel de l'image non active. Si le système est en mode pile, la version de l'unité principale est affichée. • Somme de contrôle MD5 du micrologiciel (non active) : somme de contrôle MD5 de l'image non active. • Version de démarrage : numéro de version de démarrage. • Total de contrôle MD5 de démarrage : total de contrôle MD5 de la version de démarrage. • Locale : paramètres régionaux de la première langue. (toujours définis sur Anglais). • Version de langue : version du module linguistique de la première langue ou de la langue anglaise. • Total de contrôle MD5 de langue : total de contrôle MD5 du fichier de langue. État des services TCP/UDP : • Service HTTP : indique si HTTP est activé ou désactivé. • Service HTTPS : indique si HTTPS est activé ou désactivé. • Service SNMP : indique si SNMP est activé ou désactivé. • Service Telnet : indique si Telnet est activé ou désactivé. • Service SSH : indique si SSH est activé ou désactivé. Information d'alimentation PoE sur l'unité principale : (sur les périphériques prenant en charge PoE) • Puissance PoE maximale disponible (W) : puissance maximale disponible pouvant être fournie par le PoE. • Consommation totale de la puissance PoE (W) : puissance PoE totale fournie aux périphériques PoE connectés. • Mode d'alimentation PoE : limite du port ou de la classe. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 96 Administration Paramètres système 7 Vous verrez un lien Détail à côté de Information d'alimentation PoE sur l'unité principale, qui, lorsque vous cliquez dessus, vous dirige directement vers la page Gestion des ports > PoE > Propriétés. Cette page présente les informations d'alimentation PoE relatives à chaque unité. Les unités de la pile sont affichées de manière graphique, accompagnées des informations suivantes sur chaque unité : • ID d'unité de l'unité principale • Description du modèle : description du modèle de périphérique. • Serial Number : numéro de série. • PID VID : référence de pièce et identifiant de la version. Paramètres système Pour accéder aux paramètres système : ÉTAPE 1 Cliquez sur Administration > System Settings. ÉTAPE 2 Permet d'afficher ou de modifier les paramètres système. • Description du système : affiche une description du périphérique. • Emplacement du système : entrez l'emplacement physique du périphérique. • System Contact : saisissez le nom de la personne à contacter. • Nom d'hôte : sélectionnez le nom d'hôte de ce périphérique. Voici ce qui est utilisé dans l'invite de l'interface de ligne de commande : • - Valeurs par défaut : le nom d'hôte par défaut (Nom du système) de ces commutateurs est périphérique123456, où 123456 représente les trois derniers octets de l'adresse MAC du périphérique au format hexadécimal. - Défini par l'utilisateur : saisissez le nom d'hôte. Utilisez uniquement des lettres, des chiffres et des tirets. Les noms d'hôte ne peuvent pas être précédés ni suivis d'un tiret. Les autres symboles, les signes de ponctuation et les espaces ne sont pas autorisés (comme cela est spécifié dans les normes RFC1033, 1034 et 1035). Paramètres de bannière personnalisée : les bannières suivantes peuvent être définies : - Bannière de connexion : saisissez le texte à afficher sur la page de connexion avant la connexion. Cliquez sur Aperçu pour afficher les résultats. - Bannière de bienvenue : saisissez le texte à afficher sur la page de connexion après la connexion. Cliquez sur Aperçu pour afficher les résultats. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 97 Administration Paramètres de console (prise en charge du débit de bauds automatiques) 7 REMARQUE Lorsque vous définissez une bannière de connexion à partir de l'utilitaire de configuration Web, celle-ci est également activée pour les interfaces de ligne de commande (Console, Telnet et SSH). ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les valeurs dans le fichier de Configuration d'exécution. Paramètres de console (prise en charge du débit de bauds automatiques) Le débit du port de console peut être défini sur l'une des valeurs suivantes : 4 800, 9 600, 19 200, 38 400, 57 600 et 115 200 ou détection automatique. Si la détection automatique est sélectionnée, le périphérique détecte le débit de la console automatiquement. Lorsque la détection automatique n'est pas activée, le débit du port de console correspond automatiquement au dernier débit défini manuellement (115 200 par défaut). Lorsque la détection automatique est activée, mais que le débit en bauds de la console n'a pas encore été détecté, le système utilise la valeur 115 200 pour afficher le texte (par exemple, les informations de démarrage). Après avoir activé la détection automatique dans la page Paramètres de console, il est possible de l'activer en connectant la console au dispositif et en appuyant deux fois sur la touche Entrée. Le périphérique détecte alors le débit de bauds automatiquement. Pour activer la détection automatique ou définir manuellement le débit de bauds de la console : ÉTAPE 1 Cliquez sur Administration > Console Settings. ÉTAPE 2 Sélectionnez l'une des options suivantes : • Détection automatique : le débit de bauds de la console est détecté automatiquement. • Statique : sélectionnez l'un des débits disponibles. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 98 7 Administration Interface de gestion Interface de gestion Reportez-vous à la section IPv4 Management and Interfaces (Interfaces et gestion IPv4). Mode du système et gestion des piles Reportez-vous à la section Administration : Gestion des piles. Comptes d'utilisateur Reportez-vous à la section Définition d'utilisateurs. Définition du délai d'expiration en cas de session inactive Le délai d'expiration en cas de session inactive permet de configurer les intervalles de temps pendant lesquels les sessions de gestion peuvent rester inactives avant d'expirer et de nécessiter une nouvelle connexion de l'utilisateur pour rétablir l'une des sessions suivantes : • Délai d'expiration de session HTTP • Délai d'expiration de session HTTPS • Délai d'expiration de session de console • Délai d'expiration de session Telnet • Délai d'expiration de session SSH Pour définir le délai d'expiration en cas de session inactive pour différents types de sessions : ÉTAPE 1 Cliquez sur Administration > Expiration de la session inactive. ÉTAPE 2 Sélectionnez le délai d'expiration de chaque session dans la liste correspondante. La valeur d'expiration par défaut est de 10 minutes. ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les paramètres de configuration sur le périphérique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 99 Administration Paramètres de l'heure 7 Paramètres de l'heure Reportez-vous à la section Administration : Paramètres d'heure. Journal système Reportez-vous à la section Administration : Journal système. Gestion de fichiers Reportez-vous à la section Administration : Gestion de fichiers. Redémarrage du périphérique Certaines modifications apportées à la configuration, telles que l'activation de la prise en charge des trames Jumbo, nécessitent le redémarrage du système pour être effectives. Le redémarrage du périphérique supprime toutefois la Configuration d'exécution. Il est donc indispensable de l'enregistrer dans la Configuration de démarrage avant de procéder à un redémarrage. Cliquer sur Apply n'a pas pour effet d'enregistrer la configuration dans la configuration de démarrage. Pour plus d'informations sur les fichiers et les types de fichiers, reportez-vous à la section Fichiers système. Vous pouvez sauvegarder la configuration du périphérique en utilisant Administration > Gestion de fichiers > Copier/enregistrer la configuration ou en cliquant sur Enreg. en haut de la fenêtre. Vous pouvez également charger la configuration depuis un périphérique distant. Reportez-vous à la section Télécharger/sauvegarder configuration/journal. Vous préférerez peut-être régler le redémarrage à une heure ultérieure. Cela peut notamment se produire dans l'un des cas suivants : • Vous effectuez des actions sur un périphérique distant et ces actions peuvent provoquer une perte de connexion à ce périphérique distant. La pré-planification d'un redémarrage restaure la configuration fonctionnant et permet la restauration de la connexion au périphérique distant. Si ces actions sont réussies, le redémarrage retardé peut être annulé. • Le rechargement du périphérique provoque la perte de connexion dans le réseau, en raison du redémarrage retardé, vous pouvez planifier le redémarrage à une heure plus propice pour les utilisateurs (par exemple tard dans la nuit). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 100 Administration Redémarrage du périphérique 7 Pour redémarrer le périphérique : ÉTAPE 1 Cliquez sur Administration > Reboot. ÉTAPE 2 Cliquez sur le bouton Redémarrer pour redémarrer le périphérique. • Redémarrer : permet de redémarrer le périphérique. Les informations non enregistrées de la Configuration d'exécution étant ignorées lors du redémarrage du périphérique, vous devez cliquer sur Enregistrer en haut à droite de n'importe quelle fenêtre afin de conserver la configuration actuelle lors du processus de démarrage. Si l'option Enregistrer ne s'affiche pas, cela signifie que la Configuration d'exécution est identique à la Configuration de démarrage et qu'aucune action n'est nécessaire. • Annuler le redémarrage : annule un redémarrage qui a été programmé pour plus tard. Les options suivantes sont disponibles : - Immédiat : permet de redémarrer immédiatement. - Date : saisissez la date (mois/jour) et l'heure (heure et minutes) du redémarrage planifié. Vous planifiez ainsi un rechargement du logiciel à l'heure spécifiée (utilisation du mode 24 heures). Si vous spécifiez le mois et le jour, le rechargement est planifié et sera effectué à l'heure et à la date spécifiées. Si vous ne spécifiez pas le mois et le jour, le rechargement aura lieu à l'heure spécifiée du jour actuel (si l'heure spécifiée est ultérieure à l'heure actuelle) ou le jour suivant (si l'heure spécifiée est antérieure à l'heure actuelle). La spécification 00:00 planifie le rechargement à minuit. Le rechargement doit avoir lieu dans les 24 jours. REMARQUE Vous pouvez uniquement utiliser cette option si l'heure du système a été réglée manuellement ou via SNTP. • In : redémarre dans le nombre d'heures et de minutes spécifié. La durée maximale pouvant s'écouler est de 24 jours. Rétablir les paramètres d'usine par défaut : redémarre le périphérique en utilisant sa configuration d'origine. Ce processus efface le fichier de Configuration de démarrage et le fichier de configuration de sauvegarde. L'ID d'unité de pile est défini sur automatique, et dans le Sx500, le mode système est défini sur Couche 2. Le fichier de configuration miroir n'est pas supprimé lorsque vous restaurez les paramètres d'origine. • Effacer le fichier de configuration de démarrage : choisissez cette option pour effacer la configuration du périphérique la prochaine fois qu'il démarrera. REMARQUE Si le périphérique est en mode Pile native, ce bouton restaure les paramètres d'origine dans l'intégralité de la pile. REMARQUE Effacer le fichier de Configuration de démarrage et redémarrer est une procédure différente d'un redémarrage avec les paramètres d'origine. Ce dernier est beaucoup plus intrusif. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 101 7 Administration Ressources de routage Ressources de routage L'allocation TCAM est traitée différemment sur les périphériques Sx500 et SG500X/ESW2-550X : Le Sx500 possède une seule TCAM qui est utilisée pour tous les routages et les règles ACL (listes de contrôle d'accès). Les périphériques SG500X/SG500XG/ESW2-550X possèdent deux TCAM ; l'une d'elles est dédiée au routage et l'autre est dédiée aux règles ACL. Lorsque les périphériques SG500X/ESW2-550X sont en mode Pile hybride, ils n'ont qu'une seule TCAM (tout comme les périphériques Sx500). Reportez-vous à la section Mode de l'unité de pile. Les entrées TCAM sont divisées en groupes, spécifiés ci-dessous : • Entrées IP : entrées TCAM réservées pour les acheminements statiques IP, les interfaces IP et les hôtes IP. • Entrées non IP : entrées TCAM réservées à d'autres applications, telles que les règles ACL, les gestionnaires de stratégie CoS et les limites de débit VLAN. Si le routage IPv4 est activé sur le périphérique, le tableau suivant décrit le nombre d'entrées TCAM utilisées pour les diverses fonctionnalités : Entité logique IPv4 Voisin IP 1 entrée Adresse IP sur une interface 2 entrées Acheminement distant IP 1 entrée Si le routage IPv6 est activé sur le périphérique, le tableau suivant décrit le nombre d'entrées TCAM utilisées pour les diverses fonctionnalités : Entité logique IPv4 IPv6 (TCAM PCL) IPv6 (TCAM routeur) Voisin IP 1 entrée 1 entrée 4 entrées Adresse IP sur une interface 2 entrées 2 entrées 8 entrées Acheminement distant IP 1 entrée 1 entrée 4 entrées 1 entrée 4 entrées Préfixe de lien La page Ressources de routage vous permet d'ajuster l'allocation TCAM. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 102 Administration Ressources de routage 7 Si vous modifiez l'allocation TCAM de manière incorrecte, un message d'erreur s'affiche. Si votre allocation TCAM est autorisée, un message s'affiche pour vous indiquer qu'un redémarrage automatique va être effectué avec les nouveaux paramètres. Les ressources de routage peuvent être modifiées de manière incorrecte, de l'une des façons suivantes : • Le nombre d'entrées TCAM que vous allouez est inférieur au nombre actuellement utilisé. • Le nombre d'entrées TCAM que vous allouez est supérieur au nombre maximal disponible pour cette catégorie (les valeurs maximales s'affichent sur la page). Pour afficher et modifier les ressources de routage : ÉTAPE 1 Cliquez sur Administration > Ressources de routage. Les champs suivants sont affichés pour les ressources de routage IPv4 : • Voisins (1 entrée TCAM par voisin) : Décompte correspond au nombre de voisins enregistrés sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les voisins. • Interfaces (2 entrées TCAM par interface) : Décompte correspond au nombre d'adresses IP sur les interfaces du périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les adresses IP. • Routes (1 entrée TCAM par route) : Décompte correspond au nombre de routes enregistrées sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les routes. • Total : affiche le nombre d'entrées TCAM actuellement utilisées. • Entrées maximales : sélectionnez l'une des options suivantes : - Valeurs par défaut : sur Sx500, le nombre d'entrées TCAM est de 25 % de la taille TCAM. Sur SG500X/SG500XG, le nombre d'entrées TCAM du routeur est de 50 % de la taille TCAM du routeur. - Défini par l'utilisateur : saisissez une valeur. Ressources de routage de multidiffusion IPv4 (pour les périphériques SG500XG et SG500X uniquement) • Routes de multidiffusion IPv4 (2 entrées TCAM par route) : Décompte correspond au nombre de routes de multidiffusion enregistrées sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les routes de multidiffusion. • Entrées maximales : sélectionnez l'une des options suivantes : - Valeurs par défaut : sur Sx500, le nombre d'entrées TCAM est de 25 % de la taille TCAM. Sur SG500X/SG500XG, le nombre d'entrées TCAM du routeur est de 50 % de la taille TCAM du routeur. - Défini par l'utilisateur : saisissez une valeur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 103 Administration Ressources de routage 7 Ressources de routage IPv6 (pour les périphériques SG500XG et SG500X uniquement) • Voisins (4 entrées TCAM par route) : Décompte correspond au nombre de voisins enregistrés sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les voisins. • Interfaces (8 entrées TCAM par route) : Décompte correspond au nombre d'interfaces sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les interfaces. • On Link Prefixes (4 TCAM entries per prefix) (Préfixes de lien - 4 entrées TCAM par préfixe) : Décompte correspond au nombre de préfixes de lien enregistrés sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les préfixes de lien. • Total : nombre total d'entrées TCAM utilisées. • Entrées maximales : sélectionnez l'une des options suivantes : - Valeurs par défaut : sur Sx500, le nombre d'entrées TCAM est de 25 % de la taille TCAM. Sur SG500X/SG500XG, le nombre d'entrées TCAM du routeur est de 50 % de la taille TCAM du routeur. - Défini par l'utilisateur : saisissez une valeur. Ressources de routage de multidiffusion IPv6 (pour les périphériques SG500XG et SG500X uniquement) • Routes de multidiffusion IPv6 (8 entrées TCAM par route) : Décompte correspond au nombre de routes de multidiffusion enregistrées sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les routes de multidiffusion. • Entrées maximales : sélectionnez l'une des options suivantes : - Valeurs par défaut : sur Sx500, le nombre d'entrées TCAM est de 25 % de la taille TCAM. Sur SG500X/SG500XG, le nombre d'entrées TCAM du routeur est de 50 % de la taille TCAM du routeur. - Défini par l'utilisateur : saisissez une valeur. Table de ressources TCAM Les champs suivants sont affichés pour chaque unité : • Maximum TCAM Entries for Routing and Multicast Routing (Entrées TCAM maximales pour routage et routage de multidiffusion) : nombre d'entrées TCAM disponibles pour le routage et le routage de multidiffusion. • Routage IPv4 - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage IPv4. - Maximum : nombre maximal d'entrées TCAM disponibles pour le routage IPv4. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 104 7 Administration Ressources de routage • • • Routage de multidiffusion IPv4 - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage de multidiffusion IPv4. - Maximum : nombre maximal d'entrées TCAM disponibles pour le routage de multidiffusion IPv4. Routage IPv6 - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage IPv6. - Maximum : nombre maximal d'entrées TCAM disponibles pour le routage IPv6. Routage de multidiffusion IPv6 - En cours d'utilis. : nombre d'entrées TCAM utilisées pour le routage de multidiffusion IPv6. - Maximum : nombre maximal d'entrées TCAM disponibles pour le routage de multidiffusion IPv6. • Maximum TCAM Entries for Non-IP Rules (Entrées TCAM maximales pour règles non-IP) : nombre d'entrées TCAM disponibles pour les règles non-IP. • Règles non-IP - En cours d'utilis. : nombre d'entrées TCAM utilisées pour les règles non-IP. - Maximum : nombre maximal d'entrées TCAM disponibles pour les règles non-IP. ÉTAPE 2 Enregistrez les nouveaux paramètres en cliquant sur Appliquer. Le système vérifie si les paramètres des ressources du routage sont possibles. Si l'opération est incorrecte, un message d'erreur s'affiche. Si l'opération est correcte, les paramètres sont copiés dans le fichier de Configuration d'exécution. REMARQUE Un récapitulatif des entrées TCAM réellement en utilisation et disponibles est affiché au bas de cette page. Pour une explication de ces champs, reportez-vous à Taux d'utilisation TCAM. ÉTAPE 3 Enregistrez les nouveaux paramètres en cliquant sur Appliquer. Le système vérifie si l'allocation TCAM est possible. Si l'opération est incorrecte, un message d'erreur s'affiche. Si l'opération est correcte, l'allocation est enregistrée dans le fichier de Configuration d'exécution et un redémarrage est effectué. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 105 7 Administration Intégrité Intégrité La page Intégrité affiche l'état du ventilateur sur tous les périphériques équipés de ventilateurs. Selon le modèle, un périphérique possède un ou plusieurs ventilateurs. Certains modèles ne possèdent aucun ventilateur. Certains périphériques comportent un capteur de température permettant de protéger le matériel d'une surchauffe éventuelle. Dans ce cas, les actions suivantes sont effectuées par le périphérique en cas de surchauffe et pendant la période de refroidissement après une surchauffe : Événement Action Au moins un capteur de température dépasse le seuil d'avertissement Les actions suivantes sont générées : Au moins un capteur de température dépasse le seuil critique • Message SYSLOG • Message « trap » SNMP Les actions suivantes sont générées : • Message SYSLOG • Message « trap » SNMP Les actions suivantes sont générées : La période de refroidissement qui suit le seuil critique a été dépassée (tous les capteurs indiquent une valeur inférieure de 2 °C au seuil d'avertissement) • La LED système s'allume en orange fixe (si le matériel la prend en charge). • Les ports sont désactivés : lorsque la température critique dépasse deux minutes, tous les ports sont arrêtés. • (Sur les périphériques qui prennent PoE en charge), les circuits PoE sont désactivés pour abaisser la consommation d'énergie et diminuer la chaleur émise. Lorsque tous les capteurs ont atteint une valeur inférieure de 2 °C au seuil d'avertissement, le PHY est réactivé et tous les ports sont rétablis. Si l'état du VENTILATEUR est OK, les ports sont activés. (Sur les périphériques qui prennent PoE en charge) les circuits PoE sont activés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 106 Administration Intégrité 7 Pour afficher les paramètres d'intégrité du périphérique, cliquez sur État et statistiques > Santé. La page Intégrité affiche les champs suivants : • État du ventilateur : état du ventilateur. Les valeurs suivantes sont possibles : - OK : le ventilateur fonctionne normalement. - Échec : le ventilateur ne fonctionne pas correctement. - S/O : l'ID du ventilateur n'est pas applicable au modèle en question. • Direction du ventilateur : (sur les périphériques concernés) la direction du fonctionnement des ventilateurs est (par exemple : de l'avant vers l'arrière). • Température : les options sont les suivantes : - OK : la température est inférieure au seuil d'avertissement. - Avertissement : la température est comprise entre le seuil d'avertissement et le seuil critique. - Critique : la température est supérieure au seuil critique Si le périphérique est en mode Autonome, les champs suivants sont affichés : • État du ventilateur : état du ventilateur. Les valeurs suivantes sont possibles : - OK : le ou les ventilateurs fonctionnent normalement. - Échec : le ou les ventilateurs ne fonctionnent pas correctement. - S/O : le ventilateur n'est pas applicable au modèle en question. • Direction du ventilateur : la direction dans laquelle les ventilateurs fonctionnent. • Température : les options sont les suivantes : - OK : la température est inférieure au seuil d'avertissement. - Avertissement : la température est comprise entre le seuil d'avertissement et le seuil critique. - Critique : la température est supérieure au seuil critique Si le périphérique est en mode Pile native, la page Intégrité affiche les champs précédents pour chaque unité : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 107 Administration Diagnostic 7 Diagnostic Reportez-vous à la section Administration : Diagnostics. Détection - Bonjour Reportez-vous à la section Bonjour. Détection - LLDP Reportez-vous à la section Configuration de LLDP. Détection - CDP Reportez-vous à la section Configuration de CDP. Ping L'utilitaire Ping sert à déterminer si un hôte distant peut être joint et mesure la durée aller-retour de transfert des paquets entre le périphérique et un périphérique de destination. Ping envoie des paquets de demande d'écho ICMP (protocole de message de contrôle Internet) à destination de l'hôte cible et attend une réponse ICMP, parfois appelée « pong ». Il mesure le temps de parcours de la transmission et enregistre toute perte de paquets. Pour envoyer une requête Ping à un hôte : ÉTAPE 1 Cliquez sur Administration > Ping. ÉTAPE 2 Configurez les opérations Ping en renseignant les champs suivants : • Définition de l'hôte : indiquez si vous souhaitez spécifier l'interface source par son adresse IP ou son nom. Ce champ a une influence sur les interfaces affichées dans le champ IP source, comme décrit ciaprès. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 108 7 Administration Ping • Version IP : si l'interface source est identifiée par son adresse IP, sélectionnez IPv4 ou IPv6 pour indiquer qu'elle sera entrée au format sélectionné. • IP source : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme adresse IPv4 source pour la communication avec la cible. Si le champ Définition de l'hôte a été défini sur Par nom, toutes les adresses IPv4 et IPv6 seront affichées dans ce champ déroulant. Si le champ Définition de l'hôte a été défini sur Par adresse IP, seules les adresses IP existantes du type spécifié dans le champ Version IP seront affichées. REMARQUE Si l'option Auto est sélectionnée, le système génère l'adresse source en fonction de l'adresse de destination. • Type d'adresse IPv6 de destination : sélectionnez Liaison locale ou Global comme type d'adresse IPv6 à saisir en tant qu'adresse IP de destination. - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez son lieu de réception. • Nom/adresse IP de destination : adresse ou nom d'hôte du périphérique auquel la requête Ping est envoyée. C'est la définition de l'hôte qui détermine s'il s'agit d'une adresse IP ou d'un nom d'hôte. • Intervalle de Ping : durée d'attente du système entre les paquets Ping. La requête Ping est réitérée autant de fois que configurée dans le champ Nombre de Pings, que la requête aboutisse ou non. Sélectionnez l'intervalle par défaut ou spécifiez votre propre valeur. • Nombre de Pings : nombre de fois que l'opération Ping sera effectuée. Sélectionnez la valeur par défaut ou spécifiez votre propre valeur. • État : indique si la requête Ping a réussi ou échoué. ÉTAPE 3 Cliquez sur Activer Ping pour envoyer une requête Ping à l'hôte. L'état de la requête Ping apparaît et un message est ajouté à la liste des messages, indiquant le résultat de l'opération Ping. ÉTAPE 4 Vous pouvez consulter le résultat de l'opération Ping au sein de la section Compteurs et état du Ping de cette page. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 109 Administration Traceroute 7 Traceroute Traceroute détecte les routes IP et indique également les paquets qui ont été transférés en envoyant un paquet IP à l'hôte cible et en le renvoyant au périphérique. La page Traceroute affiche chaque saut entre le dispositif et un hôte cible, ainsi que la durée de l'aller-retour de tels sauts. ÉTAPE 1 Cliquez sur Administration > Traceroute. ÉTAPE 2 Configurez Traceroute en renseignant les champs suivants : • Définition de l'hôte : indiquez si vous souhaitez identifier les hôtes par leur adresse IP ou leur nom. • Version IP : si l'hôte est identifié par son adresse IP, sélectionnez IPv4 ou IPv6 pour indiquer qu'il sera entré au format sélectionné. • IP source : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme adresse IPv4 source pour les messages de communication. Si le champ Définition de l'hôte a été défini sur Par nom, toutes les adresses IPv4 et IPv6 seront affichées dans ce champ déroulant. Si le champ Définition de l'hôte a été défini sur Par adresse IP, seules les adresses IP existantes du type spécifié dans le champ Version IP seront affichées. • Adresse IP/Nom hôte : entrez l'adresse ou le nom de l'hôte. • TTL : entrez le nombre maximal de sauts autorisés par Traceroute. Cela permet d'éviter les situations où la trame envoyée entre dans une boucle sans fin. La commande Traceroute se termine lorsque la destination ou cette valeur est atteinte. Pour utiliser la valeur par défaut (30), sélectionnez Use Default. • Délai d'expiration : entrez la durée pendant laquelle le système attend le retour d'une trame avant de la déclarer perdue. Vous pouvez aussi sélectionner Valeurs par défaut. ÉTAPE 3 Cliquez sur Activer Traceroute. L'opération est réalisée. La page qui apparaît indique la durée de l'aller-retour (RTT) et l'état de chaque « trajet » dans les champs suivants : • Index : affiche le numéro du saut. • Hôte : affiche un arrêt sur l'acheminement vers la destination. • Durée de l'aller-retour (1-3) : affiche la durée de l'aller-retour en ms pour la trame1/3 et l'état de l'opération 1/3. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 110 8 Administration : Paramètres d'heure Les horloges système synchronisées constituent un cadre de référence pour tous les périphériques du réseau. La synchronisation de l'heure du réseau est cruciale, car chaque aspect de la gestion, de la sécurité, de la planification et du débogage d'un réseau implique de déterminer le moment où se produit l'événement. Sans synchronisation des horloges, la corrélation précise des fichiers journaux entre périphériques est impossible pour la détection des failles de sécurité ou le suivi de l'utilisation du réseau. La synchronisation de l'heure réduit également la confusion dans les systèmes de fichiers partagés, car il est essentiel que les heures de modification soient cohérentes, quelle que soit la machine sur laquelle se trouvent les systèmes de fichiers. C'est pour ces raisons que l'heure configurée sur tous les périphériques du réseau doit être précise. REMARQUE Le périphérique prend en charge le protocole SNTP (Simple Network Time Protocol). Lorsque ce dernier est activé, le périphérique synchronise son heure de manière dynamique à partir d'un serveur SNTP. Le périphérique fonctionne uniquement en tant que client SNTP et ne peut pas fournir de services d'heure à d'autres périphériques. Cette section décrit les options permettant de configurer l'heure système, le fuseau horaire et l'heure d'été (DST). Elle couvre les rubriques suivantes : • Options d'heure système • Modes SNTP • Configuration de l'heure système Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 111 Administration : Paramètres d'heure Options d'heure système 8 Options d'heure système L'heure système peut être réglée manuellement par l'utilisateur, définie dynamiquement à partir d'un serveur SNTP ou synchronisée à partir de l'ordinateur qui exécute l'interface utilisateur graphique (GUI). Si un serveur SNTP est choisi, les paramètres d'heure manuels sont écrasés lorsque des communications avec le serveur sont établies. Dans le cadre du processus de démarrage, le périphérique configure toujours l'heure, le fuseau horaire et l'heure d'été. Ces paramètres sont obtenus à partir de l'ordinateur qui exécute la GUI, du SNTP, des valeurs définies manuellement ou, si ces éléments échouent, des valeurs d'usine. Time (Heure) Les méthodes suivantes permettent de définir l'heure système sur le périphérique : • Manuel : l'utilisateur doit définir l'heure manuellement. • À partir de votre ordinateur : l'heure peut être reçue à partir de l'ordinateur, à l'aide des informations du navigateur. La configuration de l'heure à partir de l'ordinateur est enregistrée dans le fichier de Configuration d'exécution. Vous devez copier la Configuration d'exécution vers la Configuration de démarrage pour permettre au périphérique d'utiliser l'heure de l'ordinateur après le redémarrage. L'heure après le redémarrage est définie lors de la première connexion WEB au périphérique. Lorsque vous configurez cette fonction pour la première fois, si l'heure n'a pas encore été réglée, le périphérique définit l'heure à partir de l'ordinateur. Cette méthode de réglage de l'heure fonctionne avec les connexions HTTP et HTTPS. • SNTP : l'heure peut être reçue à partir de serveurs de temps SNTP. SNTP garantit une synchronisation précise de l'heure réseau du périphérique, à la milliseconde près, en utilisant un serveur SNTP comme source d'horloge. Lors de la spécification d'un serveur SNTP, si vous choisissez de l'identifier par son nom d'hôte, trois suggestions sont données dans l'interface utilisateur graphique : - time-a.timefreq.bldrdoc.gov - time-b.timefreq.bldrdoc.gov - time-c.timefreq.bldrdoc.gov Une fois que l'heure a été définie par l'une des sources ci-dessus, elle n'est pas redéfinie par le navigateur. REMARQUE SNTP est la méthode recommandée pour le réglage de l'heure. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 112 Administration : Paramètres d'heure Modes SNTP 8 Fuseau horaire et heure d'été Le fuseau horaire et l'heure d'été peuvent être définis sur le périphérique comme suit : • • Configuration dynamique du périphérique via un serveur DHCP, où : - L'heure d'été dynamique, lorsqu'elle est activée et disponible, a toujours la priorité sur la configuration manuelle de l'heure d'été. - Les paramètres manuels sont utilisés si le serveur fournissant les paramètres de source échoue ou si la configuration dynamique est désactivée par l'utilisateur. - La configuration dynamique du fuseau horaire et de l'heure d'été se poursuit après l'expiration de l'heure de bail IP. La configuration manuelle du fuseau horaire et de l'heure d'été devient la configuration de fuseau horaire et d'heure d'été opérationnelle seulement si la configuration dynamique est désactivée ou échoue. REMARQUE Le serveur DHCP doit fournir l'option 100 DHCP pour que la configuration dynamique du fuseau horaire puisse avoir lieu. Modes SNTP Le périphérique peut recevoir l'heure système à partir d'un serveur SNTP de l'une des manières suivantes : • Réception de diffusion client (mode passif) : les serveurs SNTP diffusent l'heure et le périphérique écoute ces diffusions. Lorsque le périphérique se trouve dans ce mode, il n'est pas nécessaire de définir un serveur SNTP monodiffusion. • Transmission de diffusion client (mode actif) : le commutateur, en tant que client SNTP, demande périodiquement des mises à jour de l'heure SNTP. Ce mode fonctionne de l'une des manières suivantes : - Mode client pluridiffusion SNTP : le périphérique diffuse des paquets de requêtes d'heure à tous les serveurs SNTP du sous-réseau et attend une réponse. - Mode Serveur SNTP monodiffusion : le périphérique envoie des requêtes de monodiffusion à une liste de serveurs SNTP configurés manuellement et attend une réponse. Le périphérique prend en charge tous les modes mentionnés ci-dessus et actifs en même temps, et sélectionne la meilleure heure système reçue d'un serveur SNTP, conformément à un algorithme basé sur la strate la plus proche (distance par rapport à l'horloge de référence). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 113 Administration : Paramètres d'heure Configuration de l'heure système 8 Configuration de l'heure système Sélection de la source d'heure système Utilisez la page Heure système pour sélectionner la source d'heure système. Si la source est manuelle, vous pouvez saisir l'heure à cet endroit. ! ATTENTION Si l'heure système est définie manuellement et que le périphérique est redémarré, saisissez à nouveau les paramètres d'heure entrés manuellement. Pour définir l'heure système : ÉTAPE 1 Cliquez sur Administration > Time Settings > System Time. Les champs suivants s'affichent : • Heure actuelle (statique) : heure système sur le périphérique. Indique le fuseau horaire du serveur DHCP ou l'acronyme correspondant au fuseau horaire défini par l'utilisateur, le cas échéant. • Dernier serveur synchronisé : adresse, strate et type du serveur SNTP à partir duquel l'heure système a été extraite pour la dernière fois. ÉTAPE 2 Saisissez les paramètres suivants : Paramètres de source d'horloge : sélectionnez la source utilisée pour définir l'horloge système. • Source d'horloge principale (serveurs SNTP) : si cette option est activée, l'heure système est obtenue à partir d'un serveur SNTP. Pour utiliser cette fonctionnalité, vous devez également configurer une connexion à un serveur SNTP sur la page Paramètres d'interface SNTP. Vous pouvez également appliquer l'authentification des sessions SNTP via la page Authentification SNTP. • Source d'horloge alternative (ordinateur via des sessions HTTP/HTTPS actives) : sélectionnez cette option pour définir la date et l'heure depuis l'ordinateur effectuant la configuration via le protocole HTTP. REMARQUE Le paramètre de source d'horloge doit être défini à l'une des valeurs ci-dessus pour que l'authentification MD5 RIP fonctionne. Cela sert également aux fonctionnalités qui sont associées à l'heure, par exemple : L'authentification de liste ACL, de port, de ports 802.1 basés sur l'heure et qui est prise en charge sur certains périphériques. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 114 Administration : Paramètres d'heure Configuration de l'heure système 8 Paramètres manuels : définissez la date et l'heure manuellement. L'heure locale est utilisée lorsqu'aucune source d'horloge alternative, telle qu'un serveur SNTP, n'est disponible : • Date : saisissez la date du système. • Local Time : saisissez l'heure système. Paramètres de fuseau horaire : l'heure locale est utilisée via le serveur DHCP ou l'option Décalage du fuseau horaire. • Obtenir le fuseau horaire de DHCP : sélectionnez cette option pour activer la configuration dynamique du fuseau horaire et l'heure d'été à partir du serveur DHCP. Un seul ou les deux paramètres peuvent être configurés selon les informations trouvées dans le paquet DHCP. Si cette option est activée, le client DHCP doit être activé sur le périphérique. REMARQUE Le client DHCP prend en charge l'option 100 permettant le réglage dynamique du fuseau horaire. • Fuseau horaire de DHCP : affiche l'acronyme du fuseau horaire configuré à partir du serveur DHCP. L'acronyme s'affiche dans le champ Heure actuelle. • Décalage du fuseau horaire : sélectionnez la différence en heures entre le temps du méridien de Greenwich (GMT) et l'heure locale. Par exemple, le décalage de fuseau horaire pour Paris et GMT+1 et celui pour New York est GMT- 5. • Acronyme du fuseau horaire : saisissez un nom qui représente ce fuseau horaire. L'acronyme s'affiche dans le champ Actual Time. Paramètres d'heure d'été : sélectionnez le mode de définition de l'heure d'été : • Heure d'été : sélectionnez cette option pour activer l'heure d'été. • Compensation d'heure définie : entrez le nombre de minutes de décalage par rapport à l'heure GMT (entre 1 et 1 440). La valeur par défaut est 60. • Type d'heure d'été : cliquez sur l'un des éléments suivants : - États-Unis : l'heure d'été est définie selon les dates utilisées aux États-Unis. - Europe : l'heure d'été est définie selon les dates utilisées par l'Union Européenne et d'autres pays qui appliquent cette norme. - Par dates : l'heure d'été est définie manuellement, généralement pour un autre pays que les ÉtatsUnis ou un pays européen. Saisissez les paramètres décrits ci-après. - Recurring : l'heure d'été entre en vigueur à la même date chaque année. Sélectionnez By Dates pour personnaliser le début et la fin de l'heure d'été : - De : jour et heure de début de l'heure d'été. - À : jour et heure de fin de l'heure d'été. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 115 Administration : Paramètres d'heure Configuration de l'heure système 8 Sélectionnez Récurrent pour personnaliser différemment le début et la fin de l'heure d'été : • • De : date à laquelle l'heure d'été commence chaque année. - Jour : jour de la semaine au cours duquel l'heure d'été débute chaque année. - Semaine : semaine du mois au cours de laquelle l'heure d'été débute chaque année. - Mois : mois de l'année au cours duquel l'heure d'été débute chaque année. - Heure : heure à laquelle l'heure d'été débute chaque année. À : date à laquelle l'heure d'été prend fin chaque année. Par exemple, l'heure d'été prend localement fin le quatrième vendredi du mois d'octobre à 05 h 00. Les paramètres sont les suivants : - Jour : jour de la semaine au cours duquel l'heure d'été prend fin chaque année. - Semaine : semaine du mois au cours de laquelle l'heure d'été prend fin chaque année. - Mois : mois de l'année au cours duquel l'heure d'été prend fin chaque année. - Heure : heure à laquelle l'heure d'été prend fin chaque année. ÉTAPE 3 Cliquez sur Apply. Les valeurs d'heure système sont écrites dans le fichier de Configuration d'exécution. Ajout d'un serveur de monodiffusion SNTP Seize serveurs de monodiffusion SNTP maximum peuvent être configurés. REMARQUE Pour spécifier un serveur de monodiffusion SNTP par son nom, vous devez d'abord configurer le ou les serveurs DNS sur le périphérique (reportez-vous à la section Paramètres DNS). Pour ajouter un serveur de monodiffusion SNTP : ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Monodiffusion SNTP. ÉTAPE 2 Renseignez les champs suivants : • Client SNTP monodiffusion : sélectionnez cette option pour permettre au périphérique d'utiliser des clients monodiffusion SNTP prédéfinis avec des serveurs SNTP monodiffusion. • Interface source IPv4 : sélectionnez l'interface IPv4 dont l'adresse IPv4 sera utilisée comme adresse IPv4 source dans les messages utilisés pour les communications avec le serveur SNTP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 116 Administration : Paramètres d'heure Configuration de l'heure système • 8 Interface source IPv6 : sélectionnez l'interface IPv6 dont l'adresse IPv6 sera utilisée comme adresse IPv6 source dans les messages utilisés pour les communications avec le serveur SNTP. REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. La page suivante affiche ces informations pour chaque serveur SNTP monodiffusion : • Serveur SNTP : adresse IP du serveur SNTP. Le serveur ou nom d'hôte préféré est choisi selon son niveau de strate. • Intervalle d'interrogation : indique si l'interrogation est activée ou désactivée. • ID de clé d'authentification : l'identification de clé sert à communiquer entre le serveur SNTP et le périphérique. • Niveau de strate : distance par rapport à l'horloge de référence, exprimée sous la forme d'une valeur numérique. Un serveur SNTP ne peut pas être le serveur principal (niveau de strate 1), sauf si l'intervalle d'interrogation est activé. • État : état du serveur SNTP. Ce champ peut prendre les valeurs suivantes : - Actif : le serveur SNTP fonctionne actuellement normalement. - Inactif : le serveur SNTP n'est actuellement pas disponible. - Inconnu : le serveur SNTP est actuellement recherché par le périphérique. - En cours : se produit lorsque le serveur SNTP n'a pas entièrement approuvé son propre serveur de temps (c'est-à-dire lors du premier démarrage du serveur SNTP). • Dernière réponse : date et heure auxquelles une réponse a été reçue de la part de ce serveur SNTP pour la dernière fois. • Décalage : décalage estimé entre l'horloge du serveur et l'horloge locale, en millisecondes. L'hôte détermine la valeur de ce décalage à l'aide de l'algorithme décrit au sein de la RFC 2030. • Délai : temps estimé d'un aller-retour de transmission entre l'horloge du serveur et l'horloge locale sur le chemin du réseau, en millisecondes. L'hôte détermine la valeur de cet écart à l'aide de l'algorithme décrit au sein de la RFC 2030. • Source : configuration du serveur SNTP, par exemple : manuelle ou à partir du serveur DHCPv6. • Interface : interface sur laquelle les paquets sont reçus. ÉTAPE 3 Pour ajouter un serveur de monodiffusion SNTP, activez Client SNTP monodiffusion. ÉTAPE 4 Cliquez sur Add. ÉTAPE 5 Saisissez les paramètres suivants : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 117 Administration : Paramètres d'heure Configuration de l'heure système • 8 Définition du serveur : sélectionnez cette option si le serveur SNTP est identifié par son adresse IP ou si vous allez sélectionner un serveur SNTP connu par son nom dans la liste. REMARQUE Pour spécifier un serveur SNTP connu, le périphérique doit être connecté à Internet et configuré avec un serveur DNS, ou configuré de manière à ce qu'un serveur DNS soit identifié en utilisant le serveur DHCP. (Voir Paramètres DNS.) • Version IP : sélectionnez la version de l'adresse IP : Version 6 ou Version 4. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée). • Adresse IP du serveur SNTP : saisissez l'adresse IP du serveur SNTP. Le format dépend du type d'adresse sélectionné. • Serveur SNTP : sélectionnez le nom du serveur SNTP à partir d'une liste de serveurs NTP connus. Si vous avez choisi autres, saisissez le nom d'un serveur SNTP dans le champ adjacent. • Intervalle d'interrogation : sélectionnez cette option afin d'activer l'interrogation du serveur SNTP pour les informations d'heure système. Tous les serveurs NTP enregistrés pour l'interrogation sont interrogés et l'horloge est sélectionnée à partir du serveur accessible qui dispose du niveau de strate le plus faible (distance par rapport à l'horloge de référence). Le serveur disposant de la strate la plus faible est considéré comme étant le serveur principal. Le serveur disposant de la strate la deuxième plus faible est un serveur secondaire et ainsi de suite. Si le serveur principal est inactif, le périphérique interroge tous les serveurs ayant leur paramètre d'interrogation activé et sélectionne celui disposant de la strate la plus faible comme le nouveau serveur principal. • Authentification : cochez la case pour activer l'authentification. • ID de clé d'authentification : si l'authentification est activée, sélectionnez la valeur de l'ID de clé (Vous pouvez créer des clés d'authentification sur la page Authentification SNTP.) ÉTAPE 6 Cliquez sur Apply. Le serveur SNTP est ajouté et vous retournez à la page principale. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 118 Administration : Paramètres d'heure Configuration de l'heure système 8 Configuration du mode SNTP Le périphérique peut être en mode actif et/ou passif (Consultez la rubrique Modes SNTP pour plus d'informations.) Pour activer la réception de paquets SNTP à partir de tous les serveurs du sous-réseau et/ou la transmission de demandes d'heure aux serveurs SNTP : ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > SNTP multidiffusion/ pluridiffusion. ÉTAPE 2 Sélectionnez l'une des options suivantes : • Mode client multidiffusion IPv4 SNTP (réception de diffusion client) : sélectionnez cette option pour recevoir les transmissions de multidiffusion IPv4 de l'heure système à partir de l'un des serveurs SNTP du sous-réseau. • Mode client multidiffusion IPv6 SNTP (réception de diffusion client) : sélectionnez cette option pour recevoir les transmissions de multidiffusion IPv6 de l'heure système à partir de l'un des serveurs SNTP du sous-réseau. • Mode client pluridiffusion IPv4 SNTP (transmission de diffusion client) : sélectionnez cette option pour transmettre des paquets de synchronisation IPv4 SNTP demandant des informations relatives à l'heure système. Les paquets sont transmis à tous les serveurs SNTP du sous-réseau. • Mode client pluridiffusion IPv6 SNTP (transmission de diffusion client) : sélectionnez cette option pour transmettre des paquets de synchronisation IPv6 SNTP demandant des informations relatives à l'heure système. Les paquets sont transmis à tous les serveurs SNTP du sous-réseau. ÉTAPE 3 Si le système est en mode système Couche 3, cliquez sur Ajouter pour sélectionner l'interface de réception et de transmission SNTP. Sélectionnez une interface ainsi que les options de réception/transmission. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de Configuration d'exécution. Définition de l'authentification SNTP Les clients SNTP peuvent authentifier les réponses à l'aide de HMAC-MD5. Un serveur SNTP est associé à une clé, qui est utilisée en guise d'entrée de la fonction MD5 avec la réponse elle-même, le résultat de la fonction MD5 étant également inclus dans le paquet de réponse. La page Authentification SNTP permet de configurer des clés d'authentification utilisées pour communiquer avec un serveur SNTP qui requiert une authentification. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 119 Administration : Paramètres d'heure Configuration de l'heure système 8 La clé d'authentification est créée sur le serveur SNTP dans un processus distinct qui varie selon le type de serveur SNTP que vous utilisez. Pour plus d'informations à ce sujet, contactez l'administrateur système du serveur SNTP. Flux de travail ÉTAPE 1 Activez l'authentification sur la page Authentification SNTP. ÉTAPE 2 Créez une clé sur la page Authentification SNTP. ÉTAPE 3 Associez cette clé à un serveur SNTP sur la page SNTP monodiffusion. Pour activer l'authentification SNTP et définir des clés : ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Authentification SNTP. ÉTAPE 2 Sélectionnez Authentification SNTP pour prendre en charge l'authentification d'une session SNTP entre le périphérique et un serveur SNTP. ÉTAPE 3 Cliquez sur Appliquer pour mettre le périphérique à jour. ÉTAPE 4 Cliquez sur Ajouter. ÉTAPE 5 Saisissez les paramètres suivants : • ID de clé d'authentification : saisissez le numéro utilisé pour identifier cette clé d'authentification SNTP en interne. • Clé d'authentification : saisissez la clé utilisée pour l'authentification (huit caractères maximum). Le serveur SNTP doit envoyer cette clé pour que le périphérique se synchronise dessus. • Clé de confiance : sélectionnez cette option pour recevoir les informations de synchronisation uniquement à partir d'un serveur SNTP utilisant cette clé d'authentification. ÉTAPE 6 Cliquez sur Apply. Les paramètres d'authentification SNTP sont écrits dans le fichier de Configuration d'exécution. Période Les périodes peuvent être définies et associées aux types de commandes suivants, afin que ces commandes ne soient appliquées que pendant la période concernée : • Listes de contrôle d'accès • Authentification des ports 8021X • État des ports • PoE basé sur le temps Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 120 Administration : Paramètres d'heure Configuration de l'heure système 8 Les deux types de périodes sont les suivants : • Absolu : ce type de période débute à une date spécifique ou immédiatement et se termine à une date spécifique ou se prolonge indéfiniment. Il est créé dans les pages Période. Un élément récurrent peut lui être ajouté. • Récurrent : ce type de période contient un élément de période qui est ajouté à une plage absolue, et il débute et se termine de manière récurrente. Il est créé dans les pages Plage récurrente. Si une période comprend à la fois des plages absolues et des plages récurrentes, le processus qui lui est associé n'est activé que si l'heure de début absolue et la période récurrente ont été atteintes. Le processus est désactivé une fois l'une des périodes atteinte. Le périphérique prend en charge 10 périodes absolues au maximum. Toutes les spécifications horaires sont interprétées en heure locale (l'heure d'été n'a aucune incidence). Afin de s'assurer que les entrées de la période prennent effet aux heures souhaitées, l'heure système doit être définie. La fonction Période permet d'effectuer les tâches suivantes : • Limiter l'accès des ordinateurs au réseau aux horaires de travail (par exemple) : par la suite, les ports réseau sont ainsi verrouillés et l'accès au reste du réseau est bloqué (Voir Configuration des ports et Configuration des paramètres des LAG). • Limiter l'alimentation PoE à une période définie. Période absolue Pour définir une période absolue : ÉTAPE 1 Cliquez sur Administration > Paramètres horaires > Plage horaire. Les périodes existantes s'affichent. ÉTAPE 2 Pour ajouter une nouvelle période, cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • Nom de période : saisissez un nouveau nom de période. • Heure de début absolue : pour définir l'heure de début, renseignez les champs suivants : - Immédiat : sélectionnez cette option pour que la période démarre immédiatement. - Date, Heure : saisissez la date et l'heure auxquelles la période débute. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 121 Administration : Paramètres d'heure Configuration de l'heure système • 8 Heure de fin absolue : pour définir l'heure de fin, renseignez les champs suivants : - Infini : sélectionnez cette option pour que la période ne se termine jamais. - Date, Heure : saisissez la date et l'heure auxquelles la période se termine. ÉTAPE 4 Pour ajouter une période récurrente, cliquez sur Plage récurrente. Plage récurrente Il est possible d'ajouter un élément de temps récurrent à une période absolue. Cela limite l'opération à certaines périodes au sein de la plage absolue. Pour ajouter un élément de période récurrent à une période absolue : ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Plage récurrente. Les périodes récurrentes existantes s'affichent (filtrées par période spécifique absolue). ÉTAPE 2 Sélectionnez la période absolue à laquelle ajouter la plage récurrente. ÉTAPE 3 Pour ajouter une nouvelle période récurrente, cliquez sur Ajouter. ÉTAPE 4 Renseignez les champs suivants : • Heure de début récurrente : saisissez la date et l'heure auxquelles la période débute sur une base récurrente. • Heure de fin récurrente : saisissez la date et l'heure auxquelles la période se termine de façon récurrente. ÉTAPE 5 Cliquez sur Appliquer. ÉTAPE 6 Cliquez sur Plage horaire pour accéder à la Période absolue Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 122 9 Administration : Diagnostics Cette section comporte des informations relatives à la configuration de la mise en miroir des ports, à l'exécution de tests de câbles et à l'affichage des informations opérationnelles se rapportant à l'appareil. Elle couvre les rubriques suivantes : • Tests des ports en cuivre • Affichage de l'état des modules optiques • Configuration de la mise en miroir des ports et de VLAN • Affichage de l'utilisation du CPU et fonction Secure Core Technology (SCT) Tests des ports en cuivre La page Test cuivre affiche les résultats des tests de câbles intégrés effectués sur les câbles en cuivre par le VCT (Virtual Cable Tester, testeur de câble virtuel). VCT réalise deux types de tests : • La technologie de réflectométrie à dimension temporelle (TDR, Time Domain Reflectometry) teste la qualité et les caractéristiques d'un câble en cuivre relié à un port. Il est possible de tester des câbles faisant jusqu'à 140 mètres de long. Ces résultats apparaissent dans le bloc Résultats de test de la page Test cuivre. • Les tests s'appuyant sur la technologie DSP sont effectués sur des liaisons GE actives pour en mesurer la longueur de câble. Ces résultats apparaissent dans le bloc Informations avancées de la page Test cuivre. Conditions préalables à l'exécution du test des ports cuivre Avant d'exécuter le test, procédez comme suit : • (Obligatoire) Désactivez le mode Courte portée (reportez-vous à la page Gestion des ports > Green Ethernet > Propriétés) • (Facultatif) Désactivez EEE (reportez-vous à la page Gestion des ports > Green Ethernet > Propriétés) Utilisez un câble de données CAT5 pour exécuter le test de tous les câbles (VCT). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 123 Administration : Diagnostics Tests des ports en cuivre 9 Les résultats de test peuvent avoir une marge d'erreur de +/- 10 pour le test avancé et de +/- 2 pour le test de base. ! ATTENTION Lorsqu'un port est testé, il est mis en l'état inactif (Down) et les communications sont interrompues. Une fois le test terminé, le port revient à l'état actif (Up). Il est déconseillé d'exécuter un test de port cuivre sur un port que vous utilisez pour exécuter l'utilitaire Web de configuration du commutateur, les communications avec cet appareil étant interrompues. Pour tester les câbles en cuivre reliés aux ports : ÉTAPE 1 Cliquez sur Administration > Diagnostics > Copper Test. ÉTAPE 2 Sélectionnez le port sur lequel vous souhaitez exécuter le test. ÉTAPE 3 Cliquez sur Copper Test. ÉTAPE 4 Une fois le message affiché, cliquez sur OK pour confirmer que la liaison peut passer à l'état inactif ou sur Annuler pour arrêter le test. Les champs suivants s'affichent dans le bloc Résultats de test : • Dernière mise à jour : heure à laquelle a été effectué le dernier test sur le port. • Résultats de test : résultats du test de câbles. Les valeurs possibles sont les suivantes : - OK : le câble a réussi le test. - Aucun câble : le câble n'est pas connecté au port. - Câble ouvert : le câble n'est connecté que d'un côté. - Câble court-circuité : un court-circuit s'est produit au niveau du câble. - Résultat de test inconnu : une erreur s'est produite. • Distance au défaut : distance entre le port et l'emplacement du câble où le problème a été détecté. • État du port opérationnel : indique si le port est actif ou inactif. Si le port testé est un port Giga, le bloc Informations avancées affiche les informations suivantes (il est actualisé à chaque fois que vous accédez à la page) : • Longueur de câble : propose une estimation de longueur. • Paire : paire de fils de câble testée. • État : état de la paire de fils. Rouge indique un défaut et Vert indique l'état OK. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 124 Administration : Diagnostics Affichage de l'état des modules optiques 9 • Canal : canal de câble indiquant si les fils sont droits ou croisés. • Polarité : indique si la détection et la correction automatiques de la polarité ont été activées pour la paire de fils. • Déphasage entre paires : différence de phase entre les paires de fils. REMARQUE Les tests TDR ne peuvent pas être effectués lorsque le débit du port atteint 10 Mbit/s. Affichage de l'état des modules optiques La page État des modules optiques affiche les conditions de fonctionnement signalées par l'émetteurrécepteur SFP (Small Form-factor Pluggable). Certaines informations pourraient ne pas être disponibles pour les SFP qui ne prennent pas en charge la norme de surveillance diagnostique numérique SFF-8472. SFP compatibles MSA Les émetteurs-récepteurs SFP FE (100 Mbit/s) suivants sont pris en charge : • MFEBX1 : émetteur-récepteur SFP 100BASE-BX-20U pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 20 km. • MFEFX1 : émetteur-récepteur SFP 100BASE-FX pour la fibre multimode, longueur d'onde de 1 310 nm, jusqu'à 2 km. • MFELX1 : émetteur-récepteur SFP 100BASE-LX pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 10 km. Les émetteurs-récepteurs SFP GE (1 000 Mbit/s) suivants sont pris en charge : • MGBBX1 : émetteur-récepteur SFP 1000BASE-BX-20U pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 40 km. • MGBLH1 : émetteur-récepteur SFP 1000BASE-LH pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 40 km. • MGBLX1 : émetteur-récepteur SFP 1000BASE-LX pour la fibre monomode, longueur d'onde de 1 310 nm, jusqu'à 10 km. • MGBSX1 : émetteur-récepteur SFP 1000BASE-SX pour la fibre multimode, longueur d'onde de 850 nm, jusqu'à 550 m. • MGBT1 : émetteur-récepteur SFP 1000BASE-T pour le fil cuivre de catégorie 5, jusqu'à 100 m. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 125 Administration : Diagnostics Configuration de la mise en miroir des ports et de VLAN 9 Pour afficher les résultats des tests optiques, cliquez sur Administration > Diagnostics > État des modules optiques. Cette page affiche les champs suivants : • Port : numéro du port sur lequel le SFP est connecté. • Description : description de l'émetteur-récepteur optique. • Numéro de série : numéro de série de l'émetteur-récepteur optique. • PID : ID du VLAN. • VID : ID de l'émetteur-récepteur optique. • Température : température en degrés Celsius à laquelle le SFP fonctionne. • Tension : tension de fonctionnement du SFP. • Intensité : consommation de courant du SFP. • Output Power : puissance optique transmise. • Input Power : puissance optique reçue. • Défaillance du transmetteur : le SFP distant indique une perte de signal. Les valeurs sont Vrai, Faux et A/S (Aucun signal). • Loss of Signal : le SFP local indique une perte de signal. Les valeurs sont True (vrai) et False (faux). • Données prêtes : le SFP est opérationnel. Les valeurs sont Vrai et Faux. Configuration de la mise en miroir des ports et de VLAN La mise en miroir des ports est utilisée sur un appareil réseau pour envoyer une copie des paquets réseau détectés sur un port d'appareil unique, sur plusieurs ports d'appareil ou sur l'intégralité d'un VLAN vers une connexion de surveillance réseau située sur un autre port de l'appareil. Cette opération est souvent utilisée sur les équipements réseau qui nécessitent une surveillance du trafic réseau, par exemple un système de détection des intrusions. Un analyseur de réseau connecté au port de surveillance traite les paquets de données à des fins de diagnostic, de débogage et de contrôle des performances. Huit sources maximum peuvent être mises en miroir. Il peut s'agir de n'importe quelle combinaison de huit ports et/ou VLAN individuels. Un paquet reçu sur un port réseau affecté à un VLAN soumis à une mise en miroir est mis en miroir sur le port de l'analyseur même si le paquet a été intercepté ou abandonné. Les paquets envoyés par l'appareil sont mis en miroir lorsque la mise en miroir des émissions est activée. La mise en miroir ne garantit pas que l'ensemble du trafic en provenance du ou des ports source sera reçu sur le port de l'analyseur (de destination). Si le port de l'analyseur reçoit plus de données qu'il ne peut en gérer, une partie de ces données risque d'être perdue. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 126 Administration : Diagnostics Configuration de la mise en miroir des ports et de VLAN 9 La mise en miroir VLAN n'est pas active sur un VLAN qui n'a pas été créé manuellement. Par exemple, le VLAN 23 a été créé par GVRP et vous avez créé manuellement le VLAN 34. Vous créez ensuite la mise en miroir des ports qui intègre le VLAN 23 et/ou le VLAN 34, et vous supprimez par la suite le VLAN 34. L'état de la mise en miroir des ports est alors défini sur Pas prêt, car le VLAN 34 ne se trouve plus dans la base de données et le VLAN 23 n'a pas été créé manuellement. Une seule instance de mise en miroir est prise en charge sur l'ensemble du système. Le port de l'analyseur (ou le port cible pour la mise en miroir des VLAN ou des ports) est le même pour l'ensemble des VLAN et des ports mis en miroir. Pour activer la mise en miroir : ÉTAPE 1 Cliquez sur Administration > Diagnostics > Port and VLAN Mirroring. Les champs suivants s'affichent : • Port de destination : port sur lequel le trafic doit être copié ; port de l'analyseur. • Interface source : interface, port ou VLAN à partir duquel le trafic est envoyé au port de l'analyseur. • Type : type de surveillance ; entrant sur le port (réception), sortant du port (émission) ou les deux. • État : affiche l'une des valeurs suivantes : - Actif : les interfaces source et de destination sont actives et transfèrent le trafic. - Pas prêt : la source ou la destination est inactive (ou les deux) et ne transfère pas le trafic pour une raison quelconque. ÉTAPE 2 Cliquez sur Ajouter pour ajouter un port ou un VLAN à mettre en miroir. ÉTAPE 3 Configurez les paramètres suivants : • Destination Port : sélectionnez le port de l'analyseur sur lequel les paquets sont copiés. Un analyseur de réseau, par exemple un PC exécutant Wireshark, est connecté à ce port. Si un port est identifié en tant que port de destination de l'analyseur, il conserve cette fonction jusqu'à ce que toutes les entrées aient été supprimées. • Interface source : sélectionnez un port ou VLAN source à partir duquel le trafic doit être mis en miroir. • Type : indiquez si le trafic entrant, le trafic sortant ou les deux sont mis en miroir sur le port de l'analyseur. Si vous sélectionnez Port, les options disponibles sont : - Rx Only : mise en miroir des ports sur les paquets entrants. - Tx Only : mise en miroir des ports sur les paquets sortants. - Tx and Rx : mise en miroir des ports sur les paquets entrants et sortants. ÉTAPE 4 Cliquez sur Apply. La mise en miroir des ports est ajoutée à la Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 127 Administration : Diagnostics Affichage de l'utilisation du CPU et fonction Secure Core Technology (SCT) 9 Affichage de l'utilisation du CPU et fonction Secure Core Technology (SCT) L'appareil gère les types de trafic suivants en plus du trafic de l'utilisateur final : • Trafic de gestion • Trafic de protocole • Trafic de surveillance Un trafic excessif encombre le CPU et peut empêcher l'appareil de fonctionner normalement. L'appareil utilise la fonction Secure Core Technology (SCT) qui lui garantit de recevoir et traiter le trafic de gestion et de protocole, quel que soit le volume de trafic total reçu. La fonction SCT est activée par défaut sur l'appareil et ne peut pas être désactivée. Il n'y a pas d'interactions avec les autres fonctions. Pour afficher l'utilisation du CPU : ÉTAPE 1 Cliquez sur Administration > Diagnostics > Utilisation des CPU. La page Utilisation du CPU s'affiche. Le champ Niveau d'entrée CPU affiche le débit de trames d'entrée dans le CPU par seconde. La fenêtre affiche un graphique de l'utilisation du CPU. L'axe des Y représente le pourcentage d'utilisation et l'axe des X le numéro de l'échantillon. ÉTAPE 2 Assurez-vous que la case Utilisation du processeur est activée. ÉTAPE 3 Sélectionnez le Fréquence d'actualisation, à savoir la durée en secondes qui s'écoule avant l'actualisation des statistiques. Un nouvel échantillon est créé pour chaque période. ÉTAPE 4 Cliquez sur Appliquer. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 128 10 Administration : Détection Cette section fournit des informations sur la configuration de la détection. Elle couvre les rubriques suivantes : • Bonjour • LLDP et CDP • Configuration de LLDP • Configuration de CDP Bonjour En tant que client Bonjour, le périphérique diffuse périodiquement des paquets de protocole de détection Bonjour vers un ou plusieurs sous-réseaux IP à connexion directe, annonçant ainsi sa propre existence et les services qu'il offre ; par exemple HTTP, HTTPs et Telnet. (Utilisez la page Sécurité > Services TCP/UDP pour activer ou désactiver les services de périphérique.) Le périphérique peut être détecté par un système de gestion réseau ou autre application tierce. Par défaut, Bonjour est activé sur le VLAN de gestion. La console Bonjour détecte automatiquement le périphérique et l'affiche. Bonjour en mode système Layer 2 Lorsque le périphérique fonctionne en mode système Couche 2, la détection Bonjour est activée au niveau global ; vous ne pouvez pas l'activer séparément pour chaque port ou chaque VLAN. Le périphérique annonce tous les services qui ont été activés par l'administrateur en fonction de la configuration définie sur la page Services. Lorsque vous activez à la fois la découverte Bonjour et IGMP, l'adresse IP de multidiffusion de Bonjour apparaît sur la page Ajouter une adresse IP de groupe de multidiffusion. Lorsque vous désactivez la détection Bonjour, le périphérique cesse toute annonce de type de service et ne répond à aucune demande de service émanant des applications de gestion réseau. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 129 Administration : Détection Bonjour 10 Pour activer Bonjour globalement lorsque le système est en mode système Couche 2 : ÉTAPE 1 Cliquez sur Administration > Détection - Bonjour. ÉTAPE 2 Sélectionnez Activer pour activer globalement la détection Bonjour sur le périphérique. ÉTAPE 3 Cliquez sur Apply. Bonjour est activé ou désactivé sur le périphérique, en fonction des options sélectionnées. Bonjour en mode système Couche 3 En mode système Layer 3, chaque interface (VLAN, port ou LAG) peut recevoir une adresse IP. Lorsque vous activez Bonjour, le périphérique peut envoyer des paquets de détection Bonjour vers toutes les interfaces dotées d'une adresse IP. La détection Bonjour peut être affectée individuellement pour chaque port et/ou chaque VLAN. Lorsque vous activez Bonjour, le périphérique peut envoyer des paquets de détection Bonjour vers les interfaces dotées d'adresses IP qui ont été associées à Bonjour sur la table de contrôle des interfaces de détection Bonjour. Lorsque le périphérique fonctionne en mode système Couche 3, accédez à Configuration IP > Interfaces de gestion et IP > Interface IPv4 pour configurer une adresse IP sur une interface. Si une interface (un VLAN, par exemple) est supprimée, des paquets Goodbye sont envoyés pour désenregistrer les services annoncés par le périphérique auprès de la table de cache de voisinage sur le réseau local. La table de contrôle des interfaces de détection Bonjour montre les interfaces dont les adresses IP sont associées à la fonction Bonjour. Toute notification Bonjour ne peut être diffusée que vers les interfaces qui sont mentionnées dans cette table. Reportez-vous à la table de contrôle des interfaces de détection Bonjour sur la page Administration > Détection - Bonjour. Si les services disponibles changent, ces modifications sont annoncées, ce qui désenregistre les services désactivés et enregistre les services activés. Si vous modifiez une adresse IP, cette modification est annoncée. Si Bonjour est désactivé, le périphérique n'envoie aucune annonce de détection Bonjour et n'écoute pas les annonces de détection Bonjour envoyées par d'autres périphériques. Pour configurer Bonjour lorsque le périphérique fonctionne en mode système Couche 3 : ÉTAPE 1 Cliquez sur Administration > Détection - Bonjour. ÉTAPE 2 Sélectionnez Activer pour activer globalement la détection Bonjour. ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le fichier de Configuration d'exécution. La table de contrôle des interfaces de détection Bonjour affiche le Nom de l'interface des interfaces sur lesquelles Bonjour est activé, ainsi que leur Adresse IP. ÉTAPE 4 Pour activer Bonjour sur une interface, cliquez sur Ajouter. ÉTAPE 5 Sélectionnez l'interface et cliquez sur Appliquer. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 130 Administration : Détection LLDP et CDP REMARQUE 10 Cliquez sur Supprimer pour désactiver Bonjour sur une interface (le système effectue alors l'opération de suppression sans réaliser d'autres opérations, telles que Appliquer). LLDP et CDP LLDP (Link Layer Discovery Protocol) et CDP (Cisco Discovery Protocol) sont des protocoles de couche de liaison permettant aux voisins LLDP et CDP à connexion directe de s'annoncer et de notifier leurs fonctionnalités. Par défaut, le périphérique envoie régulièrement une annonce LLDP/CDP à toutes ses interfaces, puis traite les paquets LLDP et CDP entrants conformément aux exigences des protocoles. Dans LLDP et CDP, les annonces sont codées en TLV (Type, Longueur, Valeur) dans le paquet. Les remarques de configuration CDP/LLDP suivantes s'appliquent : • CDP/LLDP peut être activé ou désactivé globalement, ou pour chaque port. La fonctionnalité CDP/ LLDP d'un port ne s'applique que si CDP/LLDP est globalement activé. • Si CDP/LLDP est globalement activé, le périphérique élimine les paquets CDP/LLDP entrants provenant des ports où CDP/LLDP est désactivé. • Si CDP/LLDP est globalement désactivé, le périphérique peut être configuré pour ignorer l'inondation tenant compte du VLAN, ou l'inondation ne tenant pas compte du VLAN, de tous les paquets CDP/ LLDP entrants. L'inondation tenant compte du VLAN transmet un paquet CDP/LLDP entrant au VLAN où le paquet est reçu, mais pas au port d'entrée. L'inondation ne tenant pas compte du VLAN transmet un paquet CDP/LLDP entrant à tous les ports, sauf au port d'entrée. Par défaut, le système élimine les paquets CDP/LLDP lorsque CDP/LLDP est désactivé au niveau global. Vous pouvez configurer l'élimination/inondation des paquets CDP et LLDP entrants respectivement sur les pages Propriétés CDP et Propriétés LLDP. • La fonction Port intelligent automatique requiert l'activation de CDP et/ou LLDP. La fonction Port intelligent automatique configure automatiquement une interface basée sur l'annonce CDP/LLDP reçue de l'interface. • Les périphériques d'extrémité CDP et LLDP, tels que les téléphones IP, apprennent la configuration VLAN voix des annonces CDP et LLDP. Par défaut, le périphérique est activé pour envoyer une annonce CDP et LLDP basée sur le VLAN voix qui est configuré sur le périphérique. Pour plus d'informations, reportez-vous à la section VLAN voix. REMARQUE CDP/LLDP ne peut pas détecter si un port se trouve dans un LAG. Si un LAG contient plusieurs ports, CDP/LLDP transmet les paquets sur chaque port sans tenir compte de l'appartenance des ports à un LAG. Le fonctionnement du CDP/LLDP est indépendant de l'état STP d'une interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 131 Administration : Détection Configuration de LLDP 10 Si le contrôle d'accès au port 802.1x est activé sur une interface, le périphérique transmet les paquets CDP/ LLDP à l'interface, et les reçoit de cette dernière, uniquement si l'interface est authentifiée et autorisée. Si un port est la cible de la mise en miroir, CDP/LLDP le considère inactif. REMARQUE CDP et LLDP sont des protocoles de couche de liaison permettant aux périphériques CDP/LLDP à connexion directe de s'annoncer et de notifier mutuellement leurs fonctionnalités. Dans les déploiements où les périphériques prenant en charge CDP/LLDP ne sont pas directement connectés et sont séparés des périphériques ne prenant pas en charge CDP/LLDP, les périphériques prenant en charge CDP/LLDP ne peuvent recevoir l'annonce des autres périphériques que si les périphériques ne prenant pas en charge CDP/LLDP transmettent les paquets CDP/LLDP qu'ils reçoivent. Si les périphériques ne prenant pas en charge CDP/ LLDP effectuent une inondation tenant compte du VLAN, les périphériques prenant en charge CDP/LLDP ne peuvent s'entendre mutuellement que s'ils se trouvent sur le même VLAN. Un périphérique prenant en charge CDP/LLDP peut recevoir une annonce de plusieurs périphériques si les périphériques ne prenant pas en charge CDP/LLDP transmettent les paquets CDP/LLDP. Configuration de LLDP Cette section explique comment configurer LLDP. Elle couvre les rubriques suivantes : • Présentation de LLDP • Propriétés LLDP • Paramètres de port LLDP • LLDP MED Network Policy (stratégie réseau LLDP MED) • Paramètres des ports LLDP MED • État des ports LLDP • Informations locales LLDP • Informations de voisinage LLDP • Statistiques LLDP • Surcharge LLDP Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 132 Administration : Détection Configuration de LLDP 10 Présentation de LLDP Le protocole LLDP permet aux gestionnaires de réseaux d'effectuer des dépannages et d'améliorer la gestion du réseau dans des environnements multifournisseurs. LLDP normalise les méthodes permettant aux périphériques réseau de s'annoncer auprès des autres systèmes et de stocker les informations détectées. LLDP permet à un périphérique d'annoncer son identificateur, sa configuration et ses fonctions auprès de périphériques voisins qui peuvent alors stocker ces données dans un fichier MIB (Management Information Base, base d'informations de gestion). Le système de gestion réseau modélise la topologie du réseau en interrogeant ces bases de données MIB. LLDP est un protocole de couche de liaison. Par défaut, le périphérique arrête et traite tous les paquets LLDP entrants conformément aux exigences du protocole. Le protocole LLDP possède une extension appelée LLDP Media Endpoint Discovery (LLDP MED, détection d'extrémité de média), qui fournit et accepte des informations émanant de périphériques d'extrémité de média, tels que les téléphones VoIP et les téléphones vidéo. Pour plus d'informations sur LLDP-MED, reportez-vous à LLDP MED Network Policy (stratégie réseau LLDP MED). Flux de travail de configuration de LLDP Voici des exemples d'actions qu'il est possible de réaliser avec la fonction LLDP, dans l'ordre suggéré : Pour obtenir des instructions supplémentaires sur la configuration de LLDP, reportez-vous à la section LLDP/CDP. Les pages de configuration de LLDP sont accessibles sous le menu Administration > Détection - LLDP. 1. Saisissez les paramètres globaux LLDP, tels que l'intervalle de temps pour l'envoi des mises à jour LLDP, via la page Propriétés LLDP. 2. Configurez LLDP pour chaque port à l'aide de la page Paramètres des ports. Sur cette page, vous pouvez configurer les interfaces pour recevoir/transmettre des PDU LLDP, envoyer des notifications SNMP, spécifier les TLV à annoncer, mais aussi annoncer l'adresse de gestion du périphérique. 3. Créez des stratégies réseau LLDP MED à l'aide de la page Stratégie réseau LLDP MED. 4. Associez les stratégies réseau LLDP MED et les TLV LLDP-MED facultatives aux interfaces souhaitées, à l'aide de la page Paramètres des ports LLDP-MED. 5. Si la fonction Port intelligent automatique doit détecter les fonctionnalités des périphériques LLDP, activez LLDP sur la page Propriétés des ports intelligents. 6. Affichez les informations de surcharge à l'aide de la page Surcharge LLDP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 133 Administration : Détection Configuration de LLDP 10 Propriétés LLDP La page Propriétés permet de saisir les paramètres LLDP généraux, comme l'activation/la désactivation globale de cette fonction et la définition d'horloges. Pour saisir des propriétés LLDP : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Propriétés. ÉTAPE 2 Saisissez les paramètres. • État LLDP : sélectionnez cette option pour activer LLDP sur le périphérique (activée par défaut). • Traitement des trames LLDP : si LLDP n'est pas activé, sélectionnez l'action à réaliser en cas de réception d'un paquet correspondant aux critères sélectionnés : - Filtrage : supprime le paquet. - Inondation : transfère le paquet à tous les membres du VLAN. • Intervalle d'annonce TLV : définissez, en nombre de secondes, la fréquence d'envoi des mises à jour des annonces LLDP ou utilisez la valeur par défaut. • Intervalle de notification SNMP de changement de topologie : saisissez le délai minimal entre deux notifications SNMP. • Multiplicateur de conservation : saisissez la durée de conservation des paquets LLDP avant leur élimination, en multiples de l'intervalle d'annonce TLV. Par exemple, si l'intervalle d'annonce TLV est de 30 secondes et que le multiplicateur de conservation (Hold Multiplier) est 4, les paquets LLDP seront supprimés après 120 secondes. • Délai de réinitialisation : saisissez l'intervalle en secondes qui sépare la désactivation et la réactivation de LLDP, suite à un cycle d'activation ou de désactivation de LLDP. • Délai de transmission : saisissez le délai en secondes qui séparera deux transmissions de trames LLDP successives en cas de modification dans la MIB de systèmes locaux LLDP. • Notification d'ID de châssis : sélectionnez l'une des options suivantes pour une notification dans les messages LLDP : - Adresse MAC : spécifiez l'adresse MAC du périphérique. - Nom d'hôte : spécifiez le nom d'hôte de ce périphérique. ÉTAPE 3 Dans le champ Nombre de répétitions pour le démarrage rapide, saisissez le nombre d'envois de paquets LLDP lors de l'initialisation du mécanisme de démarrage rapide LLDP MED. Cela se produit lorsqu'un nouveau périphérique d'extrémité établit une liaison au périphérique. Pour consulter la description de LLDP MED, reportez-vous à la section Stratégie réseau LLDP MED. ÉTAPE 4 Cliquez sur Apply. Les propriétés LLDP sont ajoutées au fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 134 Administration : Détection Configuration de LLDP 10 Paramètres de port LLDP La page Paramètres des ports vous permet d'activer LLDP et la notification SNMP pour chaque port, et de saisir les TLV envoyées dans la PDU LLDP. Vous pouvez sélectionner les TLV LLDP-MED à annoncer sur la page Paramètres des ports LLDP-MED et configurer la TLV d'adresse de gestion du périphérique. Pour définir les paramètres des ports LLDP : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Paramètres des ports. Cette page affiche les informations LLDP des ports. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. Cette page contient les champs suivants : • Interface : sélectionnez le port à modifier. • Administrative Status : sélectionnez l'option de publication LLDP pour le port. Les valeurs disponibles sont les suivantes : • - Émission uniquement : publication uniquement, pas de détection. - Rx Only : détection uniquement, pas de publication. - Tx & Rx : publication et détection. - Désactiver : indique que LLDP est désactivé sur le port. Notification SNMP : sélectionnez Activer pour envoyer des notifications aux destinataires de notifications SNMP (système de gestion SNMP, par exemple) en cas de modification de la topologie. L'intervalle entre deux notifications est défini dans le champ Intervalle de notification SNMP de changement de topologie de la page Propriétés LLDP. Définissez les destinataires des notifications SNMP à l'aide de la page SNMP > Destinataire de notification v1,2 et/ou SNMP > Destinataire de notification v3. • TLV facultatives sélectionnées : sélectionnez les informations que le périphérique doit publier en déplaçant la TLV voulue depuis la liste TLV facultatives disponibles. Les TLV disponibles contiennent les informations suivantes : - Description du port : informations sur le port, notamment son fabricant, son nom de produit et la version du matériel/logiciel. - Nom du système : nom attribué au système, au format alphanumérique. Cette valeur est identique à l'objet sysName. - Description du système : description de l'entité réseau, au format alphanumérique. Inclut le nom du système et la version du matériel, le système d'exploitation et les logiciels réseau pris en charge par le périphérique. Cette valeur est identique à l'objet sysDescr. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 135 Administration : Détection Configuration de LLDP 10 - Fonctionnalités du système : fonctions principales du périphérique. L'écran indique aussi si ces fonctions sont activées sur le périphérique. Les fonctionnalités sont indiquées par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur, Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et Station. Les bits 8 à 15 sont réservés. - 802.3 MAC-PHY : fonction duplex et débit, avec les paramètres duplex et de débit actuels du périphérique d'envoi. L'écran indique également si les paramètres actuels sont obtenus par négociation automatique ou par configuration manuelle. - 802.3 Link Aggregation : indique s'il est possible d'agréger la liaison (associée au port sur lequel la PDU LLDP est transmise). L'écran indique également si la liaison est actuellement agrégée et, le cas échéant, précise l'ID du port agrégé. - 802.3 Maximum Frame Size : capacité de taille maximale de trame de l'implémentation MAC/PHY. TLV facultative d'adresse de gestion : • • Mode d'annonce : sélectionnez l'une des méthodes suivantes pour l'annonce de l'adresse IP de gestion au périphérique : - Annonce automatique : spécifie que le logiciel choisit automatiquement une adresse de gestion à annoncer parmi toutes les adresses IP du périphérique. En cas d'adresses IP multiples, le logiciel choisit l'adresse IP la plus basse parmi les adresses IP dynamiques. S'il n'y a pas d'adresses dynamiques, le logiciel choisit l'adresse IP la plus basse parmi les adresses IP statiques. - Aucune : aucune annonce de l'adresse IP de gestion. - Annonce manuelle : sélectionnez cette option et l'adresse IP de gestion à annoncer. Il est recommandé de choisir cette option lorsque le périphérique fonctionne en mode système Couche 3 et qu'il est configuré avec plusieurs adresses IP (toujours vrai avec les périphériques SG500X/ESW2-550X). Adresse IP : si vous avez sélectionné Annonce manuelle, sélectionnez l'adresse de gestion voulue dans la liste d'adresses IP fournie. Les champs suivants concernent VLAN et protocole 802.1 : • PVID : sélectionnez cette option pour annoncer le PVID dans la TLV. • ID VLAN de port et de protocole : sélectionnez ces options pour annoncer l'ID VLAN de port et de protocole. Ils sont définis sur la page VLAN basés sur protocole. • ID VLAN : sélectionnez les VLAN qui feront l'objet d'une annonce. • ID de protocole : sélectionnez les protocoles qui feront l'objet d'une annonce. • ID des protocoles sélectionnés : affiche les protocoles sélectionnés. ÉTAPE 3 Saisissez les informations voulues et cliquez sur Appliquer. Les paramètres des ports sont écrits dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 136 Administration : Détection Configuration de LLDP 10 LLDP MED Network Policy (stratégie réseau LLDP MED) LLDP Media Endpoint Discovery (LLDP MED) est une extension de LLDP qui fournit les fonctionnalités supplémentaires suivantes pour la prise en charge des périphériques d'extrémité de média. • Permet l'annonce et la découverte des stratégies réseau pour les applications en temps réel telles que la voix et/ou la vidéo. • Elle détecte l'emplacement des périphériques afin de permettre la création de bases de données d'emplacements. Dans le cas du protocole VoIP (voix sur IP), elle permet également l'accès aux services d'urgence (E-911 aux États-Unis) à l'aide des informations de géolocalisation du téléphone IP. • Informations de dépannage. LLDP MED envoie des alertes aux gestionnaires de réseaux concernant les éléments ci-dessous : - Conflits de débit de port et de mode duplex - Erreurs de configuration des stratégies QoS Configuration d'une stratégie réseau LLDP MED Une stratégie réseau LLDP MED est un ensemble de paramètres de configuration apparentés, destiné à une application en temps réel, telle que la voix ou la vidéo. Une stratégie réseau (si elle est configurée) est incluse dans les paquets LLDP sortants qui sont envoyés vers le périphérique d'extrémité de média LLDP associé. Le périphérique d'extrémité de média doit envoyer son trafic comme spécifié dans la stratégie réseau qu'il reçoit. Par exemple, vous pouvez créer une stratégie pour le trafic VoIP qui demande au téléphone VoIP d'effectuer les tâches suivantes : • Envoyer du trafic voix sur le VLAN 10 en tant que paquet balisé et avec 802.1p priorité 5 • Envoyer du trafic voix avec DSCP 46 Vous pouvez associer des stratégies réseau à des ports à l'aide de la page Paramètres des ports LLDPMED. Un administrateur peut configurer manuellement une ou plusieurs stratégies réseau, ainsi que les interfaces où les stratégies doivent être envoyées. Il est de la responsabilité de l'administrateur de créer manuellement les VLAN et leurs appartenances de port conformément aux stratégies réseau et à leurs interfaces associées. En outre, l'administrateur peut demander au périphérique de générer et d'annoncer automatiquement une stratégie réseau pour l'application vocale qui est basée sur le VLAN voix géré par le périphérique. Pour plus d'informations sur la façon dont le périphérique gère son VLAN voix, reportez-vous à la section VLAN voix automatique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 137 Administration : Détection Configuration de LLDP 10 Pour définir une stratégie réseau LLDP MED : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Stratégie réseau LLDP MED. Cette page contient les stratégies réseau précédemment créées. ÉTAPE 2 Sélectionnez Auto pour la stratégie réseau LLDP MED de l'application vocale si le périphérique doit générer et annoncer automatiquement une stratégie réseau pour l'application vocale qui est basée sur le VLAN voix géré par le périphérique. REMARQUE Si cette case est cochée, vous ne pouvez pas configurer manuellement une stratégie réseau de voix. ÉTAPE 3 Cliquez sur Appliquer pour ajouter ce paramètre au fichier de Configuration d'exécution. ÉTAPE 4 Pour définir une nouvelle stratégie, cliquez sur Ajouter. ÉTAPE 5 Saisissez les valeurs appropriées : • Network Policy Number : sélectionnez le numéro de la stratégie à créer. • Application : sélectionnez le type d'application (type de trafic) pour lequel vous définissez la stratégie réseau. • ID VLAN : saisissez l'ID du VLAN auquel le trafic doit être envoyé. • Type VLAN : indiquez si le trafic doit être balisé ou non. • User Priority : sélectionnez le niveau de priorité qui sera accordé au trafic défini par cette stratégie réseau. Il s'agit de la valeur CoS. • DSCP Value : sélectionnez la valeur DSCP à associer aux données d'application envoyées par les voisins. Cela leur indique la façon dont ils doivent marquer le trafic d'application qu'ils envoient au périphérique. ÉTAPE 6 Cliquez sur Apply. La stratégie réseau est définie. REMARQUE Vous devez configurer manuellement les interfaces, afin d'inclure les stratégies réseau définies manuellement pour les paquets LLDP sortants, via la page Paramètres des ports LLDP-MED. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 138 Administration : Détection Configuration de LLDP 10 Paramètres des ports LLDP MED La page Paramètres des ports LLDP-MED permet de sélectionner les TLV LLDP-MED et/ou les stratégies réseau à inclure dans l'annonce LLDP sortante pour les interfaces souhaitées. Vous pouvez configurer les stratégies réseau sur la page Stratégie réseau LLDP MED. REMARQUE Si la stratégie réseau LLDP-MED pour l'application vocale (page Stratégie réseau LLDP MED) est Automatique et que le VLAN voix automatique fonctionne, le périphérique génère automatiquement une stratégie réseau LLDP MED pour l'application vocale, pour tous les ports qui sont activés pour LLDP-MED et membres du VLAN voix. Pour configurer LLDP MED sur chaque port : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Paramètres des ports LLDP MED. Cette page affiche les paramètres LLDP MED suivants pour tous les ports (seuls les champs qui ne sont pas décrits sur la page Modifier sont répertoriés) : • Lieu : indique si la TLV de lieu est transmise. • PoE : indique si la TLV POE-PSE est transmise. • Inventaire : indique si la TLV d'inventaire est transmise. ÉTAPE 2 Le message affiché en haut de la page indique si la génération de la stratégie réseau LLDP MED pour l'application vocale est automatique (reportez-vous à Présentation de LLDP). Cliquez sur le lien pour changer de mode. ÉTAPE 3 Pour associer une TLV LLDP MED supplémentaire et/ou une ou plusieurs stratégies réseau LLDP MED définies par l'utilisateur à un port, sélectionnez-la, puis cliquez sur Modifier. ÉTAPE 4 Configurez les paramètres suivants : • Interface : sélectionnez l'interface à configurer. • État LLDP MED : activez/désactivez LLDP MED sur ce port. • Notification SNMP : indiquez si la notification SNMP doit être envoyée, port par port, lorsqu'une station de travail prenant en charge MED est détectée (un système de gestion SNMP, par exemple), lors d'un changement de topologie. • TLV facultatives sélectionnées : sélectionnez les TLV que le périphérique peut publier en les déplaçant de la liste TLV facultatives disponibles vers la liste TLV facultatives sélectionnées. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 139 Administration : Détection Configuration de LLDP • 10 Stratégies réseau disponibles : sélectionnez les stratégies LLPD MED que LLDP va publier en les déplaçant de la liste Stratégies réseau disponibles vers la liste Stratégies réseau sélectionnées. Elles ont été créées sur la page Stratégie réseau LLDP MED. Pour inclure une ou plusieurs stratégies réseau définies par l'utilisateur dans l'annonce, vous devez aussi sélectionner Stratégie réseau dans les TLV facultatives disponibles. REMARQUE Vous devez remplir les champs suivants, au format hexadécimal, en respectant exactement le format de données défini dans la norme LLDP MED (ANSI-TIA-1057_final_for_publication.pdf) : - Location Coordinate : saisissez les coordonnées de l'emplacement que LLDP devra publier. - Adresse physique de l'emplacement : saisissez l'adresse de l'emplacement que LLDP devra publier. - Emplacement ECS ELIN : saisissez l'emplacement ECS (Emergency Call Service, service d'appel d'urgence) ELIN que LLDP devra publier. ÉTAPE 5 Cliquez sur Apply. Les paramètres des ports LLDP MED sont écrits dans le fichier de Configuration d'exécution. État des ports LLDP La page Table d'état des ports LLDP contient des informations globales LLDP pour chaque port. ÉTAPE 1 Pour afficher l'état des ports LLDP, cliquez sur Administration > Détection - LLDP > État des ports LLDP. ÉTAPE 2 Cliquez sur Détails sur les informations locales LLDP pour consulter le détail des TLV LLDP et LLDP MED envoyées au voisin. ÉTAPE 3 Cliquez sur Détails des informations du voisin LLDP pour consulter le détail des TLV LLDP et LLDP MED reçues du voisin. Informations globales d'état des ports LLDP • Chassis ID Subtype : type d'ID de châssis (adresse MAC, par exemple). • Chassis ID : identificateur du châssis. Si vous avez choisi l'adresse MAC comme sous-type d'ID de châssis, l'adresse MAC du périphérique s'affiche. • Nom du système : nom du périphérique. • Description du système : description du périphérique, au format alphanumérique. • Supported System Capabilities : fonctions principales du périphérique telles que Bridge (pont), WLAN AP (point d'accès WLAN) ou Router (routeur). • Fonctionnalités système activées : fonctions principales activées sur le périphérique. • Port ID Subtype : type d'ID de port affiché. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 140 Administration : Détection Configuration de LLDP 10 Table d'état des ports LLDP • Interface : identificateur de port. • LLDP Status : option de publication LLDP. • État LLDP MED : indique si la fonction est activée ou désactivée. • PoE local : informations PoE locales annoncées. • PoE distant : informations PoE annoncées par le voisin. • # of neighbors : nombre de voisins détectés. • Fonctionnalités de voisinage du 1er périphérique : affiche les fonctions principales du voisin ; par exemple : pont ou routeur. Informations locales LLDP Pour afficher l'état LLDP de port local annoncé sur un port : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Informations locales LLDP. ÉTAPE 2 Sélectionnez l'interface pour laquelle les informations locales LLDP doivent être affichées. Cette page contient les champs suivants pour l'interface sélectionnée : Global • Sous-type de l'ID du châssis : type d'ID de châssis (adresse MAC, par exemple). • Chassis ID : identificateur du châssis. Si vous avez choisi l'adresse MAC comme sous-type d'ID de châssis, l'adresse MAC du périphérique s'affiche. • Nom du système : nom du périphérique. • Description du système : description du périphérique, au format alphanumérique. • Supported System Capabilities : fonctions principales du périphérique telles que Bridge (pont), WLAN AP (point d'accès WLAN) ou Router (routeur). • Fonctionnalités système activées : fonctions principales activées sur le périphérique. • Port ID Subtype : type d'ID de port affiché. • Port ID : identificateur du port. • Description du port : informations sur le port, notamment son fabricant, son nom de produit et la version du matériel/logiciel. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 141 Administration : Détection Configuration de LLDP 10 Management Address (adresse de gestion) Affiche la table d'adresses de l'agent LLDP local. D'autres gestionnaires distants peuvent utiliser cette adresse pour obtenir des informations sur le périphérique local. Cette adresse est constituée des éléments suivants : • Sous-type de l'adresse : type de l'adresse IP de gestion affichée dans le champ Adresse de gestion. Par exemple, IPv4. • Adresse : adresse renvoyée qui convient le mieux pour la gestion,généralement, une adresse Couche 3. • Interface Subtype : méthode de numérotation servant à définir le numéro de l'interface. • Numéro de l'interface : interface spécifique associée à cette adresse de gestion. MAC/PHY Details (informations MAC/PHY) • Auto-Negotiation Supported : état de prise en charge de la négociation automatique du débit de port. • Auto-Negotiation Enabled : état d'activation de la négociation automatique du débit de port. • Fonctionnalités annoncées de négociation automatique : fonctions de négociation automatique du débit de port. Exemples : mode half-duplex 1000BASE-T ou mode full duplex 100BASE-TX. • Operational MAU Type : type de MAU (unité de raccordement de supports). La MAU gère les fonctions de couche physique, notamment la conversion des données numériques à partir de la détection de collision des interfaces Ethernet et l'injection de bits dans le réseau. Exemple : mode full duplex 100BASE-TX. 802.3 Details (informations relatives à 802.3) • 802.3 Maximum Frame Size : taille maximale de trame IEEE 802.3 prise en charge. 802.3 Link Aggregation (agrégation de liaisons 802.3) • Aggregation Capability : indique si l'interface peut faire l'objet d'une agrégation. • Aggregation Status : indique si l'interface est agrégée. • ID du port d'agrégation : ID d'interface agrégée annoncé. 802.3 Energy Efficient Ethernet (EEE) (si le périphérique prend en charge EEE) • Émission locale : durée (en microsecondes) pendant laquelle le partenaire de liaison effectuant la transmission attend avant de commencer la transmission des données après avoir quitté le mode LPI (Low Power Idle). • Réception locale : durée (en microsecondes) pendant laquelle le partenaire de liaison effectuant la réception demande au partenaire de liaison effectuant la transmission d'attendre avant de transmettre les données après avoir quitté le mode LPI (Low Power Idle). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 142 Administration : Détection Configuration de LLDP 10 • Écho d'émission à distance : indique la réflexion du partenaire de liaison locale pour la valeur d'émission du partenaire de liaison distante. • Écho de réception à distance : indique la réflexion du partenaire de liaison locale pour la valeur de réception du partenaire de liaison distante. MED Details (informations MED) • Capabilities Supported : fonctions MED prises en charge sur le port. • Current Capabilities : fonctions MED activées sur le port. • Classe de périphérique : classe du périphérique d'extrémité LLDP MED. Les classes disponibles sont les suivantes : - Classe d'extrémité1 : classe d'extrémité générique offrant des services LLDP de base. - Classe d'extrémité 2 : classe d'extrémité de média offrant des services de lecture multimédia en continu, en plus des services de classe1. - Classe d'extrémité 3 : classe de périphérique de communications offrant tous les services de classe 1 et de classe 2 ainsi que des fonctions de reconnaissance de l'emplacement, d'appel d'urgence, de prise en charge des périphériques de Couche 2 et de gestion des informations de périphérique. • Type de périphérique PoE : type PoE du port. Exemple : alimenté. • Source d'alimentation PoE : source d'alimentation du port. • Priorité d'alimentation PoE : priorité d'alimentation du port. • Valeur d'alimentation PoE : valeur d'alimentation du port. • Hardware Revision : version du matériel. • Firmware Revision : version du microprogramme. • Software Revision : version du logiciel. • Serial Number : numéro de série du périphérique. • Manufacturer Name : nom du fabricant du périphérique. • Model Name : nom du modèle de périphérique. • Asset ID : ID de la ressource. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 143 Administration : Détection Configuration de LLDP 10 Location Information (informations sur l'emplacement) • Physique : adresse postale. • Coordinates : coordonnées géographiques : latitude, longitude et altitude. • ECS ELIN : numéro ELIN (Emergency Location Identification Number, numéro d'identification de l'emplacement en cas d'urgence) pour l'ECS (Emergency Call Service, service d'appel d'urgence). Network Policy Table (table des stratégies réseau) • Type d'application : type d'application de la stratégie réseau. Exemple : Voix. • VLAN ID : ID du VLAN pour lequel la stratégie réseau est définie. • VLAN Type : type de VLAN pour lequel la stratégie réseau est définie. Ce champ peut prendre les valeurs suivantes : - Tagged : indique que la stratégie réseau est définie pour les VLAN balisés. - Untagged : indique que la stratégie réseau est définie pour les VLAN non balisés. • User Priority : priorité d'utilisateur de la stratégie réseau. • DSCP : DSCP de la stratégie réseau. ÉTAPE 3 En bas de la page, cliquez sur Table d'état des ports LLDP pour voir les détails dans la Table d'état des ports LLDP. Informations de voisinage LLDP La page Informations de voisinage LLDP contient les informations reçues des périphériques voisins. Après une temporisation (basée sur la valeur reçue du paramètre de durée de vie du voisin, durée au cours de laquelle aucune PDU LLDP n'a été reçue d'un voisin), les informations sont supprimées. Pour afficher les informations LLDP des voisins : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Informations de voisinage LLDP. ÉTAPE 2 Sélectionnez l'interface pour laquelle les informations de voisinage LLDP doivent être affichées. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 144 Administration : Détection Configuration de LLDP 10 Cette page contient les champs suivants pour l'interface sélectionnée : • Local Port : numéro du port local auquel le voisin est connecté. • Chassis ID Subtype : type d'ID de châssis (adresse MAC, par exemple). • Chassis ID : identificateur du châssis du périphérique de voisinage réseau (LAN) 802. • Port ID Subtype : type d'ID de port affiché. • Port ID : identificateur du port. • Nom du système : nom publié du périphérique. • Time to Live : durée en secondes à l'issue de laquelle les informations concernant ce voisin sont supprimées. ÉTAPE 3 Sélectionnez un port local puis cliquez sur Détails. La page Informations de voisinage LLDP comporte les champs suivants : Détails du port • Port local : numéro du port. • Entrée MSAP : numéro d'entrée MSAP (Media Service Access Point, point d'accès de service multimédia) du périphérique. Détails de base • Chassis ID Subtype : type d'ID de châssis (adresse MAC, par exemple). • ID du châssis : identificateur du châssis du périphérique de voisinage réseau (LAN) 802. • Port ID Subtype : type d'ID de port affiché. • Port ID : identificateur du port. • Description du port : informations sur le port, notamment son fabricant, son nom de produit et la version du matériel/logiciel. • Nom du système : nom du système publié. • Description du système : description de l'entité réseau, au format alphanumérique. Inclut le nom du système et la version du matériel, le système d'exploitation et les logiciels réseau pris en charge par le périphérique. Cette valeur est identique à l'objet sysDescr. • Fonctionnalités système prises en charge : fonctions principales du périphérique. Les fonctionnalités sont indiquées par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur, Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et Station. Les bits 8 à 15 sont réservés. • Fonctionnalités système activées : fonctions principales activées sur le périphérique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 145 Administration : Détection Configuration de LLDP 10 Table des adresses de gestion • Sous-type de l'adresse : sous-type d'adresse gérée. Exemple : MAC ou IPv4. • Adresse : adresse gérée. • Sous-type de l'interface : sous-type de port. • Numéro de l'interface : numéro de port. MAC/PHY Details (informations MAC/PHY) • Auto-Negotiation Supported : état de prise en charge de la négociation automatique du débit de port. Les valeurs admises sont Vrai et Faux. • Auto-Negotiation Enabled : état d'activation de la négociation automatique du débit de port. Les valeurs admises sont Vrai et Faux. • Fonctionnalités annoncées de négociation automatique : fonctions de négociation automatique du débit de port. Exemples : mode half-duplex 1000BASE-T ou mode full duplex 100BASE-TX. • Operational MAU Type : type de MAU (unité de raccordement de supports). La MAU gère les fonctions de couche physique, notamment la conversion des données numériques à partir de la détection de collision des interfaces Ethernet et l'injection de bits dans le réseau. Exemple : mode full duplex 100BASE-TX. Alimentation 802.3 via MDI • Classe de port de prise en charge de l'alimentation MDI : classe de port annoncée pour la prise en charge de l'alimentation. • Prise en charge de l'alimentation MDI PSE : indique si l'alimentation MDI est prise en charge sur le port. • État de l'alimentation MDI PSE : indique si l'alimentation MDI est activée sur le port. • Capacité de contrôle des paires d'alimentation PSE : indique si le contrôle des paires d'alimentation est pris en charge sur le port. • Paire d'alimentation PSE : type de contrôle des paires d'alimentation pris en charge sur le port. • Classe d'alimentation PSE : classe de port annoncée pour l'alimentation. 802.3 Details (informations relatives à 802.3) • Taille de trame maximale 802.3 : taille maximale de trame annoncée comme possible sur le port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 146 Administration : Détection Configuration de LLDP 10 802.3 Link Aggregation (agrégation de liaisons 802.3) • Capacité d'agrégation : indique si le port peut faire l'objet d'une agrégation. • État de l'agrégation : indique si le port est actuellement agrégé. • ID du port d'agrégation : ID du port agrégé annoncé. 802.3 Energy Efficient Ethernet (EEE) • Émission à distance : durée (en microsecondes) pendant laquelle le partenaire de liaison effectuant la transmission attend avant de commencer la transmission des données après avoir quitté le mode LPI (Low Power Idle). • Réception à distance : durée (en microsecondes) pendant laquelle le partenaire de liaison effectuant la réception demande au partenaire de liaison effectuant la transmission d'attendre avant de transmettre les données après avoir quitté le mode LPI (Low Power Idle). • Écho d'émission local : indique la réflexion du partenaire de liaison locale pour la valeur d'émission du partenaire de liaison distante. • Écho de réception local : indique la réflexion du partenaire de liaison locale pour la valeur de réception du partenaire de liaison distante. MED Details (informations MED) • Fonctionnalités prises en charge : fonctions MED activées sur le port. • Fonctionnalités actuelles : TLV MED annoncées par le port. • Classe de périphérique : classe du périphérique d'extrémité LLDP MED. Les classes disponibles sont les suivantes : - Classe de point de terminaison 1 : indique une classe de point de terminaison générique offrant des services LLDP de base. - Classe de point de terminaison 2 : indique une classe de point de terminaison de média offrant des services de lecture multimédia en continu, en plus des services de classe1. - Classe de point de terminaison 3 : indique une classe de périphérique de communications offrant tous les services de classe 1 et de classe 2, ainsi que des fonctions de reconnaissance de l'emplacement, d'appel d'urgence, de prise en charge des commutateurs Layer 2 et de gestion des informations de périphérique. • Type de périphérique PoE : type PoE du port. Exemple : alimenté. • Source d'alimentation PoE : source d'alimentation du port. • Priorité d'alimentation PoE : priorité d'alimentation du port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 147 Administration : Détection Configuration de LLDP • Valeur d'alimentation PoE : valeur d'alimentation du port. • Révision du matériel : version du matériel. • Firmware Revision : version du microprogramme. • Software Revision : version du logiciel. • Serial Number : numéro de série du périphérique. • Manufacturer Name : nom du fabricant du périphérique. • Model Name : nom du modèle de périphérique. • Asset ID : ID de la ressource. 10 VLAN et protocole 802.1 • PVID : ID VLAN annoncé pour le port. PPVID Table PPVID • VID : ID VLAN du protocole. • Pris en charge : ID VLAN de port et de protocole pris en charge. • Activés : ID VLAN de port et de protocole activés. ID VLAN Table des ID VLAN • VID : ID VLAN du port et du protocole. • Nom du VLAN : noms des VLAN annoncés. ID de protocole • ID du protocole : ID de protocole annoncés. Location Information (informations sur l'emplacement) Saisissez les structures de données suivantes au format hexadécimal, conformément à la section 10.2.4 de la norme ANSI-TIA-1057 : • Physique : adresse physique ou postale. • Coordonnées : coordonnées géographiques de l'emplacement : latitude, longitude et altitude. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 148 Administration : Détection Configuration de LLDP 10 • ECS ELIN : numéro ELIN (Emergency Location Identification Number, numéro d'identification de l'emplacement en cas d'urgence) du périphérique pour l'ECS (Emergency Call Service, service d'appel d'urgence). • Inconnu : informations d'emplacement inconnues. Stratégies réseau Network Policy Table (table des stratégies réseau) • Type d'application : type d'application de la stratégie réseau. Exemple : Voix. • VLAN ID : ID du VLAN pour lequel la stratégie réseau est définie. • Type VLAN : type de VLAN pour lequel la stratégie réseau est définie, à savoir avec ou sans balise. • User Priority : priorité d'utilisateur de la stratégie réseau. • DSCP : DSCP de la stratégie réseau. ÉTAPE 4 Sélectionnez un port et cliquez sur Table d'état des ports LLDP pour voir les détails dans la Table d'état des ports LLDP. Statistiques LLDP La page Statistiques LLDP affiche des informations statistiques concernant LLDP pour chaque port. Pour afficher les statistiques LLDP : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Statistiques LLDP. Pour chaque port, les champs suivants sont affichés : • Interface : identificateur d'interface. • Trames émises (total) : nombre de trames transmises. • Trames reçues - Total : nombre des trames reçues. - Éliminé : nombre des trames reçues qui ont été éliminées. - Erreurs : nombre total des trames reçues comportant des erreurs. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 149 Administration : Détection Configuration de LLDP • • 10 TLV reçues - Éliminé : nombre total de TLV reçues qui ont été éliminées. - Non reconnu : nombre total de TLV reçues non reconnues. Nombre de suppressions d'informations du voisin : nombre d'expirations du délai maximal du voisin sur l'interface. ÉTAPE 2 Cliquez sur Actualiser pour afficher les statistiques les plus récentes. Surcharge LLDP LLDP ajoute des informations telles que des TLV LLDP et LLDP MED dans les paquets LLDP. La surcharge LLDP se produit lorsque la quantité totale d'informations à inclure dans un paquet LLDP dépasse la taille PDU maximale prise en charge par une interface. La page Surcharge LLDP affiche le nombre d'octets d'informations LLDP/LLDP-MED, le nombre d'octets disponibles pour les informations LLDP supplémentaires, ainsi que l'état de surcharge de chaque interface. Pour afficher les informations de surcharge LLDP : ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Surcharge LLDP. Cette page contient les champs suivants, pour chaque port : • Interface : identificateur de port. • Octets totaux utilisés : nombre total d'octets d'informations LLDP dans chaque paquet. • Available Bytes Left : nombre total d'octets disponibles restants pour des informations LLDP supplémentaires dans chaque paquet. • État : indique si des TLV sont en cours de transmission ou si une surcharge est intervenue. ÉTAPE 2 Pour afficher les détails de surcharge d'un port, sélectionnez-le et cliquez sur Détails. Cette page contient les informations suivantes pour chaque TLV envoyée sur le port : • LLDP Mandatory TLVs (TLV LLDP obligatoires) - Taille (octets) : taille totale des TLV obligatoires, en octets. - État : indique si un groupe de TLV obligatoires est en cours de transmission ou si une surcharge est intervenue. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 150 Administration : Détection Configuration de LLDP • • • 10 LLDP MED Capabilities (fonctionnalités LLDP MED) - Taille (octets) : taille totale des paquets de fonctionnalités LLDP MED, en octets. - État : indique si les paquets de fonctionnalités LLDP MED ont été envoyés ou si une surcharge est intervenue. LLDP MED Location (emplacement LLDP MED) - Taille (octets) : taille totale des paquets d'emplacement LLDP MED, en octets. - État : indique si les paquets d'emplacement LLDP MED ont été envoyés ou si une surcharge est intervenue. LLDP MED Network Policy (stratégie réseau LLDP MED) - Taille (octets) : taille totale des paquets de stratégie réseau LLDP MED, en octets. - État : indique si les paquets de stratégie réseau LLDP MED ont été envoyés ou si une surcharge est intervenue. • Alimentation LLDP MED étendue via MDI - Taille (octets) : taille totale des paquets d'alimentation LLDP MED étendue via MDI, en octets. - État : indique si les paquets d'alimentation LLDP MED étendue via MDI ont été envoyés ou si une surcharge est intervenue. • • • 802.3 TLVs (TLV 802.1) - Taille (octets) : taille totale des paquets de TLV 802.3 LLDP MED, en octets. - État : indique si les paquets de TLV 802.3 LLDP MED ont été envoyés ou si une surcharge est intervenue. LLDP Optional TLVs (TLV LLDP facultatives) - Taille (octets) : taille totale des paquets de TLV LLDP MED facultatives, en octets. - État : indique si les paquets de TLV LLDP MED facultatives ont été envoyés ou si une surcharge est intervenue. LLDP MED Inventory (inventaire LLDP MED) - Taille (octets) : taille totale des paquets de TLV d'inventaire LLDP MED, en octets. - État : indique si les paquets de TLV d'inventaire LLDP MED ont été envoyés ou si une surcharge est intervenue. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 151 Administration : Détection Configuration de CDP • 10 Total - Total (octets) : nombre total d'octets d'informations LLDP dans chaque paquet. - Octets restants disponibles : nombre total d'octets disponibles restants pour envoyer des informations LLDP supplémentaires dans chaque paquet. Configuration de CDP Cette section explique comment configurer CDP. Elle couvre les rubriques suivantes : • Propriétés CDP • Paramètres d'interface CDP • Informations locales CDP • Informations de voisinage CDP • Statistiques CDP Propriétés CDP Comme LLDP, CDP (Cisco Discovery Protocol) est un protocole de couche de liaison permettant aux voisins à connexion directe de s'annoncer et de notifier mutuellement leurs fonctionnalités. Contrairement à LLDP, CDP est un protocole appartenant à Cisco. Flux de travail de configuration de CDP Vous trouverez ci-après un exemple de workflow pour la configuration de CDP sur le périphérique. Vous trouverez également des instructions de configuration de CDP supplémentaires à la section LLDP/CDP. ÉTAPE 1 Entrez les paramètres globaux CDP sur la page Propriétés CDP. ÉTAPE 2 Configurez CDP sur chaque interface via la page Paramètres d'interface. ÉTAPE 3 Si la fonction Port intelligent automatique est utilisée pour détecter les fonctionnalités des périphériques CDP, activez CDP sur la page Propriétés des ports intelligents. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 152 Administration : Détection Configuration de CDP 10 Reportez-vous à Identification du Type de port intelligent afin d'obtenir une description de la façon dont CDP est utilisé pour identifier les périphériques pour la fonction Port intelligent. Pour saisir les paramètres généraux CDP : ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Propriétés. ÉTAPE 2 Saisissez les paramètres. • État CDP : sélectionnez cette option pour activer CDP sur le périphérique. • Traitement des trames CDP : si CDP n'est pas activé, sélectionnez l'action à réaliser en cas de réception d'un paquet correspondant aux critères sélectionnés : - Pontage : transfère le paquet basé sur le VLAN. - Filtrage : supprime le paquet. - Inondation : inondation ne tenant pas compte du VLAN qui transmet les paquets CDP entrants à tous les ports, sauf aux ports d'entrée. • Annonce VLAN voix CDP : sélectionnez cette option pour permettre au périphérique d'annoncer le VLAN voix dans CDP sur tous les ports activés pour CDP et membres du VLAN voix. Vous pouvez configurer le VLAN voix sur la page Propriétés du VLAN voix. • Validation CDP des TLV obligatoires : si cette option est sélectionnée, les paquets CDP entrants qui ne contiennent pas de TLV obligatoires sont éliminés et le compteur d'erreurs non valides est incrémenté. • CDP Version : sélectionnez la version du protocole CDP à utiliser. • Délai d'attente CDP : durée de conservation des paquets CDP avant leur élimination, en multiples de l'intervalle d'annonce TLV. Par exemple, si l'intervalle d'annonce TLV est de 30 secondes et que le multiplicateur de conservation (Hold Multiplier) est 4, les paquets LLDP seront supprimés après 120 secondes. Les options suivantes sont disponibles : • - Valeurs par défaut : utilisez la durée par défaut (180 secondes). - Défini par l'utilisateur : saisissez la durée en secondes. Niveau de transmission CDP : fréquence (en secondes) d'envoi des mises à jour d'annonces CDP. Les options suivantes sont disponibles : - Valeurs par défaut : utilisez la fréquence par défaut (60 secondes). - Défini par l'utilisateur : saisissez la fréquence en secondes. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 153 Administration : Détection Configuration de CDP • • 10 Format d'ID de périphérique : sélectionnez le format de l'ID de périphérique (adresse MAC ou numéro de série). Les options suivantes sont disponibles : - Adresse MAC : utilisez l'adresse MAC du périphérique comme ID de périphérique. - Numéro de série : utilisez le numéro de série du périphérique comme ID de périphérique. - Nom d'hôte : utilisez le nom d'hôte du périphérique comme ID de périphérique. Interface source : adresse IP à utiliser dans la TLV des trames. Les options suivantes sont disponibles : - Valeurs par défaut : utilisez l'adresse IP de l'interface sortante. - Défini par l'utilisateur : utilisez l'adresse IP de l'interface (dans le champ Interface) dans la TLV d'adresse. • Interface : si vous avez sélectionné Défini par l'utilisateur pour Interface source, sélectionnez l'interface. • Non-concordance VLAN voix Syslog : cochez cette option pour envoyer un message SYSLOG lorsqu'une non-concordance VLAN voix est détectée. Cela signifie que les informations de VLAN voix dans la trame entrante ne correspondent pas à ce qu'indique le périphérique local. • Non-concordance VLAN natif Syslog : cochez cette option pour envoyer un message SYSLOG lorsqu'une non-concordance VLAN natif est détectée. Cela signifie que les informations de VLAN natif dans la trame entrante ne correspondent pas à ce qu'indique le périphérique local. • Non-concordance duplex Syslog : cochez cette option pour envoyer un message SYSLOG lorsque les informations duplex ne correspondent pas. Cela signifie que les informations duplex dans la trame entrante ne correspondent pas à ce qu'indique le périphérique local. ÉTAPE 3 Cliquez sur Apply. Les propriétés LLDP sont définies. Paramètres d'interface CDP La page Paramètres d'interface vous permet d'activer/désactiver CDP sur chaque port. Les notifications peuvent également être déclenchées lors de l'apparition de conflits avec des voisins CDP. Le conflit peut être Voice VLAN data (données VLAN voix), Native VLAN (VLAN natif) ou Duplex. En définissant ces propriétés, il est possible de sélectionner les types d'informations à fournir aux périphériques qui prennent en charge le protocole LLDP. Vous pouvez sélectionner les TLV LLDP MED à annoncer sur la page Paramètres d'interface LLDP MED. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 154 Administration : Détection Configuration de CDP 10 Pour définir les paramètres d'interface CDP : ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Paramètres d'interface. Cette page affiche les informations CDP suivantes pour chaque interface. • CDP Status : option de publication CDP pour le port. • Signalisation des conflits avec les voisins CDP : état des options de rapport qui sont activées/ désactivées sur la page Modifier (VLAN voix/VLAN natif/Duplex). • No. of Neighbors : nombre de voisins détectés. Quatre boutons sont disponibles en bas de la page : • Copier les paramètres : sélectionnez ce bouton pour copier une configuration d'un port vers un autre. • Modifier : les différents champs sont décrits à l'étape 2 ci-dessous. • Détails des informations locales CDP : ouvre la page Administration > Détection - CDP > Informations locales CDP. • Détails des informations de voisinage CDP : ouvre la page Administration > Détection - CDP > Informations de voisinage CDP. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. Cette page contient les champs suivants : • Interface : sélectionnez l'interface à définir. • État CDP : sélectionnez cette option pour activer/désactiver l'option de publication CDP pour le port. REMARQUE Les trois champs suivants sont opérationnels si le périphérique a été configuré pour envoyer des interceptions à la station de gestion. • Non-concordance VLAN voix Syslog : cochez cette option pour permettre l'envoi d'un message SYSLOG lorsqu'une non-concordance VLAN voix est détectée. Cela signifie que les informations de VLAN voix dans la trame entrante ne correspondent pas à ce qu'indique le périphérique local. • Non-concordance VLAN natif Syslog : cochez cette option pour permettre l'envoi d'un message SYSLOG lorsqu'une non-concordance VLAN natif est détectée. Cela signifie que les informations de VLAN natif dans la trame entrante ne correspondent pas à ce qu'indique le périphérique local. • Non-concordance duplex Syslog : cochez cette option pour permettre l'envoi d'un message SYSLOG lors de la détection d'informations duplex ne correspondant pas. Cela signifie que les informations duplex dans la trame entrante ne correspondent pas à ce qu'indique le périphérique local. ÉTAPE 3 Saisissez les informations voulues et cliquez sur Appliquer. Les paramètres des ports sont écrits dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 155 Administration : Détection Configuration de CDP 10 Informations locales CDP Pour afficher les informations qui sont annoncées par le protocole CDP à propos du périphérique local : ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Informations locales CDP. ÉTAPE 2 Sélectionnez un port local ; les champs suivants s'affichent : • Interface : numéro du port local. • État CDP : indique si CDP est activé. • Device ID TLV (TLV d'ID de périphérique) • - Type d'ID de périphérique : type d'ID de périphérique annoncé dans la TLV d'ID de périphérique. - ID de périphérique : ID de périphérique annoncé dans la TLV d'ID de périphérique. Durée de vie du nom du système - • Address TLV (TLV de l'adresse) - • Plate-forme : identificateur de la plate-forme annoncée dans la TLV de plate-forme. Native VLAN TLV (TLV du VLAN natif) - • Version : informations sur la version logicielle sous laquelle le périphérique fonctionne. Platform TLV (TLV de la plateforme) - • Fonctionnalités : fonctionnalités annoncées dans la TLV de port. Version TLV (TLV de la version) - • ID du port : identificateur du port annoncé dans la TLV de port. Capabilities TLV (TLV des fonctionnalités) - • Adresses 1-3 : adresses IP (annoncées dans la TLV d'adresse de périphérique). Port TLV (TLV du port) - • Nom du système : nom système de l'appareil. VLAN natif : identificateur du VLAN natif annoncé dans la TLV de VLAN natif. Full/Half Duplex TLV (TLV duplex intégral/semi-duplex) - Duplex : port semi-duplex ou duplex intégral annoncé dans la TLV semi-duplex ou duplex intégral. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 156 Administration : Détection Configuration de CDP • • Appliance TLV (TLV du dispositif) - ID du dispositif : type de périphérique associé au port annoncé dans la TLV de dispositif. - ID du VLAN du dispositif : VLAN du périphérique utilisé par le dispositif ; par exemple, si le dispositif est un téléphone IP, il s'agit du VLAN voix. Extended Trust TLV (TLV de confiance étendue) - • Confiance étendue : l'activation de cette option indique que le port est sécurisé. L'hôte/serveur à partir duquel le paquet est reçu est ainsi sécurisé pour le marquage des paquets. Dans ce cas, les paquets reçus sur ce port ne sont pas marqués à nouveau. La désactivation de cette option indique que le port n'est pas validé, auquel cas le champ suivant peut être défini. CoS for Untrusted Ports TLV (CoS pour le TLV des ports non validés) - • 10 CoS pour les ports non sécurisés : si l'option Confiance étendue est désactivée sur le port, ce champ affiche la valeur CoS Layer 2, à savoir une valeur de priorité 802.1D/802.1p. Il s'agit de la valeur COS par l'intermédiaire de laquelle tous les paquets reçus sur un port non validé sont à nouveau marqués par le périphérique. TLV de l'alimentation - ID de demande : l'ID de dernière demande d'alimentation reçu correspond au dernier champ ID de demande reçu dans une TLV de demande d'alimentation. Sa valeur est 0 si aucune TLV de demande d'alimentation n'a été reçue depuis le dernier passage de l'interface vers l'état activé (Up). - ID de gestion de l'alimentation : valeur incrémentée de1 (ou 2 pour éviter 0) à chaque fois que l'un des événements suivants se produit : La valeur des champs Puissance disponible ou Niveau de gestion d'alimentation change. Une TLV de demande d'alimentation est reçue avec un champ ID de demande différent du dernier ensemble reçu (ou à la réception de la première valeur). L'interface passe à l'état Désactivé. - Puissance disponible : puissance consommée par le port. - Niveau de gestion d'alimentation : affiche la demande du fournisseur au périphérique alimenté pour connaître sa TLV de consommation électrique. Le périphérique affiche toujours « Aucune préférence » dans ce champ. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 157 Administration : Détection Configuration de CDP 10 Informations de voisinage CDP La page Informations de voisinage CDP affiche les informations CDP reçues des périphériques voisins. Après une temporisation (basée sur la valeur reçue du paramètre de durée de vie du voisin, durée au cours de laquelle aucune PDU CDP n'a été reçue d'un voisin), les informations sont supprimées. Pour afficher les informations de voisinage CDP : ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Informations de voisinage CDP. ÉTAPE 2 Pour sélectionner un filtre, cochez la case Filtre, sélectionnez une interface locale et cliquez sur OK. Le filtre est défini et la case Effacer le filtre est activée. ÉTAPE 3 Cliquez sur Effacer le filtre pour supprimer le filtre. La page Informations de voisinage CDP contient les champs suivants pour le partenaire de liaison (voisin) : • ID de périphérique : ID de périphérique des voisins. • Nom du système : nom du système des voisins. • Local Interface : numéro du port local auquel le voisin est connecté. • Advertisement Version : version du protocole CDP. • Durée de vie (sec.) : durée en secondes à l'issue de laquelle les informations concernant ce voisin sont supprimées. • Capabilities : fonctionnalités annoncées par le voisin. • Platform : informations issues de la TLV de plate-forme du voisin. • Neighbor Interface : interface sortante du voisin. ÉTAPE 4 Sélectionnez un périphérique, puis cliquez sur Détails. Cette page contient les champs suivants relatifs au voisin : • Device ID : ID du périphérique de voisinage. • Nom du système : nom de l'ID de périphérique de voisinage. • Local Interface : numéro d'interface du port via lequel la trame a été reçue. • Advertisement Version : version du protocole CDP. • Time to Live : durée en secondes à l'issue de laquelle les informations concernant ce voisin sont supprimées. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 158 Administration : Détection Statistiques CDP 10 • Capabilities : fonctions principales du périphérique. Les fonctionnalités sont indiquées par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur, Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et Station. Les bits 8 à 15 sont réservés. • Plate-forme : identificateur de la plate-forme des voisins. • Neighbor Interface : numéro d'interface du voisin via lequel la trame a été reçue. • VLAN natif : VLAN natif du voisin. • Application : nom de l'application qui s'exécute sur le voisin. • Duplex : indique si l'interface de voisinage est semi-duplex ou duplex intégral. • Adresses : adresses des voisins. • Alimentation prélevée : puissance consommée par le voisin sur l'interface. • Version : version logicielle des voisins. REMARQUE En cliquant sur le bouton Effacer la table, vous déconnectez tous les périphériques connectés du CDP. Si la fonction Port intelligent automatique est activée, le système rétablit la valeur par défaut de tous les types de port. Statistiques CDP La page Statistiques CDP affiche des informations sur les trames CDP qui ont été envoyées ou reçues depuis un port. Les paquets CDP sont reçus des périphériques associés aux interfaces de commutateur et sont utilisés pour la fonction Port intelligent. Pour plus d'informations, reportez-vous à la section Configuration de CDP. Les statistiques CDP d'un port ne s'affichent que si CDP est activé globalement et sur le port. Cette opération s'effectue sur les pages Propriétés CDP et Paramètres d'interface CDP. Pour afficher les statistiques CDP : ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Statistiques CDP. Les champs suivants sont affichés pour chaque interface : Paquets reçus/transmis : • Version 1 : nombre de paquets CDP de version 1 reçus/transmis. • Version 2 : nombre de paquets CDP de version 2 reçus/transmis. • Total : nombre total de paquets CDP reçus/transmis. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 159 Administration : Détection Statistiques CDP 10 La section Statistiques d'erreurs CDP affiche les compteurs d'erreurs CDP. • Somme de contrôle incorrecte : nombre de paquets reçus ayant une valeur de somme de contrôle incorrecte. • Autres erreurs : nombre de paquets reçus comportant d'autres erreurs que des sommes de contrôle incorrectes. • Voisinages supérieurs au maximum : nombre de fois que les informations de paquet n'ont pas pu être stockées dans le cache en raison d'un manque d'espace disponible. Pour effacer tous les compteurs sur toutes les interfaces, cliquez sur Effacer tous les compteurs de l'interface. Pour effacer tous les compteurs sur une interface, sélectionnez-la et cliquez sur Effacer les compteurs de l'interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 160 11 Gestion des ports Cette section décrit la configuration des ports, l'agrégation de liaisons et la fonction Green Ethernet. Elle couvre les rubriques suivantes : • Configuration des ports • Détection de bouclage • Agrégation de liaison • UDLD • Configuration de Green Ethernet Configuration des ports Flux de travail Pour configurer les ports, procédez comme suit : 1. Configurez le port sur la page Paramètres des ports. 2. Activez/désactivez le protocole LACP (Link Aggregation Control Protocol), puis configurez les ports membres potentiels sur les LAG souhaités via la page Gestion des LAG. Par défaut, tous les LAG sont vides. 3. Configurez les paramètres Ethernet, comme le débit et la négociation automatique pour les LAG, via la page Paramètres des LAG. 4. Configurez les paramètres LACP des ports membres d'un LAG ou candidats à l'adhésion à un LAG dynamique, via la page LACP. 5. Configurez Green Ethernet et 802.3 Energy Efficient Ethernet par l'intermédiaire de la page Propriétés. 6. Configurez le mode d'économie d'énergie Green Ethernet et 802.3 Energy Efficient Ethernet pour chaque port, via la page Paramètres des ports. 7. Si la PoE (Power on Ethernet, alimentation sur Ethernet) est prise en charge pour le périphérique concerné, configurez ce dernier en suivant les instructions de la rubrique Gestion des ports : PoE. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 161 11 Gestion des ports Configuration des ports Configuration de port Les ports peuvent être configurés dans les pages suivantes. Paramètres des ports La page Paramètres des ports affiche les paramètres globaux de tous les ports ainsi que ceux de chaque port. Cette page vous permet de sélectionner et de configurer les ports souhaités sur la page Modifier les paramètres de port. Pour configurer les paramètres des ports : ÉTAPE 1 Cliquez sur Port Management > Port Settings. ÉTAPE 2 Sélectionnez Trames Jumbo pour prendre en charge les paquets dont les tailles sont inférieures ou égales à 10 Ko. Si l'option Trames Jumbo n'est pas activée (par défaut), le système prend en charge les tailles de paquets allant jusqu'à 2 000 octets. Pour que les trames Jumbo soient appliquées, vous devez redémarrer le périphérique une fois la fonction activée. ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le paramètre global. Les modifications apportées à la configuration des trames Jumbo sont uniquement appliquées après l'enregistrement explicite de la configuration d'exécution dans le fichier de Configuration de démarrage sur la page Copier/enregistrer la configuration et après le redémarrage du périphérique. ÉTAPE 4 Pour mettre à jour les paramètres des ports, sélectionnez le port voulu et cliquez sur Modifier. ÉTAPE 5 Modifiez les paramètres suivants : • Interface : sélectionnez le numéro du port. • Port Description : saisissez le nom défini par l'utilisateur pour ce port ou un commentaire. • Type de port : affiche le type et le débit du port. Les options possibles sont les suivantes : - Ports cuivre : les ports standard, non mixtes, prennent en charge les valeurs suivantes : 10M, 100M et 1000M (type : Cuivre). - Ports cuivre Combo : un port Combo connecté à un câble cuivre CAT5 prend en charge les valeurs suivantes : 10M, 100M et 1000M (type : ComboC). - Fibre Combo : un port GBIC (Gigabit Interface Converter, convertisseur d'interface Gigabit) fibre SFP prend en charge les valeurs suivantes : 100M et 1000M (type : ComboF). - Fibre optique 10G : ports avec vitesse de 1G ou 10G. REMARQUE La fibre SFP est prioritaire dans les ports mixtes lorsque les deux ports sont utilisés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 162 Gestion des ports Configuration des ports 11 • État administratif : sélectionnez si le port doit être démarré ou arrêté au redémarrage du périphérique. • État opérationnel : indique si le port est actuellement actif ou inactif. Si le port est fermé en raison d'une erreur, la description de cette erreur s'affiche. • Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la génération des interceptions SNMP notifiant que l'état du lien du port a subi des modifications. • Période : sélectionnez pour activer la période pendant laquelle le port est à l'état Actif. Lorsque la période n'est pas active, le port est à l'arrêt. Si vous configurez une période, celle-ci n'est effective que lorsque le port est administrativement à l'état Actif. Si vous n'avez pas encore défini de période, cliquez sur Modifier ou accédez à la page Période. • Nom de période : sélectionnez le profil qui spécifie la période. • État de période opérationnelle : indique si la période est actuellement active ou inactive. • Négociation automatique : sélectionnez cette option pour activer la négociation automatique sur le port. La négociation automatique permet à un port d'annoncer sa vitesse de transmission, son mode duplex et ses fonctions de contrôle de flux à son partenaire de liaison. • Operational Auto Negotiation : affiche l'état actuel de la négociation automatique sur le port. • Vitesse du port administratif : sélectionnez la vitesse du port. Le type de port détermine les vitesses disponibles. Vous ne pouvez choisir Vitesse administrative que si la négociation automatique est désactivée pour le port. • Operational Port Speed : affiche le débit actuel du port, obtenu par négociation. • Mode duplex administratif : sélectionnez le mode duplex du port. Ce champ ne peut être configuré que lorsque la négociation automatique est désactivée et que le débit du port est réglé sur 10M ou 100M. Lorsque le port a un débit de 1G, le mode est toujours Duplex intégral. Les options possibles sont les suivantes : - Semi-duplex : l'interface prend en charge la transmission entre le périphérique et le client dans une seule direction à la fois. - Duplex intégral : l'interface prend en charge la transmission entre le périphérique et le client dans les deux directions simultanément. • Mode duplex opérationnel : affiche le mode duplex actuel des ports. • Annonce automatique : sélectionnez les fonctionnalités annoncées par la négociation automatique lorsqu'elle est activée. Les options sont les suivantes : - Capacité maximale : tous les débits de port et paramètres de mode duplex sont acceptés. - 10 Semi-duplex : débit de 10 Mbits/s et mode Semi-duplex. - 10 Duplex intégral : débit de 10 Mbits/s et mode Duplex intégral. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 163 Gestion des ports Configuration des ports - 100 Semi-duplex : débit de 100 Mbits/s et mode Semi-duplex. - 100 Duplex intégral : débit de 100 Mbits/s et mode Duplex intégral. - 1 000 Duplex intégral : débit de 1 000 Mbits/s et mode Duplex intégral. 11 • Annonce opérationnelle : affiche les fonctionnalités actuellement publiées à l'attention du voisin des ports. Les options disponibles sont celles spécifiées dans le champ Annonce administrative. • Mode Préférence : sélectionnez le mode unité principale/asservie de l'interface pour l'opération de négociation automatique. Sélectionnez une des options suivantes : - Unité asservie : commencez la négociation avec la préférence selon laquelle le port du périphérique est l'esclave dans le processus de négociation automatique. - Unité principale : commencez la négociation avec la préférence selon laquelle le port du périphérique est le maître dans le processus de négociation automatique. • Annonce de voisin : affiche les fonctionnalités publiées par le périphérique de voisinage réseau (partenaire de liaison). • Contre-pression : sélectionnez le mode de contre-pression du port (utilisé en mode Semi-duplex) à appliquer pour ralentir la vitesse de réception des paquets en cas de surcharge du périphérique. Cela désactive le port distant, ce qui l'empêche d'envoyer des paquets en brouillant le signal. • Contrôle de flux : activez ou désactivez le contrôle de flux 802.3x ou activez la négociation automatique du contrôle de flux sur le port (uniquement en mode Duplex intégral). • MDI/MDIX : état MDI (Media Dependent Interface, interface dépendant du support)/MDIX (Media Dependent Interface with Crossover, interface dépendant du support avec croisement) sur le port. Les options sont les suivantes : - MDIX : sélectionnez cette option pour permuter les paires d'émission et de réception du port. - MDI : sélectionnez cette option pour relier ce périphérique à une station de travail via un câble droit. - Auto : sélectionnez cette option pour configurer le périphérique afin qu'il détecte automatiquement le brochage correct pour la connexion à un autre périphérique. • MDI/MDIX opérationnel : affiche le paramètre MDI/MDIX actuel. • Membre dans LAG : indique si le port est membre d'un LAG. • Port protégé : sélectionnez cette option pour définir ce port en tant que port protégé. (Un port protégé est également appelé PVE (Private VLAN Edge).) Les fonctions d'un port protégé sont les suivantes : - Les ports protégés fournissent une isolation Couche 2 entre les interfaces (ports Ethernet et LAG) qui partagent le même VLAN. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 164 11 Gestion des ports Configuration des ports • - Les paquets reçus de ports protégés peuvent uniquement être réacheminés vers des ports de sortie non protégés. Les règles de filtrage des ports protégés s'appliquent également aux paquets réacheminés par un logiciel, comme les applications de type Snooping. - La protection des ports ne dépend pas de l'appartenance aux VLAN. Les périphériques connectés à des ports protégés ne peuvent pas communiquer entre eux, même s'ils sont membres du même VLAN. - Les ports et les LAG peuvent être munis ou non d'une protection. Les LAG protégés sont décrits à la section Configuration des paramètres des LAG. Member in LAG : indique le numéro du LAG si le port est membre d'un LAG ; sinon, ce champ reste vide. ÉTAPE 6 Cliquez sur Appliquer. Les paramètres des ports sont écrits dans le fichier de Configuration d'exécution. Paramètres de récupération d'erreur Cette page permet de réactiver automatiquement un port qui a été fermé en raison d'une condition d'erreur à l'issue de l'intervalle de récupération automatique. Pour configurer les paramètres de reprise sur erreur : ÉTAPE 1 Cliquez sur Port Management > Error Recovery Settings. ÉTAPE 2 Renseignez les champs suivants : • Intervalle de récupération automatique : spécifie le délai de la récupération d'erreur automatique, si elle est activée, après la fermeture d'un port Récupération ErrDisable automatique • Sécurité des ports : sélectionnez cette option pour activer la récupération d'erreur automatique lorsque le port a été fermé en raison d'une violation de la sécurité des ports. • Violation d'hôte unique 802.1x : sélectionnez cette option pour activer la récupération d'erreur automatique lorsque le port a été fermé par 802.1x. • Déni de service ACL : sélectionnez cette option pour activer le mécanisme de récupération d'erreur automatique par une action ACL. • Protection BPDU STP : sélectionnez cette option pour activer le mécanisme de récupération d'erreur automatique lorsque le port a été fermé par une protection BPDU STP. • Protection de bouclage STP : activez la récupération automatique lorsque le port a été fermé par une protection de bouclage STP. • UDLD : sélectionnez cette option pour activer le mécanisme de récupération d'erreur automatique pour l'état de fermeture UDLD. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 165 Gestion des ports Détection de bouclage • 11 Détection de bouclage : sélectionnez cette option pour activer le mécanisme de récupération d'erreur pour les ports fermés par la détection de bouclage. ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le paramètre global. Pour réactiver manuellement un port : ÉTAPE 1 Cliquez sur Port Management > Error Recovery Settings. La liste des interfaces désactivées et leur Motif de la suspension s'affichent. ÉTAPE 2 Sélectionnez l'interface que vous souhaitez réactiver. ÉTAPE 3 Cliquez sur Réactiver. Détection de bouclage La détection de bouclage (LBD) empêche la formation de boucles en transmettant les paquets de protocole de bouclage vers les ports sur lesquels la protection de bouclage a été activée. Lorsque le commutateur envoie un paquet de protocole de bouclage, puis reçoit le même paquet, il ferme le port qui a reçu le paquet. La détection de bouclage fonctionne indépendamment de STP. Une fois qu'une boucle a été détectée, le port qui l'a reçue est placé dans l'état Arrêter (fermé). Une interception est envoyée et l'événement est consigné. Les gestionnaires de réseau peuvent définir un intervalle de détection qui définit l'intervalle de temps entre les paquets LBD. Les cas de boucle suivants peuvent être détectés à l'aide du protocole de détection de bouclage : • Câble court-circuité : port qui renvoie en boucle tout le trafic reçu. • Direct multi-ports loop (Diriger la boucle multi-ports) : le commutateur est connecté à un autre commutateur avec plusieurs ports et STP est désactivé. • LAN segment loop (Boucle de segment LAN) : le commutateur est connecté avec un ou plusieurs ports à un segment LAN qui comporte des boucles. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 166 11 Gestion des ports Détection de bouclage Fonctionnement de LBD Le protocole LBD diffuse régulièrement des paquets de détection de bouclage. Un commutateur détecte une boucle lorsqu'il reçoit ses propres paquets LBD. Les conditions suivantes doivent être remplies pour que la fonctionnalité LBD d'un port soit active : • La fonction LBD est activée globalement. • La fonction LBD est activée sur le port. • L'état opérationnel du port est actif. • Le port se trouve dans l'état STP de redirection ou désactivé (état de redirection d'instance MSTP, instance 0). Les trames LBD sont transmises sur la file d'attente de priorité la plus élevée sur les ports LBD actifs (avec les LAG, le paquet LBD est transmis sur chaque membre de port actif dans le LAG). Lorsqu'une boucle est détectée, le commutateur effectue les actions suivantes : • Il définit les LAG ou les ports de réception sur l'état de désactivation d'erreur. • Il émet une interception SNMP appropriée. • Il génère un message SYLOG approprié. Configuration de la détection de bouclage Configuration et paramètres par défaut La détection de bouclage n'est pas activée par défaut. Interactions avec les autres fonctions Si STP est activé sur un port sur lequel la détection de bouclage est activée, ce port doit se trouver dans l'état de redirection STP. Configuration du workflow LBD Pour activer et configurer LBD : ÉTAPE 1 Activez la détection de bouclage à l'échelle du système sur la page des paramètres de détection du bouclage. ÉTAPE 2 Activez la détection de bouclage sur les ports d'accès sur la page des paramètres de détection du bouclage. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 167 11 Gestion des ports Agrégation de liaison ÉTAPE 3 Activez la récupération automatique pour la détection du bouclage sur la page Paramètres de récupération d'erreur. Pour configurer la détection du bouclage : ÉTAPE 1 Cliquez sur Gestion des ports > Paramètres de détection du bouclage. ÉTAPE 2 Sélectionnez Activer dans le champ global Détection de bouclage afin d'activer cette fonction. ÉTAPE 3 Entrez l'intervalle de détection. Il s'agit de l'intervalle entre les transmissions de paquets LBD. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration d'exécution. Les champs suivants s'affichent pour chaque interface pour indiquer l'état de détection du bouclage : • Administratif : la détection du bouclage est activée. • Opérationnel : la détection du bouclage est activée, mais elle n'est pas active sur l'interface. ÉTAPE 5 Choisissez s'il faut activer LBD sur les ports ou les LAG dans le champ Interface Type equals (Type d'interface égal à). ÉTAPE 6 Sélectionnez les ports ou les LAG sur lesquels LBD doit être activé, puis cliquez sur Modifier. ÉTAPE 7 Sélectionnez Activer dans le champ d'état de détection du bouclage pour le port ou le LAG sélectionné. ÉTAPE 8 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration d'exécution. Agrégation de liaison Cette section explique comment configurer les LAG. Elle couvre les rubriques suivantes : • Présentation de l'agrégation de liaisons • Configuration et paramètres par défaut • Flux de travail des LAG statiques et dynamiques • Définition de la gestion des LAG • Configuration des paramètres des LAG • Configuration de LACP Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 168 Gestion des ports Agrégation de liaison 11 Présentation de l'agrégation de liaisons Le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation de liaisons) fait partie de la spécification IEEE (802.3az) qui vous permet de regrouper plusieurs ports physiques en un seul canal logique (LAG). Les LAG multiplient la bande passante, augmentent la souplesse des ports et établissent une redondance de liaisons entre deux périphériques. Deux types de LAG sont pris en charge : • Statique : un LAG est statique si le protocole LACP (Link Aggregation Control Protocol) est désactivé sur celui-ci. Les ports attribués à un LAG statique sont toujours des membres actifs. Une fois qu'un LAG a été créé manuellement, l'option LACP ne peut pas être ajoutée ni supprimée tant que le LAG n'a pas été modifié et qu'un membre n'a pas été supprimé (celui-ci pouvant être ajouté avant l'application). Le bouton LACP devient alors disponible pour la modification. • Dynamic : un LAG est dynamique si le protocole LACP est activé sur celui-ci. Les ports attribués à un LAG dynamique sont des ports candidats. Le protocole LACP détermine les ports candidats qui sont des ports membres actifs. Les ports candidats non actifs sont des ports de réserve prêts à remplacer n'importe quel port membre actif défaillant. Équilibrage de charge La charge du trafic transféré à un LAG est équilibrée entre les divers ports qui sont des membres actifs. Ceci permet d'obtenir une bande passante effective proche du total cumulé des bandes passantes de tous les membres actifs du LAG. L'équilibrage de charge du trafic sur les ports membres actifs d'un LAG est géré par une fonction de distribution par hachage, qui répartit le trafic de diffusion et de multidiffusion sur la base des informations d'en-tête de paquet Couche 2 ou Couche 3. Le périphérique prend en charge deux modes d'équilibrage de charge : • Selon les adresses MAC : traitement basé sur les adresses MAC source et cible de tous les paquets. • Par les adresses IP et MAC : traitement basé sur les adresses IP source et cible pour les paquets IP. Pour les paquets non-IP, traitement basé sur les adresses MAC source et cible. Gestion des LAG En général, un LAG est traité par le système comme étant un seul port logique. En particulier, le LAG comporte des attributs semblables à ceux d'un port unique, notamment son état et son débit. Le périphérique prend en charge 32 LAG avec jusqu'à 8 ports par groupe de LAG. Chaque LAG possède les caractéristiques suivantes : • Tous les ports d'un LAG doivent disposer du même type de support. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 169 Gestion des ports Agrégation de liaison 11 • Pour que vous puissiez ajouter un port au LAG, il ne doit appartenir à aucun autre VLAN que le VLAN par défaut. • Les ports d'un LAG ne doivent être affectés à aucun autre LAG. • Il est impossible d'affecter plus de huit ports à un LAG statique. Il est également impossible de définir plus de 16 ports comme candidats à un LAG dynamique. • Bien que cette fonction puisse être activée sur le LAG, vous devez désactiver la négociation automatique sur tous les ports d'un LAG. • Lorsqu'un port est ajouté à un LAG, la configuration du LAG est appliquée au port. Lorsque vous retirez ce port du LAG, il reprend sa configuration d'origine. • Les divers protocoles, tels que le protocole d'arbre recouvrant (STP, Spanning Tree Protocol), considèrent tous les ports d'un LAG comme étant un port unique. Configuration et paramètres par défaut Par défaut, les ports ne sont pas membres d'un LAG et ne sont pas candidats pour l'appartenance à un LAG. Flux de travail des LAG statiques et dynamiques Une fois qu'un LAG a été manuellement créé, le protocole LACP ne peut être ni ajouté ni supprimé tant que le LAG n'est pas modifié et qu'aucun membre n'est supprimé. C'est seulement à cette condition que le bouton LACP deviendra disponible pour la modification. Pour configurer un LAG statique, procédez comme suit : 1. Désactivez LACP sur le LAG pour le rendre statique. Attribuez jusqu'à huit ports membres au LAG statique. Pour ce faire, sélectionnez les ports et déplacez-les de la Liste des ports vers la liste Membres de LAG. Sélectionnez l'algorithme d'équilibrage de charge pour le LAG. Effectuez ces actions sur la page Gestion des LAG. 2. Configurez les divers aspects du LAG, comme la vitesse et le contrôle de flux, via la page Paramètres des LAG. Pour configurer un LAG dynamique, procédez comme suit : 1. Activez le protocole LACP sur le LAG. Attribuez jusqu'à 16 ports candidats au LAG dynamique. Pour ce faire, sélectionnez les ports et déplacez-les de la Liste des ports vers la liste Membres de LAG, sur la page Gestion des LAG. 2. Configurez les divers aspects du LAG, comme la vitesse et le contrôle de flux, via la page Paramètres des LAG. 3. Configurez la priorité et le délai LACP des ports du LAG, via la page LACP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 170 11 Gestion des ports Agrégation de liaison Définition de la gestion des LAG La page Gestion des LAG affiche les paramètres globaux ainsi que ceux de chaque LAG. Cette page vous permet également de configurer les paramètres globaux, mais aussi de sélectionner et de modifier le LAG souhaité sur la page Modifier l'appartenance du LAG. Pour sélectionner l'algorithme d'équilibrage de charge du LAG : ÉTAPE 1 Cliquez sur Gestion des ports > Agrégation de liaisons > Gestion des LAG. ÉTAPE 2 Sélectionnez l'un des algorithmes d'équilibrage de charge suivants : • Adresse MAC : équilibrage de charge basé sur les adresses MAC source et cible de tous les paquets. • Adresse IP/MAC : équilibrage de charge basé sur les adresses IP source et cible pour les paquets IP. Pour les paquets non-IP, traitement basé sur les adresses MAC source et cible. ÉTAPE 3 Cliquez sur Apply. L'algorithme d'équilibrage de charge est enregistré dans le fichier de Configuration d'exécution. Pour définir les ports membres ou candidats dans un LAG : ÉTAPE 1 Sélectionnez le LAG à configurer et cliquez sur Modifier. Les champs suivants sont affichés pour chaque LAG (seuls les champs ne figurant pas sur la page Modifier font l'objet d'une description) : • État des liaisons : indique si le port est actif ou inactif. • Membre actif : ports actifs dans le LAG. • Membre de réserve : ports candidats pour ce LAG. ÉTAPE 2 Saisissez les valeurs pour les champs suivants : • LAG : sélectionnez le numéro du LAG. • Nom du LAG : saisissez le nom du LAG ou un commentaire. • LACP : sélectionnez cette option pour activer LACP sur le LAG sélectionné. Ceci en fait un LAG dynamique. Vous ne pouvez activer ce champ qu'après avoir déplacé un port vers le LAG dans le champ suivant. • Unité/logement : affiche le membre de la pile pour lequel les informations LAG sont définies. • Liste des ports : déplacez les ports à attribuer au LAG de la Liste des ports vers la liste Membres de LAG. Vous pouvez affecter jusqu'à huit ports à un LAG statique et jusqu'à 16 ports à un LAG dynamique. Il s'agit de ports candidats. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 171 11 Gestion des ports Agrégation de liaison ÉTAPE 3 Cliquez sur Apply. L'appartenance LAG est enregistrée dans le fichier de Configuration d'exécution. Configuration des paramètres des LAG La page Paramètres des LAG affiche une table des paramètres actuels de tous les LAG. Vous pouvez configurer les paramètres des LAG sélectionnés et réactiver les LAG suspendus sur la page Modifier les paramètres des LAG. Pour configurer les paramètres des LAG ou réactiver un LAG suspendu : ÉTAPE 1 Cliquez sur Port Management > Link Aggregation > LAG Settings. ÉTAPE 2 Sélectionnez un LAG et cliquez sur Edit. ÉTAPE 3 Saisissez les valeurs pour les champs suivants : • LAG : sélectionnez l'ID du LAG. • LAG Type : affiche le type de port inclus dans le LAG. • Description : saisissez le nom du LAG ou un commentaire. • État administratif : définissez le LAG sélectionné comme étant démarré ou arrêté. • Operational Status : indique si le LAG est actuellement opérationnel. • Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la génération des interceptions SNMP notifiant que l'état du lien des ports a subi des modifications dans le LAG. • Période : sélectionnez pour activer la période pendant laquelle le port est à l'état Actif. Lorsque la période n'est pas active, le port est à l'arrêt. Si vous configurez une période, celle-ci n'est effective que lorsque le port est administrativement à l'état Actif. Si vous n'avez pas encore défini de période, cliquez sur Modifier ou accédez à la page Période. • Nom de période : sélectionnez le profil qui spécifie la période. • État de période opérationnelle : indique si la période est actuellement active ou inactive. • Réactiver le LAG suspendu : sélectionnez cette option pour réactiver un port si le LAG a été désactivé via l'option de sécurité de verrouillage des ports ou via des configurations ACL. • Négociation automatique administrative : permet d'activer ou de désactiver la négociation automatique sur le LAG. La négociation automatique est un protocole établi entre deux partenaires de liaison qui permet à un LAG d'annoncer sa vitesse de transmission et son contrôle de flux à son Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 172 Gestion des ports Agrégation de liaison 11 partenaire (la valeur par défaut pour le contrôle de flux est Désactivé). Il est recommandé de maintenir la négociation automatique activée des deux côtés d'une liaison agrégée (ou de la désactiver des deux côtés), tout en s'assurant que les débits de liaison sont identiques. • Négociation automatique opérationnelle : affiche le paramètre de négociation automatique. • Débit administratif : sélectionnez le débit du LAG. • Operational LAG Speed : affiche le débit actuel de fonctionnement du LAG. • Annonce administrative : sélectionnez les fonctionnalités que le LAG doit annoncer. Les options sont les suivantes : - Capacité maximale : tous les débits de LAG et modes duplex sont acceptés. - 10 Duplex intégral : le LAG annonce un débit de 10 Mbits/s et le mode est Duplex intégral. - 100 Duplex intégral : le LAG annonce un débit de 100 Mbits/s et le mode est Duplex intégral. - 1 000 Duplex intégral : le LAG annonce un débit de 1 000 Mbits/s et le mode est Duplex intégral. - 10000 Duplex intégral : le LAG annonce un débit de 10000 Mbits/s et le mode est Duplex intégral. • Annonce opérationnelle : affiche l'état d'annonce administrative. Le LAG annonce ses capacités à son LAG voisin pour lancer le processus de négociation. Les options disponibles sont celles spécifiées dans le champ Annonce administrative. • Contrôle de flux administratif : définissez le contrôle de flux à Activer ou Désactiver, ou activez la négociation automatique du contrôle de flux sur le LAG. • Contrôle de flux opérationnel : affiche le paramètre de contrôle de flux actuel. • LAG protégé : sélectionnez cette option pour définir ce LAG comme port protégé pour l'isolation Couche 2. Consultez la description de la configuration des ports dans Définition de la configuration de base des ports pour plus d'informations sur les ports et LAG protégés. ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Configuration de LACP Un LAG dynamique est un LAG où LACP est activé ; le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation de liaisons) est exécuté sur chaque port candidat défini dans le LAG. Priorité et règles LACP Les options Priorité du système LACP et Priorité des ports LACP déterminent les ports candidats qui deviennent des ports membres actifs d'un LAG dynamique configuré avec plus de huit ports candidats. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 173 Gestion des ports Agrégation de liaison 11 Les ports candidats sélectionnés pour le LAG sont tous connectés au même périphérique distant. Les commutateurs locaux et distants sont associés à une priorité du système LACP. L'algorithme suivant permet de déterminer si les priorités des ports LACP doivent être obtenues du périphérique local ou du périphérique distant : la priorité du système LACP du périphérique local est comparée à la priorité du système LACP du périphérique distant. Le périphérique ayant la priorité la plus basse contrôle la sélection de ports candidats pour le LAG. Si les deux priorités sont identiques, les adresses MAC locale et distante sont comparées. La priorité du périphérique ayant l'adresse MAC la plus basse contrôle la sélection de ports candidats pour le LAG. Un LAG dynamique peut comporter jusqu'à 16 ports Ethernet du même type. Huit ports au maximum peuvent être actifs et huit ports au maximum peuvent être en mode de réserve. Si un LAG dynamique comprend plus de huit ports, le périphérique situé du côté qui contrôle la liaison applique les priorités de port pour déterminer les ports agrégés dans le LAG et ceux qui restent en mode de réserve à chaud. Les priorités des ports de l'autre périphérique (du côté de la liaison qui n'a pas le contrôle) sont ignorées. Les règles supplémentaires permettant de sélectionner des ports actifs ou de réserve dans un LACP dynamique sont les suivantes : • Toute liaison fonctionnant avec un débit différent de celui du membre actif ayant le débit le plus élevé ou fonctionnant en mode semi-duplex est désignée comme étant celle de réserve. Tous les ports actifs d'un LAG dynamique fonctionnent avec le même débit en bauds. • Si la priorité LACP du port de la liaison est inférieure à celle des membres de liaison actuellement actifs et si le nombre maximal de membres actifs a déjà été atteint, la liaison devient inactive et est placée en mode de réserve. LACP sans membre de liaison Pour que le protocole LACP puisse créer un LAG, vous devez configurer les ports situés aux deux extrémités du lien pour LACP, ce qui signifie que les ports envoient des PDU LACP et gèrent les PDU reçues. Toutefois, un partenaire de liaison peut être temporairement non configuré pour LACP. Par exemple, lorsque le partenaire de liaison est sur un périphérique qui est en cours de réception de sa configuration via le protocole de configuration automatique. Les ports de ce périphérique ne sont pas encore configurés pour LACP. Si la liaison LAG ne s'établit pas, le périphérique ne peut pas être configuré. Un cas similaire se produit avec les ordinateurs à amorçage réseau par double carte (PXE par exemple), qui reçoivent leur configuration LAG uniquement après leur démarrage. Lorsque vous configurez plusieurs ports LACP et que la liaison est activée sur un ou plusieurs ports, mais que ces derniers restent sans réponse LACP de la part du partenaire de liaison, le premier port dont la liaison a été activée est ajouté au LAG LACP et devient actif (les autres ports deviennent non-candidats). Ainsi, le périphérique voisin peut, par exemple, obtenir son adresse IP via DHCP et obtenir sa configuration via la configuration automatique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 174 11 Gestion des ports UDLD Configuration des paramètres LACP Utilisez la page LACP pour configurer les ports candidats au LAG et pour configurer les paramètres LACP pour chaque port. Lorsque tous les facteurs sont égaux, si le LAG est configuré avec davantage de ports candidats que le maximum de ports actifs autorisé (8), le périphérique sélectionne des ports et les marque comme actifs à partir du LAG dynamique dont la priorité est la plus élevée sur le périphérique. REMARQUE Le paramètre LACP ne s'applique pas aux ports qui ne sont pas membres d'un LAG dynamique. Pour définir les paramètres LACP : ÉTAPE 1 Cliquez sur Port Management > Link Aggregation > LACP. ÉTAPE 2 Saisissez la priorité du système LACP. Reportez-vous à la section Priorité et règles LACP. ÉTAPE 3 Sélectionnez un port et cliquez sur Modifier. ÉTAPE 4 Saisissez les valeurs pour les champs suivants : • Port : sélectionnez le numéro du port auquel s'appliquent les valeurs de délai et de priorité. • Priorité des ports LACP : saisissez la valeur de priorité LACP du port. Reportez-vous à la section Configuration des paramètres LACP. • Délai LACP : intervalle qui sépare l'envoi et la réception de deux PDU LACP consécutives. Sélectionnez les transmissions périodiques des PDU LACP, qui s'effectuent à une vitesse de transmission longue ou courte, selon la préférence de délai LACP définie. ÉTAPE 5 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. UDLD Reportez-vous à la section Gestion des ports : Unidirectional Link Detection. PoE Reportez-vous à la section Gestion des ports : PoE. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 175 Gestion des ports Configuration de Green Ethernet 11 Configuration de Green Ethernet Cette section décrit la fonction Green Ethernet qui est conçue pour réduire la consommation d'énergie du périphérique. Elle contient les sections suivantes : • Présentation de la fonction Green Ethernet • Propriétés Green Ethernet globales • Propriétés Green Ethernet des ports Présentation de la fonction Green Ethernet Green Ethernet est le nom d'usage d'un ensemble de fonctions conçues pour respecter l'environnement et réduire la consommation électrique d'un périphérique. La fonction Green Ethernet est différente de EEE, puisque la détection d'énergie Green Ethernet est activée sur tous les périphériques alors qu'avec EEE, seuls les ports Giga-octets sont activés. La fonction Green Ethernet réduit la consommation énergétique globale comme suit : • Mode Détection d'énergie : (non disponible sur SG500XG) sur une liaison inactive, le port passe en mode inactif, ce qui permet d'économiser l'énergie tout en maintenant le port à l'état administratif Démarré. La sortie de ce mode et le retour au mode entièrement opérationnel sont rapides, transparents et sans aucune perte de trame. Ce mode est pris en charge sur les ports GE comme sur les ports FE. • Mode Courte portée : cette fonction permet d'économiser de l'énergie sur une courte longueur de câble. Une fois que la longueur du câble a été analysée, la consommation d'énergie est ajustée en fonction de cette longueur. Si la longueur de câble est inférieure à 50 mètres, le périphérique a besoin de moins de puissance pour envoyer des trames sur ce câble, ce qui représente une économie d'énergie. Ce mode n'est pris en charge que sur les ports GE RJ45 ; il ne s'applique pas aux ports mixtes. Par défaut, ce mode est désactivé au niveau global. Il ne peut pas être activé si le mode EEE est activé (voir ci-dessous). Outre les fonctions Green Ethernet ci-dessus, la fonction 802.3az Energy Efficient Ethernet (EEE) est disponible sur les périphériques prenant en charge les ports GE. EEE réduit la consommation électrique lorsqu'il n'y a pas de trafic sur le port. Pour plus d'informations, reportez-vous à Fonction 802.3az Energy Efficient Ethernet (uniquement sur les modèles GE). EEE est activé par défaut au niveau global. Sur un port donné, si EEE est activé, le mode Courte portée est désactivé. Si le mode Courte portée est activé, EEE apparaît en grisé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 176 Gestion des ports Configuration de Green Ethernet 11 Ces modes peuvent être configurés pour chaque port, sans tenir compte de l'appartenance au LAG des ports. Les LED des périphériques consomment de l'énergie. Étant donné que les périphériques se situent la plupart du temps dans une pièce inoccupée, le fait de maintenir ces LED allumées est un gaspillage d'énergie. La fonction Green Ethernet permet de désactiver les LED des ports (liaison, vitesse et PoE) lorsqu'elles ne sont pas nécessaires et de les activer lorsqu'elles le sont (débogage, raccordement de périphériques supplémentaires, etc.). Sur la page Récapitulatif système, les LED qui sont représentées sur les illustrations des cartes des périphériques ne sont pas affectées par la désactivation des LED. Il est possible de contrôler les économies d'énergie, la consommation électrique actuelle et l'énergie totale économisée. La quantité totale d'énergie économisée est affichée sous la forme d'un pourcentage de l'énergie qu'auraient consommé les interfaces physiques sans le mode Green Ethernet. L'énergie économisée s'affiche uniquement si elle est liée à la fonction Green Ethernet. La quantité d'énergie économisée par EEE n'apparaît pas. Économie d'énergie par la désactivation des LED de port La fonctionnalité de désactivation des LED des ports permet d'économiser l'énergie consommée par les LED des périphériques. Étant donné que les périphériques se trouvent souvent dans une pièce inoccupée, le fait de maintenir ces LED allumées est un gaspillage d'énergie. La fonction Green Ethernet permet de désactiver les LED des ports (liaison, vitesse et PoE) lorsqu'elles ne sont pas nécessaires et de les activer lorsqu'elles le sont (débogage, raccordement de périphériques supplémentaires, etc.). Sur la page Récapitulatif système, les LED qui sont représentées sur les illustrations des cartes des périphériques ne sont pas affectées par la désactivation des LED. Les LED des ports peuvent être désactivées sur la page Green Ethernet -> Propriétés. Fonction 802.3az Energy Efficient Ethernet Cette section décrit la fonction 802.3az Energy Efficient Ethernet (EEE). Elle couvre les rubriques suivantes : • Présentation de 802.3az EEE • Négociation des fonctionnalités d'annonce • Détection du niveau de liaison pour 802.3az EEE • Disponibilité de 802.3az EEE • Configuration par défaut Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 177 Gestion des ports Configuration de Green Ethernet • Interactions entre les fonctions • Flux de travail de configuration de 802.3az EEE 11 Présentation de 802.3az EEE 802.3az EEE est conçue pour réduire la consommation énergétique lorsqu'il n'y a pas de trafic sur la liaison. Dans Green Ethernet, la consommation est réduite lorsque le port est inactif. Avec 802.3az EEE, la consommation est réduite lorsque le port est actif, mais qu'il n'y a pas de trafic sur celui-ci. La fonction 802.3az EEE est uniquement prise en charge sur les périphériques utilisant des ports GE. Lorsque vous utilisez la fonction 802.3az EEE, les systèmes situés aux deux extrémités de la liaison peuvent désactiver une partie de leurs fonctionnalités et économiser de l'énergie au cours des périodes sans trafic. 802.3az EEE prend en charge le fonctionnement IEEE 802.3 MAC à 100 Mbits/s et 1 000 Mbits/s : LLDP permet de sélectionner un ensemble optimal de paramètres pour les deux périphériques. Si LLDP n'est pas pris en charge par le partenaire de liaison ou s'il est désactivé, la fonction 802.3az EEE reste opérationnelle, mais n'utilise peut-être pas le mode opérationnel optimal. La fonction 802.3az EEE est implémentée via le mode de port LPI (Low Power Idle). Lorsqu'il n'y a pas de trafic et que cette fonction est activée sur le port, ce dernier passe en mode LPI, ce qui réduit de manière importante la consommation énergétique. Les deux extrémités d'une connexion (le port du périphérique et le périphérique en cours de connexion) doivent prendre en charge 802.3az EEE pour qu'elle fonctionne. Lorsqu'il n'y a aucun trafic, les deux extrémités envoient des signaux indiquant que la consommation va être réduite. Lorsque les signaux provenant des deux extrémités sont reçus, le signal Maintenir actif indique que les ports ont l'état LPI (et non l'état Inactif) et que la consommation est réduite. Pour que les ports restent en mode LPI, le signal Maintenir actif doit être reçu en continu des deux extrémités. Négociation des fonctionnalités d'annonce La prise en charge de la fonction 802.3az EEE est annoncée lors de le phase de négociation automatique. La négociation automatique permet au périphérique lié de détecter les fonctionnalités (modes de fonctionnement) prises en charge par le périphérique situé à l'autre extrémité de la liaison, de déterminer les fonctionnalités communes et de se configurer lui-même pour un fonctionnement conjoint. La négociation automatique s'effectue au moment de la connexion, lors d'une commande exécutée par le système de gestion ou lors de la détection d'une erreur de liaison. Au cours du processus d'établissement de la liaison, les deux partenaires de liaison échangent leurs fonctionnalités 802.3az EEE. La négociation automatique fonctionne automatiquement sans interaction de l'utilisateur lorsqu'elle est activée sur le périphérique. REMARQUE Si la négociation automatique n'est pas activée sur un port, la fonction EEE est désactivée. La seule exception est que si la vitesse de la liaison est de 1 Go ; la fonction EEE est toujours activée même si la négociation automatique est désactivée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 178 Gestion des ports Configuration de Green Ethernet 11 Détection du niveau de liaison pour 802.3az EEE Outre les fonctionnalités décrites ci-dessus, les fonctionnalités et paramètres 802.3az EEE sont également annoncés par le biais de trames qui sont basées sur les TLV spécifiques à l'organisation et définies dans l'annexe G du protocole IEEE Std 802.1AB (LLDP). LLDP permet d'optimiser encore davantage le fonctionnement de 802.3az EEE une fois que la négociation automatique est terminée. La TLV 802.3az EEE permet de définir précisément le réveil et les durées d'actualisation du système. Disponibilité de 802.3az EEE Reportez-vous aux notes de version pour obtenir la liste complète des produits qui prennent en charge EEE. Configuration par défaut Par défaut, les fonctions 802.3az EEE et EEE LLDP sont activées au niveau global et pour chaque port. Interactions entre les fonctions Les interactions de 802.3az EEE avec les autres fonctions sont décrites ci-après : • Si la négociation automatique n'est pas activée sur le port, l'état opérationnel de la fonction 802.3az EEE est désactivé. L'exception à cette règle est que si la vitesse de la liaison est de 1 Go, la fonction EEE est toujours activée même si la négociation automatique est désactivée. • Si la fonction 802.3az EEE est activée et que le port est actif, elle commence à fonctionner immédiatement conformément à la valeur de réveil maximale du port. • Sur l'interface utilisateur graphique (GUI), le champ EEE du port n'est pas disponible lorsque l'option Mode Courte portée est cochée. • Si la vitesse du port sur le port GE passe à 10 Mbit, la fonction 802.3az EEE est désactivée. Cette fonctionnalité est uniquement prise en charge sur les modèles GE. Flux de travail de configuration de 802.3az EEE Cette section explique comment configurer la fonction 802.3az EEE et afficher ses compteurs. ÉTAPE 1 Assurez-vous que la négociation automatique est activée sur le port en ouvrant la page Gestion des ports > Paramètres des ports. a. Sélectionnez un port et ouvrez la page Modifier le paramètre de port. b. Sélectionnez le champ Négociation automatique pour vérifier qu'elle est bien activée. ÉTAPE 2 Assurez-vous que la fonction 802.3 Energy Efficient Ethernet (EEE) est activée au niveau global sur la page Gestion des ports > Green Ethernet > Propriétés (elle est activée par défaut). Cette page indique également la quantité d'énergie qui a été économisée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 179 Gestion des ports Configuration de Green Ethernet 11 ÉTAPE 3 Assurez-vous que la fonction 802.3az EEE est activée sur un port en ouvrant la page Green Ethernet > Paramètres des ports. a. Sélectionnez un port et ouvrez la page Modifier le paramètre de port. b. Activez le mode 802.3 Efficient Energy Ethernet (EEE) sur le port (il est activé par défaut). c. Indiquez si vous souhaitez activer ou désactiver l'annonce des fonctionnalités 802.3az EEE via LLDP dans LLDP 802.3 Energy Efficient Ethernet (EEE) (elle est activée par défaut). ÉTAPE 4 Pour consulter les informations relatives à 802.3 EEE sur le périphérique local, ouvrez la page Administration > Détection LLDP > Informations locales LLDP, puis affichez les informations disponibles dans le bloc 802.3 Energy Efficient Ethernet (EEE). ÉTAPE 5 Pour consulter les informations associées à 802.3az EEE sur le périphérique distant, ouvrez les pages > Administration > Détection - LLDP > Informations de voisinage LLDP, puis affichez les informations contenues dans le bloc 802.3 Energy Efficient Ethernet (EEE). Propriétés Green Ethernet globales La page Propriétés affiche et active la configuration du mode Green Ethernet pour le périphérique. Les économies d'énergie actuelles sont également affichées. Pour activer Green Ethernet et EEE, et afficher les économies d'énergie : ÉTAPE 1 Cliquez sur Gestion des ports > Green Ethernet > Propriétés. ÉTAPE 2 Saisissez les valeurs pour les champs suivants : • Mode Détection d'énergie : (non disponible sur SG500XG) désactivé par défaut. Activez la case à cocher. • Courte portée : permet d'activer ou de désactiver globalement le mode Courte portée s'il existe des ports GE sur le périphérique. REMARQUE Si le mode Courte portée est activé, EEE doit être désactivé. • LED des ports : sélectionnez cette option pour activer les LED des ports. Lorsque les LED des ports sont désactivés, ils n'affichent pas l'état des liaisons, l'activité, etc. • Économies d'énergie : affiche le pourcentage d'énergie économisé grâce aux modes Green Ethernet et Courte portée. Les économies d'énergie affichées ne concernent que l'énergie économisée grâce aux modes Courte portée et Détection d'énergie. Les économies d'énergie EEE sont de nature dynamique, étant donné qu'elles sont basées sur l'utilisation des ports et qu'elles ne sont par conséquent pas prises en compte. Le calcul d'économie d'énergie est effectué en comparant la consommation maximale sans économies d'énergie à la consommation actuelle. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 180 Gestion des ports Configuration de Green Ethernet 11 • Énergie totale économisée : affiche la quantité d'énergie économisée depuis le dernier redémarrage du périphérique. Cette valeur est mise à jour à chaque événement qui affecte l'économie d'énergie. • 802.3 Energy Efficient Ethernet (EEE) : permet d'activer ou de désactiver globalement le mode EEE (uniquement disponible si des ports GE sont présents sur le périphérique). ÉTAPE 3 Cliquez sur Reset Energy Saving Counter (Réinitialiser le compte d'économie d'énergie) pour réinitialiser les informations sur les économies d'énergie réalisées. ÉTAPE 4 Cliquez sur Apply. Les propriétés Green Ethernet sont écrites dans le fichier de Configuration d'exécution. Propriétés Green Ethernet des ports La page Paramètres des ports affiche les modes Green Ethernet et EEE actuels de chaque port, et permet de configurer la fonction Green Ethernet sur un port par l'intermédiaire de la page Modifier le paramètre de port. Pour que les modes Green Ethernet fonctionnent sur un port, vous devez avoir activé ces modes globalement sur la page Propriétés. Les paramètres EEE s'affichent uniquement pour les périphériques qui disposent de ports GE. EEE fonctionne uniquement lorsque les ports sont activés pour la négociation automatique. Seule exception : EEE fonctionne encore même si la négociation automatique est désactivée, mais que le port a un débit de 1 Go minimum. Pour définir les paramètres Green Ethernet de chaque port : ÉTAPE 1 Cliquez sur Gestion des ports > Green Ethernet > Paramètres des ports. La page Paramètres des ports affiche les éléments suivants : • État des paramètres globaux : décrit les fonctionnalités activées. Pour chaque port, les champs suivants sont décrits : • Port : numéro du port. • Détection d'énergie : état du mode Détection d'énergie sur le port : • - Administratif : indique si le mode Détection d'énergie est activé. - Opérationnel : indique si le mode Détection d'énergie est actuellement opérationnel. - Motif : si le mode Détection d'énergie n'est pas opérationnel, indique le motif. Courte portée : état du mode Courte portée sur le port : - Administratif : indique si le mode Courte portée est activé. - Opérationnel : indique si le mode Courte portée est actuellement opérationnel. - Motif : si le mode Courte portée n'est pas opérationnel, indique le motif. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 181 Gestion des ports Configuration de Green Ethernet - 11 Longueur de câble : indique la longueur de câble détectée par VCT, en mètres. REMARQUE Le mode Courte portée n'est pris en charge que sur les ports GE RJ45 ; il ne s'applique pas aux ports mixtes. • 802.3 Energy Efficient Ethernet (EEE) : état du port concernant la fonction EEE : - Administratif : indique si la fonction EEE est activée. - Opérationnel : indique si la fonction EEE est actuellement opérationnelle sur le port local. Vous savez ainsi si elle a été activée (État administratif), si elle a été activée sur le port local et si elle est opérationnelle sur le port local. - LLDP administratif : indique si l'annonce des compteurs EEE via LLDP est activée. - LLDP opérationnel : indique si l'annonce des compteurs EEE via LLDP est actuellement opérationnelle. - Support EEE sur la distance : indique si la fonction EEE est prise en charge sur le partenaire de liaison. La fonction EEE doit être prise en charge sur les partenaires de liaison local et distant. REMARQUE Cette fenêtre affiche les paramètres Courte portée, Détection d'énergie et EEE de chaque port. Pour autant, vous ne pouvez pas les activer sur un port s'ils ne sont pas aussi activés globalement via la page Propriétés. Pour activer globalement les modes Courte portée et EEE, consultez Propriétés Green Ethernet globales. ÉTAPE 2 Sélectionnez un port puis cliquez sur Modifier. ÉTAPE 3 Choisissez d'activer ou de désactiver le mode Détection d'énergie pour le port. ÉTAPE 4 Activez ou désactivez le mode Courte portée sur le port si le périphérique comporte des ports GE. ÉTAPE 5 Activez ou désactivez le mode 802.3 Energy Efficient Ethernet (EEE) sur le port si le périphérique comporte des ports GE. ÉTAPE 6 Activez ou désactivez le mode LLDP 802.3 Energy Efficient Ethernet (EEE) sur le port (annonce des fonctionnalités EEE via LLDP) si le périphérique comporte des ports GE. ÉTAPE 7 Cliquez sur Apply. Les paramètres des ports Green Ethernet sont écrits dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 182 12 Gestion des ports : Unidirectional Link Detection Cette section décrit la fonction Unidirectional Link Detection (UDLD). Elle couvre les rubriques suivantes : • Présentation de la fonction UDLD • Fonctionnement de UDLD • Instructions d'utilisation • Dépendances envers les autres fonctions • Configuration et paramètres par défaut • Avant de commencer • Tâches UDLD courantes • Configuration de UDLD Présentation de la fonction UDLD UDLD est un protocole de couche 2 qui permet aux périphériques connectés par des câbles Ethernet à fibre optique ou à paire torsadée de détecter des liaisons unidirectionnelles. Une liaison unidirectionnelle est établie lorsque le trafic provenant d'un périphérique de voisinage est reçu par le périphérique local, mais que le trafic issu du périphérique local n'est pas reçu par le voisin. L'objectif du protocole UDLD est de détecter les ports sur lesquels le voisin ne reçoit pas de trafic du périphérique local (liaison unidirectionnelle) et de fermer ces ports. Tous les périphériques connectés doivent prendre en charge UDLD pour que le protocole puisse détecter les liaisons unidirectionnelles. Si seul le périphérique local prend en charge UDLD, le périphérique ne pourra pas détecter l'état de la liaison. Dans ce cas, l'état de la liaison est défini sur indéterminé. L'utilisateur peut spécifier si les ports ayant l'état indéterminé sont fermés ou déclenchent simplement des notifications. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 183 Gestion des ports : Unidirectional Link Detection Fonctionnement de UDLD 12 Fonctionnement de UDLD États et modes de UDLD Sous le protocole UDLD, les ports se voient attribuer les états suivants : • Détection : le système tente de déterminer si la liaison est bidirectionnelle ou unidirectionnelle. Il s'agit d'un état temporaire. • Bidirectionnel : le trafic envoyé par un périphérique local est reçu par son voisin et le trafic envoyé par le voisin est reçu par le périphérique local. • Fermer : la liaison est unidirectionnelle. Le trafic envoyé par un périphérique local est reçu par son voisin, mais le trafic envoyé par le voisin n'est pas reçu par le périphérique local. • Indéterminé : le système ne peut pas déterminer l'état du port, car l'une des situations suivantes se produit : - Le voisin ne prend pas en charge UDLD. Ou - Le voisin ne reçoit pas de trafic du périphérique local. Dans ce cas, l'action UDLD dépend du mode UDLD du périphérique, comme expliqué ci-après. UDLD prend en charge les modes de fonctionnement suivants : • Normal Si l'état de liaison du port est déterminé être bidirectionnel et que les informations UDLD expirent alors que la liaison sur le port fonctionne toujours, UDLD tente de rétablir l'état du port. • Agressif Si l'état de liaison du port est déterminé être bidirectionnel et que les informations UDLD expirent, UDLD arrête le port au bout d'une période prolongée, lorsqu'il peut déterminer que la liaison est défectueuse. L'état du port pour UDLD est marqué comme Indéterminé. UDLD est activé sur un port lorsque l'une des situations suivantes se produit : • Le port est un port fibre et UDLD est activé globalement. • Le port est un port cuivre et vous activez spécifiquement UDLD sur celui-ci. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 184 Gestion des ports : Unidirectional Link Detection Fonctionnement de UDLD 12 Fonctionnement de UDLD Lorsque UDLD est activé sur un port, les actions suivantes sont réalisées : • UDLD initie l'état de détection sur le port. Dans cet état, UDLD envoie régulièrement des messages sur chaque interface active vers tous les voisins. Ces messages contiennent l'ID de périphérique de tous les voisins connus. Il envoie ces messages en fonction du délai de message défini par l'utilisateur. • UDLD reçoit les messages UDLD des périphériques de voisinage. Il met en cache ces messages jusqu'à ce que le délai d'expiration soit atteint (3 fois le délai de message). Si un nouveau message est reçu avant l'heure d'expiration, les informations contenues dans ce message remplacent les précédentes. • Lorsque le délai d'expiration est atteint, le périphérique procède comme suit avec les informations reçues : • - Si le message du voisin contient l'ID du périphérique local : l'état de liaison du port est défini sur bidirectionnel. - Si le message du voisin ne contient pas l'ID du périphérique local : l'état de liaison du port est défini sur unidirectionnel et le port est fermé. Si les messages UDLD ne sont pas reçus d'un périphérique voisin avant l'expiration du délai, l'état de liaison du port est défini sur indéterminé et le système procède comme suit : - Le périphérique est en mode UDLD normal : Une notification est émise. - Le périphérique est en mode UDLD agressif. Le port est fermé. Si l'interface a l'état bidirectionnel ou indéterminé, le périphérique envoie régulièrement un message à chaque seconde du délai de message. Les étapes suivantes sont effectuées à maintes reprises. Un port qui a été fermé peut être réactivé manuellement sur la page Gestion des ports > Paramètres de récupération d'erreur. Pour obtenir plus d'informations, reportez-vous à la section Réactivation d'un port fermé. Si une interface est arrêtée et que UDLD est activé, le périphérique supprime toutes les informations de voisinage et envoie au moins un message ULDL aux voisins pour leur indiquer que le port est fermé. Lorsque le port est réactivé, l'état UDLD devient Détection. UDLD non pris en charge ou désactivé sur un voisin Si UDLD n'est pas pris en charge ou désactivé sur un voisin, aucun message UDLD n'est reçu de ce voisin. Dans ce cas, le périphérique ne peut pas déterminer si la liaison est unidirectionnelle ou bidirectionnelle. L'état de l'interface est alors définie sur indéterminé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 185 Gestion des ports : Unidirectional Link Detection Instructions d'utilisation 12 Réactivation d'un port fermé Vous pouvez réactiver un port qui a été fermé par UDLD en procédant de l'une des manières suivantes : • Automatiquement : vous pouvez configurer le système pour qu'il réactive automatiquement les ports fermés par UDLD sur la page Gestion des ports > Paramètres de récupération d'erreur. Dans ce cas, lorsqu'un port est fermé par UDLD, il est automatiquement réactivé à l'expiration de l'intervalle de récupération automatique. UDLD est alors de nouveau exécuté sur le port. Si la liaison est toujours unidirectionnelle, UDLD la ferme à nouveau, par exemple à l'issue du délai d'expiration de UDLD. • Manuellement : vous pouvez réactiver un port sur la page Gestion des ports > Paramètres de récupération d'erreur. Instructions d'utilisation Cisco vous recommande de ne pas activer UDLD sur les ports connectés aux périphériques sur lesquels UDLD n'est pas pris en charge ou désactivé. L'envoi de paquets UDLD sur un port connecté à un périphérique qui ne prend pas en charge UDLD génère davantage de trafic sur le port sans offrir d'avantages. En outre, tenez compte des éléments suivants lorsque vous configurez UDLD : • Définissez le délai du message selon l'urgence qu'il y a de fermer les ports avec une liaison unidirectionnelle. Plus le délai de message est petit, plus les paquets UDLD envoyés et analysés sont nombreux, mais plus le port est fermé rapidement si la liaison est unidirectionnelle. • Si vous souhaitez activer UDLD sur un port cuivre, vous devez l'activer sur chaque port. Si vous activez UDLD globalement, il est uniquement activé sur les ports fibre. • Définissez le mode UDLD sur normal si vous ne souhaitez pas fermer les ports sauf s'il est certain que la liaison est unidirectionnelle. • Définissez le mode UDLD sur Agressif quand vous voulez une perte de liaison à la fois unidirectionnelle et bidirectionnelle. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 186 Gestion des ports : Unidirectional Link Detection Dépendances envers les autres fonctions 12 Dépendances envers les autres fonctions • UDLD et Couche1. Lorsque UDLD est activé sur un port, UDLD s'exécute activement sur ce port tant que le port est actif. Lorsque le port est fermé, UDLD passe à l'état de fermeture UDLD. Dans cet état, UDLD supprime tous les voisins appris. Lorsque le port repasse de fermé à ouvert, UDLD est de nouveau exécuté activement. • UDLD et protocoles de couche 2 UDLD s'exécute sur un port indépendamment des autres protocoles de couche 2 exécutés sur le même port, tels que STP ou LACP. Par exemple, UDLD attribue un état au port quel que soit l'état STP du port ou peu importe si le port appartient à un LAG ou pas. Configuration et paramètres par défaut Les valeurs par défaut suivantes sont disponibles pour cette fonction : • UDLD est désactivé par défaut sur tous les ports du périphérique. • Le délai de message par défaut est de 15 secondes. • Le délai d'expiration par défaut est de 45 secondes (3 fois le délai de message). • État UDLD du port par défaut : - Les interfaces fibre ont l'état UDLD global. - Les interfaces non fibre ont l'état désactivé. Avant de commencer Aucune tâche préalable n'est requise. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 187 Gestion des ports : Unidirectional Link Detection Tâches UDLD courantes 12 Tâches UDLD courantes Cette section décrit quelques tâches courantes permettant de configurer UDLD. Flux de travail 1 : pour activer globalement UDLD sur les ports fibre, procédez comme suit : ÉTAPE 1 Ouvrez la page Gestion des ports > Paramètres globaux UDLD. a. Saisissez le Délai de message. b. Dans le champ État UDLD par défaut du port fibre, entrez Désactivé, Normal ou Agressif comme état UDLD global. ÉTAPE 2 Cliquez sur Appliquer. Flux de travail 2 : pour changer la configuration UDLD d'un port fibre ou pour activer UDLD sur un port cuivre, procédez comme suit : ÉTAPE 1 Ouvrez la page Gestion des ports > Paramètres globaux UDLD. a. Sélectionnez un port. b. Sélectionnez l'état UDLD du port Par défaut, Désactivé, Normal ou Agressif. Si vous sélectionnez Par défaut, le port se voit appliquer le paramètre global. ÉTAPE 2 Cliquez sur Appliquer. Flux de travail 3 : pour réactiver un port après sa fermeture par UDLD si la réactivation automatique n'a pas été configurée : ÉTAPE 1 Ouvrez la page Gestion des ports > Paramètres de récupération d'erreur. a. Sélectionnez un port. b. Cliquez sur Réactiver. Configuration de UDLD La fonction UDLD peut être configurée pour tous les ports fibre à la fois (sur la page Paramètres globaux UDLD) ou pour chaque port (sur la page Paramètres d'interface UDLD). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 188 Gestion des ports : Unidirectional Link Detection Configuration de UDLD 12 Paramètres globaux UDLD L'État UDLD par défaut du port fibre s'applique uniquement aux ports fibre. Le champ Délai de message s'applique aux ports cuivre et fibre. Pour configurer UDLD globalement : ÉTAPE 1 Cliquez sur Gestion des ports > UDLD > Paramètres globaux UDLD. ÉTAPE 2 Renseignez les champs suivants : • Délai de message : entrez l'intervalle entre deux messages UDLD envoyés. Ce champ est destiné aux ports fibre et cuivre. • État UDLD par défaut du port fibre : ce champ est uniquement destiné aux ports fibre. L'état UDLD des ports cuivre doit être défini individuellement sur la page Paramètres d'interface UDLD. Les états possibles sont : - Désactivé : UDLD est désactivé sur tous les ports du périphérique. - Normal : le périphérique arrête une interface si la liaison est unidirectionnelle. Si la liaison est indéterminée, une notification est émise. - Agressif : le périphérique arrête une interface si la liaison est unidirectionnelle. Si la liaison est bidirectionnelle, le périphérique s'arrête après expiration des informations UDLD. L'état du port est marqué comme Indéterminé. ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de configuration d'exécution. Paramètres d'interface UDLD Utilisez la page Paramètres d'interface UDLD pour changer l'état UDLD d'un port spécifique. Vous pouvez ici définir l'état pour les ports cuivre et fibre. Pour copier un ensemble de valeurs spécifique vers plusieurs ports, définissez la valeur pour un port, puis utilisez le bouton Copier pour la copier sur les autres ports. Pour configurer UDLD sur une interface : ÉTAPE 1 Cliquez sur Gestion des ports > UDLD > Paramètres d'interface UDLD. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 189 Gestion des ports : Unidirectional Link Detection Configuration de UDLD 12 Les informations sont affichées pour tous les ports sur lesquels UDLD est activé. Toutefois, si vous avez effectué un filtrage sur un groupe de ports spécifique, les informations sont affichées pour ce groupe de ports uniquement. • Port : l'identifiant du port. • État UDLD : les états possibles sont : • • - Désactivé : UDLD est désactivé sur tous les ports fibre du périphérique. - Normal : le périphérique arrête une interface s'il détecte que la liaison est unidirectionnelle. Si la liaison est indéterminée, il émet une notification. - Agressif : le périphérique arrête une interface si la liaison est unidirectionnelle. Si la liaison est bidirectionnelle, le périphérique s'arrête après expiration des informations UDLD. L'état du port est marqué comme Indéterminé. État bidirectionnel : sélectionnez la valeur de ce champ pour le port sélectionné. Les états possibles sont : - Détection : le dernier état UDLD du port est en cours de détermination. Le délai d'expiration n'a pas encore été atteint depuis la dernière détermination (le cas échéant) ou depuis le début de l'exécution de UDLD sur le port ; l'état n'a donc pas encore été déterminé. - Bidirectionnel : le trafic envoyé par le périphérique local est reçu par son voisin et le trafic envoyé par le voisin est reçu par le périphérique local. - Indéterminé : l'état de la liaison entre le port et son port connecté ne peut pas être déterminé, car aucun message UDLD n'a été reçu ou le message UDLD ne contenait pas l'ID du périphérique local. - Désactivé : UDLD a été désactivé sur ce port. - Fermer : le port a été fermé car sa liaison avec le périphérique connecté est indéterminée en mode agressif. Nombre de voisins : nombre de périphériques connectés détectés. ÉTAPE 2 Pour modifier l'état UDLD d'un port spécifique, sélectionnez-le et cliquez sur Modifier. ÉTAPE 3 Modifiez la valeur de l'état UDLD. Si vous sélectionnez Par défaut, le port reçoit la valeur de l'État UDLD par défaut du port fibre défini sur la page Paramètres globaux UDLD. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 190 Gestion des ports : Unidirectional Link Detection Configuration de UDLD 12 Voisins UDLD Pour afficher tous les périphériques connectés au périphérique local : ÉTAPE 1 Cliquez sur Gestion des ports > UDLD > Voisins UDLD. Les champs suivants sont affichés pour tous les ports sur lesquels UDLD est activé. • Nom de l'interface : nom du port UDLD local. • Informations de voisinage : • - ID du périphérique : ID du périphérique distant. - MAC du périphérique : adresse MAC du périphérique distant. - Nom du périphérique : nom du périphérique distant. - ID du port : nom du port distant. État : état de la liaison entre le périphérique local et le périphérique voisin sur le port local. Les valeurs suivantes sont possibles : - Détection : le dernier état UDLD du port est en cours de détermination. Le délai d'expiration n'a pas encore été atteint depuis la dernière détermination (le cas échéant) ou depuis le début de l'exécution de UDLD sur le port ; l'état n'a donc pas encore été déterminé. - Bidirectionnel : le trafic envoyé par le périphérique local est reçu par son voisin et le trafic envoyé par le voisin est reçu par le périphérique local. - Indéterminé : l'état de la liaison entre le port et son port connecté ne peut pas être déterminé, car aucun message UDLD n'a été reçu ou le message UDLD ne contenait pas l'ID du périphérique local. - Désactivé : UDLD a été désactivé sur ce port. - Fermer : le port a été fermé car sa liaison avec le périphérique connecté est indéterminée en mode agressif. • Délai d'expiration du voisin (s) : indique le délai à respecter avant que le périphérique tente de déterminer l'état UDLD du port. Il correspond à trois fois le délai de message. • Heure du message du voisin (s) : indique le délai entre les messages UDLD. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 191 13 Port intelligent Ce document décrit la fonction Port intelligent. Il contient les rubriques suivantes : • Présentation • Qu'est-ce qu'un port intelligent ? • Types de port intelligent • Macros Port intelligent • Échec de la macro et opération de réinitialisation • Fonctionnement de la fonction Port intelligent • Port intelligent automatique • Gestion des erreurs • Configuration par défaut • Relations avec les autres fonctions et compatibilité descendante • Tâches courantes de port intelligent • Configuration de port intelligent à l'aide de l'interface Web • Macros Port intelligent intégrées Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 192 Port intelligent Présentation 13 Présentation La fonction Port intelligent constitue un moyen pratique d'enregistrer et de partager des configurations communes. En appliquant la même macro Port intelligent à plusieurs interfaces, ces dernières partagent un ensemble commun de configurations. Une macro Port intelligent est un script de commandes de l'interface de ligne de commande (CLI). Il est possible d'appliquer une macro Port intelligent à une interface par nom de macro ou par Type de port intelligent associé à la macro. L'application d'une macro Port intelligent par nom de macro s'effectue uniquement via l'interface de ligne de commande. Pour plus d'informations, reportez-vous au guide de l'interface de ligne de commande (CLI). Il y a deux façons d'appliquer une macro Port intelligent par type de port intelligent à une interface : • Port intelligent statique : vous attribuez manuellement un type de port intelligent à une interface. La macro Port intelligent correspondante est alors appliquée à l'interface. • Port intelligent automatique : l'option Port intelligent automatique attend qu'un appareil soit associé à l'interface avant d'appliquer une configuration. Lorsqu'un appareil est détecté à partir d'une interface, la macro Port intelligent (si elle est attribuée) qui correspond au Type de port intelligent de l'appareil en cours d'association est automatiquement appliquée. La fonction Port intelligent est constituée de plusieurs composants et opère conjointement avec d'autres fonctions de l'appareil. Ces composants et fonctions sont décrits dans les sections suivantes : • Port intelligent, Types de port intelligent et Macros Port intelligent, décrits dans cette section. • VLAN vocal et Port intelligent, décrits dans la section VLAN voix. • LLDP/CDP pour port intelligent, décrits respectivement dans les sections Configuration de LLDP et Configuration de CDP. Les flux de travail classiques sont également décrits dans la section Tâches courantes de port intelligent. Qu'est-ce qu'un port intelligent ? Un port intelligent est une interface à laquelle une macro intégrée (ou définie par l'utilisateur) peut être appliquée. Ces macros sont conçues pour permettre de configurer rapidement l'appareil, afin de répondre aux exigences de communication et d'utiliser les fonctions des différents types de périphériques réseau. Les exigences d'accès réseau et de qualité de service (QoS) varient si l'interface est connectée à un téléphone IP, une imprimante ou un routeur et/ou un point d'accès (AP). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 193 Port intelligent Types de port intelligent 13 Types de port intelligent Les Types de port intelligent se réfèrent aux types des appareils associés ou devant être associés aux ports intelligents. L'appareil prend en charge les types de port intelligent suivants : • Imprimante • Bureau • Invité • Serveur • Hôte • Caméra IP • Téléphone IP • Téléphone IP+Bureau • Commutateur • Routeur • Point d'accès sans fil Les Types de port intelligent sont nommés pour décrire le type d'appareil connecté à une interface. Chaque Type de port intelligent est associé à deux macros Port intelligent. La première, appelée « la macro », permet d'appliquer la configuration souhaitée. La deuxième, appelée « l'anti-macro », permet d'annuler toute configuration effectuée par « la macro » lorsque cette interface change de type de port intelligent. Vous pouvez appliquer une macro Port intelligent à l'aide des méthodes suivantes : • Le Type de port intelligent associé. • De manière statique à partir d'une macro Port intelligent, par son nom uniquement depuis l'interface de ligne de commande (CLI). Une macro Port intelligent peut être appliquée par son Type de port intelligent, de manière statique à partir de l'interface de ligne de commande (CLI) et de l'interface utilisateur graphique (GUI), et de manière dynamique par le Port intelligent automatique. L'option Port intelligent automatique détecte les types de port intelligent des appareils associés, sur la base des fonctionnalités CDP, des fonctionnalités système LLDP et/ou des fonctionnalités LLDP-MED. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 194 13 Port intelligent Types de port intelligent Le tableau suivant décrit la relation entre les Types de port intelligent et le Port intelligent automatique. Type de port intelligent Pris en charge par le Port intelligent automatique Pris en charge par le Port intelligent automatique par défaut Inconnu Non Non Par défaut Non Non Imprimante Non Non Bureau Non Non Invité Non Non Serveur Non Non Hôte Oui Non Caméra IP Non Non Téléphone IP Oui Oui Téléphone IP de bureau Oui Oui Commutateur Oui Oui Routeur Oui Non Point d'accès sans fil Oui Oui Types de port intelligent spéciaux Il existe deux types de port intelligent spéciaux : Par défaut et Inconnu. Ces deux types ne sont pas associés à des macros, mais servent à indiquer l'état de l'interface par rapport au port intelligent. Les types de port intelligent spéciaux sont décrits ci-dessous : • Par défaut Une interface à laquelle un Type de port intelligent n'est pas (encore) attribué a l'état Port intelligent par défaut. Si l'option Port intelligent automatique attribue un type de port intelligent à une interface et que l'interface n'est pas configurée pour être Port intelligent automatique persistant, alors son type de port intelligent est réinitialisé à la valeur par défaut dans les cas suivants : - Une opération de désactivation/activation de la liaison est effectuée sur l'interface. - L'appareil est redémarré. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 195 13 Port intelligent Macros Port intelligent • Tous les appareils associés à l'interface ont vu leur délai expirer, ce qui est défini par l'absence d'annonce CDP et/ou LLDP en provenance de l'appareil pendant une durée spécifiée. Inconnu Si une macro Port intelligent est appliquée à une interface et qu'une erreur se produit, l'état Inconnu est attribué à l'interface. Dans ce cas, les fonctions Port intelligent et Port intelligent automatique ne sont pas actives sur l'interface tant que vous n'avez pas corrigé l'erreur et appliqué l'action Réinitialiser (sur les pages Paramètres d'interface) qui réinitialise l'état Port intelligent. Pour obtenir des conseils de dépannage, reportez-vous à la partie flux de travail dans Tâches courantes de port intelligent. REMARQUE Dans cette section, l'expression « délai expiré » sert à décrire les messages LLDP et CDP via leur TTL. Si la fonction Port intelligent automatique est activée, que l'État persistant est désactivé et qu'aucun message CDP ou LLDP n'est plus reçu sur l'interface avant que les deux TTL des paquets CDP et LLDP les plus récents ne diminuent à 0, l'anti-macro est exécutée et le Type de port intelligent est réinitialisé à ses valeurs par défaut. Macros Port intelligent Une macro Port intelligent est un script de commandes CLI qui configure une interface de manière appropriée pour un appareil réseau spécifique. Ne confondez pas les macros Port intelligent avec les macros globales. Les macros globales configurent l'appareil de manière globale, alors que l'étendue d'une macro Port intelligent est limitée à l'interface à laquelle elle s'applique. Le code source de la macro peut être trouvé en exécutant la commande show parser macro name [nom_macro] en mode d'exécution privilégiée de l'interface de ligne de commande (CLI) ou en cliquant sur le bouton Afficher la source de la macro de la page Paramètres de type de port intelligent. Une macro et l'anti-macro correspondante sont couplées en association avec chaque Type de port intelligent. La macro applique la configuration et l'anti-macro la supprime. Il y a deux types de macros Port intelligent : • Intégré : ces macros sont fournies par le système. Une macro applique le profil de configuration et l'autre le supprime. Les noms des macros Port intelligent intégrées et du Type de port intelligent auquel elles sont associées sont indiqués ci-dessous : - nom_macro (par exemple : printer) - no_nom_macro (par exemple : no_printer) Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 196 Port intelligent Échec de la macro et opération de réinitialisation • 13 Défini par l'utilisateur : ces macros sont écrites par les utilisateurs. Pour plus d'informations, reportezvous au Guide de référence de l'interface de ligne de commande (CLI). Pour associer une macro définie par l'utilisateur à un Type de port intelligent, vous devez également définir son anti-macro. - nom-type-port-intelligent (par exemple : mon_imprimante) - no_nom-type-port-intelligent (par exemple : no_mon_imprimante) Les macros Port intelligent sont liées aux Types de port intelligent sur la page Modifier le paramètre du type de port intelligent. Pour afficher la liste des macros Port intelligent intégrées pour chaque type d'appareil, reportez-vous à la section Macros Port intelligent intégrées. Application d'un Type de port intelligent à une interface Lorsque des Types de port intelligent sont appliqués aux interfaces, les Types de port intelligent et la configuration dans les macros Port intelligent associées sont enregistrés dans le fichier de Configuration d'exécution. Si l'administrateur enregistre le fichier de Configuration d'exécution dans le fichier de Configuration de démarrage, l'appareil applique les Types de port intelligent et les macros Port intelligent aux interfaces après le redémarrage du système, comme suit: • Si le fichier de Configuration de démarrage ne spécifie pas de Type de port intelligent pour une interface, son Type de port intelligent est défini sur Par défaut. • Si le fichier de Configuration de démarrage spécifie un Type de port intelligent statique, le Type de port intelligent de l'interface est défini sur ce type statique. • Si le fichier de Configuration de démarrage spécifie un Type de port intelligent qui a été dynamiquement attribué par la fonction Port intelligent automatique. - Si l'état Auto Smartport Global Operational (Port intelligent automatique global opérationnel), l'état Port intelligent automatique de l'interface et l'état Persistant sont tous activés, le type de port intelligent est défini sur ce type dynamique. - Sinon, l'anti-macro correspondante est appliquée et l'état de l'interface est défini sur Par défaut. Échec de la macro et opération de réinitialisation Une macro Port intelligent peut échouer s'il y a un conflit entre la configuration existante de l'interface et une macro Port intelligent. Lorsqu'une macro Port intelligent échoue, un message SYSLOG contenant les paramètres suivants est envoyé : • Numéro de port Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 197 Port intelligent Fonctionnement de la fonction Port intelligent • Type de port intelligent • Numéro de ligne de la commande CLI ayant échoué dans la macro 13 Lorsqu'une macro Port intelligent échoue sur une interface, l'état de l'interface est défini sur Inconnu. La raison de l'échec peut être affichée sur la page Paramètres d'interface, dans la fenêtre contextuelle Afficher les diagnostics. Une fois que la source du problème a été identifiée et que la configuration existante ou la macro Port intelligent a été corrigée, vous devez effectuer une opération de réinitialisation pour réinitialiser l'interface avant de pouvoir la réappliquer avec un Type de port intelligent (sur les pages Paramètres d'interface). Pour obtenir des conseils de dépannage, reportez-vous à la partie flux de travail dans Tâches courantes de port intelligent. Fonctionnement de la fonction Port intelligent Il est possible d'appliquer une macro Port intelligent à une interface par le nom de la macro ou par le type de port intelligent associé à la macro. L'application d'une macro Port intelligent par nom de macro s'effectue uniquement via l'interface de ligne de commande. Pour plus d'informations, reportez-vous au guide de l'interface de ligne de commande (CLI). Puisque le système prend en charge les Types de port intelligent correspondant aux appareils qui ne peuvent pas être découverts via CDP et/ou LLDP, ces Types de port intelligent doivent être attribués de manière statique aux interfaces souhaitées. Pour ce faire, accédez à la page Paramètres d'interface de port intelligent, sélectionnez la case d'option correspondant à l'interface souhaitée, puis cliquez sur Modifier. Sélectionnez ensuite le Type de port intelligent que vous souhaitez attribuer, puis réglez les paramètres si nécessaire avant de cliquer sur Appliquer. Il y a deux façons d'appliquer une macro Port intelligent par type de port intelligent à une interface : • Port intelligent statique Vous attribuez manuellement un Type de port intelligent à une interface. La macro Port intelligent correspondante est appliquée à l'interface. Sur la page Paramètres d'interface de port intelligent, vous pouvez attribuer manuellement un Type de port intelligent à une interface. • Port intelligent automatique Lorsqu'un appareil est détecté à partir d'une interface, la macro Port intelligent (si elle est présente) qui correspond au Type de port intelligent de l'appareil en cours d'association est automatiquement appliquée. La fonction Port intelligent automatique est activée par défaut au niveau global et au niveau de l'interface. Dans les deux cas, l'anti-macro associée est exécutée lorsque le Type de port intelligent est supprimé de l'interface, et l'anti-macro est exécutée exactement de la même manière, supprimant ainsi toute la configuration de l'interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 198 13 Port intelligent Port intelligent automatique Port intelligent automatique Pour que le Port intelligent automatique attribue automatiquement des Types de port intelligent aux interfaces, la fonction Port intelligent automatique doit être activée au niveau global et sur les interfaces pertinentes que le port intelligent automatique doit être autorisé à configurer. Par défaut, le Port intelligent automatique est activé et autorisé à configurer toutes les interfaces. Le type de port intelligent attribué à chaque interface est déterminé par les paquets CDP et LLDP reçus respectivement sur chaque interface. • Si plusieurs appareils sont associés à une interface, un profil de configuration adapté à tous les appareils est si possible appliqué à l'interface. • Si un appareil est arrivé à expiration (ne reçoit plus d'annonces des autres appareils), la configuration de l'interface est modifiée conformément à son État persistant. Si l'État persistant est activé, la configuration de l'interface est conservée. Sinon, le Type de port intelligent revient à ses valeurs par défaut. Activation du Port intelligent automatique L'option Port intelligent automatique peut être activée globalement sur la page Propriétés en procédant comme suit : • Activé : active manuellement le Port intelligent automatique et le rend opérationnel immédiatement. • Activer par VLAN voix automatique : permet au Port intelligent automatique de fonctionner si la fonction VLAN voix automatique est activée et opérationnelle. Activer par VLAN voix automatique est la valeur par défaut. REMARQUE Outre l'activation du Port intelligent automatique au niveau global, vous devez aussi activer le Port intelligent automatique sur l'interface souhaitée. Par défaut, le Port intelligent automatique est activé sur toutes les interfaces. Pour plus d'informations sur l'activation du VLAN voix automatique, reportez-vous à la section VLAN voix. Identification du Type de port intelligent Si le Port intelligent automatique est activé au niveau global (sur la page Propriétés) et sur une interface (sur la page Paramètres d'interface), l'appareil applique une macro Port intelligent à l'interface conformément au Type de port intelligent de l'appareil en cours d'association. Le Port intelligent automatique détecte les Types de port intelligent des appareils en cours d'association, sur la base des fonctionnalités CDP et/ou LLDP notifiées par les appareils. Par exemple, si un téléphone IP est associé à un port, il transmet des paquets CDP ou LLDP qui annoncent ses fonctionnalités. Après réception de ces paquets CDP et/ou LLDP, l'appareil détecte le Type de port intelligent approprié au téléphone et applique la macro Port intelligent correspondante à l'interface à laquelle le téléphone IP est associé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 199 13 Port intelligent Port intelligent automatique Excepté si le Port intelligent automatique persistant est activé sur une interface, le Type de port intelligent et la configuration générée qui est appliquée par le Port intelligent automatique sont supprimés si le ou les appareils en cours d'association arrivent à expiration, passent en liaison inactive, redémarrent, ou si des fonctionnalités conflictuelles sont reçues. Les délais d'expiration sont déterminés par l'absence d'annonces CDP et/ou LLDP en provenance de l'appareil pendant une durée spécifiée. Utilisation des informations CDP/LLDP pour identifier les Types de port intelligent L'appareil détecte le type d'appareil associé au port, sur la base des fonctionnalités CDP/LLDP. Ce mappage est présenté dans les tableaux suivants : Mappage des fonctionnalités CDP au type de port intelligent Nom de la fonctionnalité Bit CDP Type de port intelligent Routeur 0x01 Routeur Pont TB 0x02 Point d'accès sans fil Pont SR 0x04 Ignorer Commutateur 0x08 Commutateur Hôte 0x10 Hôte Filtrage conditionnel IGMP 0x20 Ignorer Répéteur 0x40 Ignorer Téléphone VoIP 0x80 ip_phone Appareil géré à distance 0x100 Ignorer Port de téléphone CAST 0x200 Ignorer Relais MAC à deux ports 0x400 Ignorer Mappage des fonctionnalités LLDP au type de port intelligent Nom de la fonctionnalité Bit LLDP Type de port intelligent Autre 1 Ignorer Répéteur IETF RFC 2108 2 Ignorer Pont MAC IEEE Std. 802.1D 3 Commutateur Point d'accès WLAN IEEE Std. 802.11 MIB 4 Point d'accès sans fil Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 200 13 Port intelligent Port intelligent automatique Mappage des fonctionnalités LLDP au type de port intelligent (Suite) Nom de la fonctionnalité Bit LLDP Type de port intelligent Routeur IETF RFC 1812 5 Routeur Téléphone IETF RFC 4293 6 ip_phone Système de câble DOCSIS IETF RFC 4639 et IETF RFC 4546 7 Ignorer Station uniquement IETF RFC 4293 8 Hôte Composant C-VLAN d'un pont VLAN IEEE Std. 802.1Q 9 Commutateur Composant S-VLAN d'un pont VLAN IEEE Std. 802.1Q 10 Commutateur Relais MAC à deux ports (TPMR) IEEE Std. 802.1Q 11 Ignorer Réservé 12-16 Ignorer REMARQUE Si seul le téléphone IP et les bits hôtes sont définis, le type de port intelligent est ip_phone_desktop. Plusieurs appareils associés au port L'appareil détecte le Type de port intelligent d'un appareil connecté via les fonctionnalités que l'appareil annonce dans ses paquets CDP et/ou LLDP. Si plusieurs appareils sont connectés à l'appareil par le biais d'une seule interface, le Port intelligent automatique utilise chaque annonce de fonctionnalité qu'il reçoit via cette interface pour attribuer le Type de port intelligent correct. L'attribution est basée sur l'algorithme suivant : • Si tous les appareils présents sur une interface annoncent la même fonctionnalité (il n'y a pas de conflit), le Type de port intelligent correspondant est appliqué à l'interface. • Si l'un des appareils est un commutateur, le Type de port intelligent Commutateur est utilisé. • Si l'un des appareils est un point d'accès, le Type de port intelligent Point d'accès sans fil est utilisé. • Si l'un des appareils est un téléphone IP et qu'un autre appareil est un hôte, le type de port intelligent ip_phone_desktop est utilisé. • Si l'un des appareils est un téléphone IP de bureau et que l'autre est un téléphone IP ou un hôte, le type de port intelligent ip_phone_desktop est utilisé. • Dans tous les autres cas, le Type de port intelligent par défaut est utilisé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 201 13 Port intelligent Gestion des erreurs Pour plus d'informations sur LLDP/CDP, reportez-vous respectivement aux sections Configuration de LLDP et Configuration de CDP. Interface du Port intelligent automatique persistant Si l'État persistant d'une interface est activé, son Type de port intelligent et la configuration qui est déjà appliquée dynamiquement par le Port intelligent automatique sont conservés sur l'interface, même si l'appareil en cours d'association est arrivé à expiration, l'interface a été désactivée et l'appareil a été redémarré (si l'on part du principe que la configuration a été enregistrée). Le Type de port intelligent et la configuration de l'interface ne sont pas modifiés, sauf si le Port intelligent automatique détecte un appareil en cours d'association avec un autre Type de port intelligent. Si l'État persistant d'une interface est désactivé, l'interface rétablit le Type de port intelligent par défaut lorsque l'appareil en cours d'association arrive à expiration, l'interface est désactivée ou l'appareil est redémarré. L'activation de l'État persistant sur une interface élimine le retard de détection de l'appareil. REMARQUE La persistance des Types de port intelligent appliqués aux interfaces est effective entre les redémarrages uniquement si la configuration d'exécution avec le Type de port intelligent appliqué aux interfaces est enregistrée dans le fichier de Configuration de démarrage. Gestion des erreurs Lorsque l'application d'une macro Port intelligent à une interface échoue, vous pouvez examiner le point d'échec sur la page Paramètres d'interface, réinitialiser le port et réappliquer la macro une fois que l'erreur a été corrigée à partir des pages Paramètres d'interface et Modifier les paramètres d'interface. Configuration par défaut Le port intelligent est toujours disponible. Par défaut, le Port intelligent automatique est activé par le VLAN voix automatique, se base sur CDP et LLDP pour détecter le type de port intelligent de l'appareil en cours d'association, et détecte le type de port intelligent Téléphone IP, Téléphone IP+Bureau, Commutateur ou Point d'accès sans fil. Pour obtenir une description des valeurs de voix par défaut, reportez-vous à la section VLAN voix. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 202 Port intelligent Relations avec les autres fonctions et compatibilité descendante 13 Relations avec les autres fonctions et compatibilité descendante La fonction Port intelligent automatique est activée par défaut. Vous avez la possibilité de la désactiver. Les OUI de téléphonie ne peuvent actuellement pas fonctionner avec les fonctions Port intelligent automatique et VLAN voix automatique. Le Port intelligent automatique doit être désactivé avant d'activer le OUI de téléphonie. Tâches courantes de port intelligent Cette section décrit quelques tâches courantes permettant de configurer le Port intelligent et le Port intelligent automatique. Flux de travail 1 : pour activer globalement le Port intelligent automatique sur l'appareil et configurer un port avec la fonction Port intelligent automatique, procédez comme suit : ÉTAPE 1 Pour activer la fonction Port intelligent automatique sur l'appareil, ouvrez la page Port intelligent > Propriétés. Définissez Port intelligent automatique administratif sur Activer ou Activer par VLAN voix. ÉTAPE 2 Spécifiez si l'appareil doit traiter les annonces CDP et/ou LLDP des appareils connectés. ÉTAPE 3 Sélectionnez le type des appareils à détecter dans le champ Détection périphérique de port intelligent auto. ÉTAPE 4 Cliquez sur Appliquer. ÉTAPE 5 Pour activer la fonction Port intelligent automatique sur une ou plusieurs interfaces, ouvrez la page Port intelligent > Paramètres d'interface. ÉTAPE 6 Sélectionnez l'interface et cliquez sur Modifier. ÉTAPE 7 Sélectionnez Port intelligent automatique dans le champ Application de port intelligent. ÉTAPE 8 Cochez ou décochez État persistant. ÉTAPE 9 Cliquez sur Appliquer. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 203 Port intelligent Tâches courantes de port intelligent 13 Flux de travail 2 : pour configurer une interface en tant que port intelligent statique, procédez comme suit: ÉTAPE 1 Pour activer la fonction Port intelligent sur l'interface, ouvrez la page Port intelligent > Paramètres d'interface. ÉTAPE 2 Sélectionnez l'interface et cliquez sur Modifier. ÉTAPE 3 Sélectionnez le type de port intelligent que vous souhaitez attribuer à l'interface dans le champ Application de port intelligent. ÉTAPE 4 Définissez les paramètres de macro souhaités. ÉTAPE 5 Cliquez sur Appliquer. Flux de travail 3 : pour définir les valeurs par défaut des paramètres de macro Port intelligent et/ou lier une paire de macros définies par l'utilisateur à un type de port intelligent, procédez comme suit : Cette procédure vous permet d'effectuer les opérations suivantes : • Afficher la source de la macro. • Modifier les valeurs par défaut des paramètres. • Restaurer les paramètres d'usine. • Lier une paire de macros définies par l'utilisateur (une macro et son anti-macro correspondante) à un type de port intelligent. 1. Ouvrez la page Port intelligent > Paramètres de type de port intelligent. 2. Sélectionnez le Type de port intelligent. 3. Cliquez sur Afficher la source de la macro pour afficher la macro Port intelligent actuelle qui est associée au Type de port intelligent sélectionné. 4. Cliquez sur Modifier pour ouvrir une nouvelle fenêtre dans laquelle vous pouvez lier des macros définies par l'utilisateur au type de port intelligent sélectionné et/ou modifier les valeurs par défaut des paramètres dans les macros qui sont liées à ce type de port intelligent. Les valeurs par défaut de ces paramètres sont utilisées lorsque le Port intelligent automatique applique le Type de port intelligent sélectionné (le cas échéant) à une interface. 5. Sur la page Modifier, modifiez les champs. 6. Cliquez sur Appliquer pour réexécuter la macro si les paramètres ont été modifiés ou sur Restaurer les valeurs par défaut pour restaurer si nécessaire les valeurs par défaut des paramètres dans les macros intégrées. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 204 Port intelligent Tâches courantes de port intelligent 13 Flux de travail 4 : pour réexécuter une macro Port intelligent si celle-ci a échoué, procédez comme suit : ÉTAPE 1 Sur la page Paramètres d'interface, sélectionnez une interface avec le Type de port intelligent Inconnu. ÉTAPE 2 Cliquez sur Afficher les diagnostics pour visualiser le problème. ÉTAPE 3 Lancez la procédure de dépannage, puis corrigez le problème. Reportez-vous au conseil de dépannage ci-dessous. ÉTAPE 4 Cliquez sur Modifier. Une nouvelle fenêtre s'ouvre. Cliquez sur Réinitialiser pour réinitialiser l'interface. ÉTAPE 5 Revenez à la page principale et réappliquez la macro en utilisant Réappliquer (pour les appareils qui ne sont ni des commutateurs, ni des routeurs ni des points d'accès) ou Réappliquer la macro de port intelligent (pour les commutateurs, routeurs ou points d'accès) afin d'exécuter la macro Port intelligent sur l'interface. Il existe une deuxième méthode de réinitialisation d'une ou plusieurs interfaces inconnues : ÉTAPE 1 Sur la page Paramètres d'interface, activez la case à cocher Type de port est égal à. ÉTAPE 2 Sélectionnez Inconnu et cliquez sur OK. ÉTAPE 3 Cliquez sur Réinitialiser tous les ports intelligents inconnus. Réappliquez ensuite la macro comme indiqué ci-dessus. CONSEIL L'échec de la macro peut être dû à un conflit avec une configuration de l'interface qui a été effectuée avant l'application de la macro (le plus souvent rencontré dans les paramètres de sécurité et de contrôle des tempêtes), un type de port incorrect, une typo ou une commande incorrecte dans la macro définie par l'utilisateur ou encore une valeur de paramètre non valide. Les paramètres sont contrôlés, sans prise en compte du type ou de la limite, avant la tentative d'application de la macro. Par conséquent, une entrée incorrecte ou non valide pour une valeur de paramètre se soldera presque assurément par un échec lors de l'application de la macro. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 205 Port intelligent Configuration de port intelligent à l'aide de l'interface Web 13 Configuration de port intelligent à l'aide de l'interface Web Vous pouvez configurer la fonction Port intelligent sur les pages Port intelligent > Propriétés, Paramètres de type de port intelligent et Paramètres d'interface. Pour la configuration du VLAN vocal, reportez-vous à la section VLAN voix. Pour la configuration de LLDP/CDP, reportez-vous respectivement aux sections Configuration de LLDP et Configuration de CDP. Propriétés de port intelligent Pour configurer la fonction Port intelligent globalement : ÉTAPE 1 Cliquez sur Port intelligent > Propriétés. ÉTAPE 2 Saisissez les paramètres. • Port intelligent automatique administratif : sélectionnez cette option pour activer ou désactiver globalement le Port intelligent automatique. Les options suivantes sont disponibles : - Désactiver : sélectionnez cette option pour désactiver le Port intelligent automatique sur l'appareil. - Activer : sélectionnez cette option pour activer le Port intelligent automatique sur l'appareil. - Activer par VLAN voix automatique : cette option active le Port intelligent automatique, mais ne le rend opérationnel que lorsque le VLAN voix automatique est aussi activé et opérationnel. Activer par VLAN voix automatique est la valeur par défaut. • Port intelligent automatique opérationnel : affiche l'état de la fonction Port intelligent automatique. • Méthode de détection périphérique de port intelligent auto. : indiquez si les types de paquets entrants CDP et/ou LLDP doivent être utilisés pour détecter le type de port intelligent des appareils en cours d'association. Vous devez cocher au moins un type pour que le Port intelligent automatique puisse identifier les appareils. • État CDP opérationnel : affiche l'état opérationnel de CDP. Activez CDP si le Port intelligent automatique doit détecter le type de port intelligent à partir de l'annonce CDP. • État LLDP opérationnel : affiche l'état opérationnel de LLDP. Activez LLDP si le Port intelligent automatique doit détecter le type de port intelligent à partir de l'annonce LLDP/LLDP-MED. • Détection périphérique de port intelligent auto. : sélectionnez chaque type d'appareil pour lequel le Port intelligent automatique peut attribuer des types de port intelligent aux interfaces. Si vous ne cochez pas cette option, le Port intelligent automatique n'attribue ce Type de port intelligent à aucune interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 206 Port intelligent Configuration de port intelligent à l'aide de l'interface Web 13 ÉTAPE 3 Cliquez sur Appliquer. Vous appliquez ainsi les paramètres de Port intelligent globaux sur l'appareil. Paramètres de type de port intelligent Utilisez la page Paramètres de type de port intelligent pour modifier les paramètres de type de port intelligent et afficher la source de la macro. Par défaut, chaque Type de port intelligent est associé à une paire de macros Port intelligent intégrées. Pour plus d'informations sur la macro et l'anti-macro, reportez-vous à la section Types de port intelligent. Vous pouvez aussi associer votre propre paire de macros définies par l'utilisateur avec configurations personnalisées à un type de port intelligent. Les macros définies par l'utilisateur peuvent seulement être préparées via l'interface de ligne de commande (CLI). Pour plus d'informations, reportez-vous au Guide de référence de l'interface de ligne de commande (CLI). Les macros intégrées ou définies par l'utilisateur peuvent comporter des paramètres. Les macros intégrées peuvent intégrer jusqu'à trois paramètres. La modification de ces paramètres pour les Types de port intelligent qui sont appliqués par le Port intelligent automatique sur la page Paramètres de type de port intelligent configure les valeurs par défaut de ces paramètres. Ces valeurs par défaut sont utilisées par le Port intelligent automatique. REMARQUE Une fois les modifications apportées aux types Port intelligent automatique, les nouveaux paramètres sont appliqués aux interfaces auxquelles le Port intelligent automatique a déjà attribué ce type. Dans ce cas, si vous liez une macro non valide ou définissez une valeur par défaut non valide pour un paramètre, tous les ports de ce Type de port intelligent deviennent inconnus. ÉTAPE 1 Cliquez sur Port intelligent > Paramètres de type de port intelligent. ÉTAPE 2 Pour afficher la macro Port intelligent associée à un Type de port intelligent, sélectionnez un Type de port intelligent, puis cliquez sur Afficher la source de la macro. ÉTAPE 3 Pour modifier les paramètres d'une macro ou attribuer une macro définie par l'utilisateur, sélectionnez un Type de port intelligent, puis cliquez sur Modifier. ÉTAPE 4 Renseignez les champs. • Type de port : sélectionnez un type de port intelligent. • Nom de la macro : affiche le nom de la macro Port intelligent actuellement associée au type de port intelligent. • Type de macro : indiquez si la paire macro/anti-macro associée à ce type de port intelligent est intégrée ou définie par l'utilisateur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 207 Port intelligent Configuration de port intelligent à l'aide de l'interface Web • 13 Macro définie par l'utilisateur : si vous le souhaitez, sélectionnez la macro définie par l'utilisateur à associer au type de port intelligent sélectionné. La macro doit déjà avoir été couplée avec une anti-macro. Le couplage des deux macros s'effectue par nom et est décrit dans la section Macro Port intelligent. • Paramètres de macro : affiche les champs suivants pour trois paramètres dans la macro : - Nom du paramètre : nom du paramètre dans la macro. - Valeur du paramètre : valeur actuelle du paramètre dans la macro. Vous pouvez la modifier ici. - Description du paramètre : description du paramètre. Vous pouvez restaurer les valeurs par défaut des paramètres en cliquant sur Restaurer les valeurs par défaut. ÉTAPE 5 Cliquez sur Appliquer pour enregistrer les modifications dans la configuration d'exécution. Si la macro Port intelligent et/ou ses valeurs de paramètre associées au Type de port intelligent sont modifiées, le Port intelligent automatique réapplique automatiquement la macro aux interfaces qui sont actuellement attribuées avec le Type de port intelligent par le Port intelligent automatique. Le Port intelligent automatique n'applique pas les modifications aux interfaces auxquelles un Type de port intelligent a été attribué de façon statique. REMARQUE Il n'existe aucune méthode permettant de valider les paramètres de macro, car ils n'ont aucune association de type. Toutefois, n'importe quelle entrée est valide à ce stade. Néanmoins, des valeurs de paramètre non valides peuvent entraîner des erreurs lorsque le Type de port intelligent est attribué à une interface appliquant la macro associée. Paramètres d'interface de port intelligent Utilisez la page Paramètres d'interface pour effectuer les tâches suivantes : • Appliquez de manière statique un Type de port intelligent spécifique à une interface, avec des valeurs spécifiques à l'interface pour les paramètres de macro. • Activez le Port intelligent automatique sur une interface. • Diagnostiquez une macro Port intelligent dont l'application a échoué et a généré l'état Inconnu du Type de port intelligent. • Réappliquez une macro Port intelligent après son échec pour l'un des types d'interface suivants : commutateur, routeur et point d'accès. Vous devez avoir effectué les corrections nécessaires avant de cliquer sur Réappliquer. Pour obtenir des conseils de dépannage, reportez-vous à la partie flux de travail dans Tâches courantes de port intelligent. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 208 Port intelligent Configuration de port intelligent à l'aide de l'interface Web 13 • Réappliquez une macro Port intelligent à une interface. Dans certaines circonstances, il se peut que vous souhaitiez réappliquer une macro Port intelligent pour mettre à jour la configuration sur une interface. Par exemple, en réappliquant une macro Port intelligent d'appareil sur une interface de commutateur, l'interface devient membre des VLAN qui ont été créés depuis la dernière application de la macro. Vous devez connaître les configurations actuelles de l'appareil et la définition de la macro pour déterminer si une réapplication aura un impact sur l'interface. • Réinitialisez les interfaces inconnues. Le mode des interfaces inconnues est ainsi défini sur Par défaut. Pour appliquer une macro Port intelligent : ÉTAPE 1 Cliquez sur Port intelligent > Paramètres d'interface. Réappliquez la macro Port intelligent associée comme suit : • Sélectionnez un groupe de Types de port intelligent (commutateurs, routeurs ou points d'accès) et cliquez sur Réappliquer la macro de port intelligent. Les macros sont appliquées à tous les types d'interface sélectionnés. • Sélectionnez une interface UP et cliquez sur Réappliquer pour réappliquer la dernière macro appliquée à l'interface. L'action Réappliquer ajoute aussi l'interface à tous les VLAN nouvellement créés. ÉTAPE 2 Diagnostic de port intelligent. Si une macro Port intelligent échoue, le Type de port intelligent de l'interface est Inconnu. Sélectionnez une interface dont le type est inconnu, puis cliquez sur Afficher les diagnostics. Le système affiche la commande où l'application de la macro a échoué. Pour obtenir des conseils de dépannage, reportez-vous à la partie flux de travail dans Tâches courantes de port intelligent. Corrigez le problème et réappliquez la macro. ÉTAPE 3 Réinitialisation de toutes les interfaces inconnues au type Par défaut. • Activez la case à cocher Type de port est égal à. • Sélectionnez Inconnu et cliquez sur OK. • Cliquez sur Réinitialiser tous les ports intelligents inconnus. Réappliquez ensuite la macro comme indiqué ci-dessus. Cette opération réinitialise l'ensemble des interfaces de type Inconnu, ce qui signifie que le type Par défaut est réattribué à toutes les interfaces. Une fois que vous avez corrigé l'erreur dans la macro et/ ou dans la configuration d'interface actuelle, vous pouvez appliquer une nouvelle macro. REMARQUE La réinitialisation de l'interface de type inconnu ne réinitialise pas la configuration effectuée par la macro qui a échoué. Ce nettoyage doit être réalisé manuellement. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 209 Port intelligent Configuration de port intelligent à l'aide de l'interface Web 13 Pour attribuer un type de port intelligent à une interface ou activer la fonction Port intelligent automatique sur l'interface : ÉTAPE 1 Sélectionnez une interface et cliquez sur Modifier. ÉTAPE 2 Renseignez les champs. • Interface : sélectionnez le port ou LAG. • Type de port intelligent : affiche le type de port intelligent actuellement attribué au port/LAG. • Application de port intelligent : sélectionnez le type de port intelligent dans le menu déroulant Application de port intelligent. • Méthode d'application de port intelligent : si Port intelligent automatique est sélectionné, le type de port intelligent est automatiquement attribué en fonction de l'annonce CDP et/ou LLDP reçue des appareils en cours de connexion, et la macro Port intelligent correspondante est appliquée. Pour attribuer un Type de port intelligent de manière statique et appliquer la macro Port intelligent correspondante à l'interface, sélectionnez le Type de port intelligent souhaité. • État persistant : sélectionnez cette option pour activer l'état persistant. S'il est activé, l'association d'un Type de port intelligent à une interface est conservée même si l'interface est désactivée ou que l'appareil est redémarré. L'État persistant s'applique uniquement si l'Application de port intelligent de l'interface est Port intelligent automatique. L'activation de l'État persistant sur une interface élimine le retard de détection de l'appareil. • Paramètres de macro : affiche les champs suivants pour un maximum de trois paramètres dans la macro : - Nom du paramètre : nom du paramètre dans la macro. - Valeur du paramètre : valeur actuelle du paramètre dans la macro. Vous pouvez la modifier ici. - Description du paramètre : description du paramètre. ÉTAPE 3 Cliquez sur Réinitialiser pour définir une interface sur Par défaut si son état est Inconnu (en raison d'un échec d'application de macro). La macro peut être réappliquée sur la page principale. ÉTAPE 4 Cliquez sur Appliquer pour mettre à jour les modifications et attribuer le Type de port intelligent à l'interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 210 Port intelligent Macros Port intelligent intégrées 13 Macros Port intelligent intégrées Vous trouverez ci-dessous une description de la paire de macros intégrées pour chaque Type de port intelligent. Pour chaque Type de port intelligent, une macro permet de configurer l'interface et une antimacro permet de supprimer la configuration. Le code de macro des types de port intelligent suivants est indiqué ci-après : • desktop • printer • guest • server • host • ip_camera • ip_phone • ip_phone_desktop • switch • router • ap desktop [desktop] #interface configuration, for increased network security and reliability when connecting a desktop device, such as a PC, to a switch port. (configuration d'interface pour une sécurité et une fiabilité réseau accrues au moment de connecter un périphérique de bureau, tel qu'un PC à un port de commutateur.) #macro description Desktop #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$max_hosts = 10 # #the port type cannot be detected automatically # #the default mode is trunk smartport switchport trunk native vlan $native_vlan # port security max $max_hosts Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 211 Port intelligent Macros Port intelligent intégrées 13 port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ no_desktop [no_desktop] #macro description No Desktop # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ printer [printer] #macro description printer #macro keywords $native_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port #Default Values are #$native_vlan = Default VLAN # #the port type cannot be detected automatically # switchport mode access switchport access vlan $native_vlan # #single host port security max 1 port security mode max-addresses port security discard trap 60 # Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 212 Port intelligent Macros Port intelligent intégrées 13 smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ no_printer [no_printer] #macro description No printer # no switchport access vlan no switchport mode # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ guest [guest] #macro description guest #macro keywords $native_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port #Default Values are #$native_vlan = Default VLAN # #the port type cannot be detected automatically # switchport mode access switchport access vlan $native_vlan # #single host port security max 1 port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 213 Port intelligent Macros Port intelligent intégrées 13 spanning-tree portfast # @ no_guest]] [no_guest] #macro description No guest # no switchport access vlan no switchport mode # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ server [server] #macro description server #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$max_hosts = 10 # #the port type cannot be detected automatically # #the default mode is trunk smartport switchport trunk native vlan $native_vlan # port security max $max_hosts port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control broadcast enable # spanning-tree portfast # @ Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 214 Port intelligent Macros Port intelligent intégrées 13 no_server [no_server] #macro description No server # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level # spanning-tree portfast auto # @ host [host] #macro description host #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$max_hosts = 10 # #the port type cannot be detected automatically # #the default mode is trunk smartport switchport trunk native vlan $native_vlan # port security max $max_hosts port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 215 Port intelligent Macros Port intelligent intégrées 13 no_host [no_host] #macro description No host # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_camera [ip_camera] #macro description ip_camera #macro keywords $native_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port #Default Values are #$native_vlan = Default VLAN # switchport mode access switchport access vlan $native_vlan # #single host port security max 1 port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 216 Port intelligent Macros Port intelligent intégrées 13 no_ip_camera [no_ip_camera] #macro description No ip_camera # no switchport access vlan no switchport mode # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_phone [ip_phone] #macro description ip_phone #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 #$max_hosts = 10 # #the default mode is trunk smartport switchport trunk allowed vlan add $voice_vlan smartport switchport trunk native vlan $native_vlan # port security max $max_hosts port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 217 Port intelligent Macros Port intelligent intégrées 13 no_ip_phone [no_ip_phone] #macro description no ip_phone #macro keywords $voice_vlan # #macro key description: $voice_vlan: ID du VLAN voix # #Default Values are #$voice_vlan = 1 # smartport switchport trunk allowed vlan remove $voice_vlan no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_phone_desktop [ip_phone_desktop] #macro description ip_phone_desktop #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix # $max_hosts: Nombre maximum de périphériques autorisés sur le port #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 #$max_hosts = 10 # #the default mode is trunk smartport switchport trunk allowed vlan add $voice_vlan smartport switchport trunk native vlan $native_vlan # port security max $max_hosts port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 218 Port intelligent Macros Port intelligent intégrées 13 spanning-tree portfast # @ no_ip_phone_desktop [no_ip_phone_desktop] #macro description no ip_phone_desktop #macro keywords $voice_vlan # #macro key description: $voice_vlan: ID du VLAN voix # #Default Values are #$voice_vlan = 1 # smartport switchport trunk allowed vlan remove $voice_vlan no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ switch [switch] #macro description switch #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 # #the default mode is trunk smartport switchport trunk allowed vlan add all smartport switchport trunk native vlan $native_vlan # spanning-tree link-type point-to-point # @ Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 219 13 Port intelligent Macros Port intelligent intégrées no_switch [no_switch] #macro description No switch #macro keywords $voice_vlan # #macro key description: $voice_vlan: ID du VLAN voix # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no spanning-tree link-type # @ router [router] #macro description router #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port # $voice_vlan: ID du VLAN voix # #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 # #the default mode is trunk smartport switchport trunk allowed vlan add all smartport switchport trunk native vlan $native_vlan # smartport storm-control broadcast level 10 smartport storm-control broadcast enable # spanning-tree link-type point-to-point # @ no_router [no_router] #macro description No router #macro keywords $voice_vlan # #macro key description: $voice_vlan: ID du VLAN voix # Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 220 Port intelligent Macros Port intelligent intégrées 13 no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no smartport storm-control broadcast enable no smartport storm-control broadcast level # no spanning-tree link-type # @ ap [ap] #macro description ap #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: VLAN sans balise qui sera configuré sur le port Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 221 14 Gestion des ports : PoE La fonctionnalité PoE (Power over Ethernet) n'est disponible que sur les appareils basés sur PoE. Une liste de ces appareils vous est présentée à la section Modèles de périphériques. Cette section décrit comment utiliser la fonctionnalité PoE. REMARQUE La fonctionnalité PoE n'est pas activée sur les périphériques SG500XG/ESW2-550X. Elle couvre les rubriques suivantes : • PoE sur l'appareil • Propriétés PoE • Paramètres PoE PoE sur l'appareil Un appareil PoE est un PSE (Power Sourcing Equipment) qui assure l'alimentation électrique des appareils alimentés (PD, Powered Devices) connectés par les câbles cuivre existants, sans interférence avec le trafic réseau, la mise à jour du réseau physique ou la modification de l'infrastructure réseau. Consultez la section Modèles de périphériques pour en savoir plus sur la prise en charge PoE sur les différents modèles. Fonctions PoE PoE offre les fonctions suivantes : • Elle élimine le besoin d'assurer l'alimentation 110/220 V (CA) de tous les appareils connectés à un réseau local (LAN) filaire. • Elle supprime la nécessité de placer tous les appareils réseau à proximité de sources d'alimentation. • Elle élimine le besoin de déployer des systèmes à double câblage dans une entreprise et permet ainsi de réduire de façon significative les coûts d'installation. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 222 Gestion des ports : PoE PoE sur l'appareil 14 PoE peut être utilisé dans tout réseau d'entreprise déployant des appareils de puissance relativement faible connectés au LAN Ethernet et notamment : • les téléphones IP ; • les points d'accès sans fil ; • les passerelles IP ; • les appareils de surveillance audio et vidéo à distance. Fonctionnement de PoE Le processus de mise en œuvre de PoE comprend les étapes suivantes : • Détection : envoie des impulsions spéciales sur le câble cuivre. Lorsqu'un appareil PoE est situé à l'autre extrémité, cet appareil répond à ces impulsions. • Classification : la négociation entre le PSE (Power Sourcing Equipment) et l'appareil alimenté (PD, Powered Device) débute après l'étape de détection. Au cours de la négociation, l'appareil alimenté spécifie sa classe, qui correspond à la quantité maximale d'énergie qu'il consomme. • Consommation électrique : une fois l'étape de classification terminée, le PSE assure l'alimentation de l'appareil alimenté (PD). Si l'appareil alimenté prend en charge la technologie PoE, mais sans classification, il est supposé être de classe 0 (le maximum). Si un appareil alimenté essaie de consommer plus d'énergie que ne l'autorise la norme, le PSE arrête d'alimenter le port. Le PoE prend en charge deux modes : • Limite du port : la puissance maximale que l'appareil accepte de fournir est limitée à la valeur configurée par l'administrateur système, indépendamment du résultat de la classification. • Limite de classe : la puissance maximale que l'appareil accepte de fournir est déterminée par les résultats obtenus à l'étape de classification. Cela signifie qu'elle est définie conformément à la demande du client. Considérations relatives à la configuration de PoE Deux facteurs sont à prendre en considération dans la fonctionnalité PoE : • la quantité d'énergie que le PSE peut fournir ; • la quantité d'énergie que l'appareil alimenté essaie vraiment de consommer. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 223 14 Gestion des ports : PoE PoE sur l'appareil Les options suivantes peuvent être configurées : • puissance maximale qu'un PSE est autorisé à fournir à un PD ; • alors que l'appareil fonctionne, de changer le mode de Limite de classe en Limite du port et vice versa. Les valeurs de puissance par port qui ont été configurées pour le mode Port Limit sont conservées. REMARQUE Remplacer le mode Limite de classe par Limite de port et inversement tandis que l'appareil PSE fonctionne provoque le redémarrage forcé de l'appareil alimenté. • De la limite de port maximale autorisée en tant que limite numérique par port en mW (mode Port Limit). • De générer un filtre lorsqu'un appareil alimenté essaie de consommer trop d'énergie et à quel pourcentage de la puissance maximale ce filtre est généré. Le matériel PoE spécifique détecte automatiquement la classe du PD et sa limite de puissance en fonction de la classe de l'appareil connecté à chaque port spécifique (mode Limite de classe). Si, à tout moment au cours de la connexion, un PD relié nécessite plus de puissance de la part du PSE que l'allocation configurée ne le permet (que le PSE soit en mode Limite de classe ou Limite du port), le PSE en question : • maintient l'état actif/inactif de la liaison du port PoE ; • désactive l'alimentation du port PoE ; • consigne le motif de l'arrêt de l'alimentation ; • génère un filtre SNMP. REMARQUE Lorsqu'un appareil PoE basse tension est connecté à un appareil de la série SG500 via la fonctionnalité PoE et qu'il est connecté via des ports PoE à chaque extrémité de la connexion, il ne peut plus alimenter aucun appareil alimenté. Pour éviter cette situation, désactivez la prise en charge PoE sur le SG500 ou servez-vous d'un port non PoE. ! ATTENTION Lorsque vous connectez un commutateur capable d'alimenter des appareils PoE, tenez compte des éléments suivants : Les modèles de commutateurs PoE des séries Sx200, Sx300 et SF500 sont des PSE pouvant fournir une alimentation CC aux appareils PD qui y sont reliés. Ces derniers englobent notamment des téléphones VoIP, des caméras IP et des points d'accès sans fil. Les commutateurs PoE peuvent détecter et alimenter des appareils alimentés préalablement standard PoE hérités. En raison de la prise en charge de l'ancien PoE, un appareil PoE agissant en tant que PSE peut détecter et alimenter à tort un appareil PSE connecté, y compris d'autres commutateurs PoE, en tant qu'ancien appareil alimenté. Même si les commutateurs PoE Sx200/300/500 sont des appareils PSE qui doivent Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 224 14 Gestion des ports : PoE Propriétés PoE être alimentés en courant alternatif, ils peuvent être alimentés en tant qu'appareil alimenté hérité par un autre PSE suite à une erreur de détection. Dans cette situation, l'appareil PoE risque de ne pas fonctionner correctement et peut également ne pas alimenter convenablement ses PD connectés. Pour éviter toute erreur de détection, vous devez désactiver le PoE au niveau des ports des commutateurs PoE que vous utilisez pour vous connecter à des appareils PSE. Vous devez également d'abord alimenter un appareil PSE avant de le connecter à un appareil PoE. Lorsqu'un appareil est considéré à tort comme un appareil alimenté, vous devez le déconnecter du port PoE, puis l'alimenter avec du courant alternatif avant de reconnecter ses ports PoE. Propriétés PoE La page Propriétés PoE permet de sélectionner le mode PoE Limite du port ou Limite de classe, et de spécifier les interceptions PoE à générer. Ces paramètres sont saisis à l'avance. Lorsque l'appareil alimenté se connecte et consomme de l'énergie, il peut consommer beaucoup moins que la puissance maximale autorisée. La puissance de sortie est désactivée lors du redémarrage, de l'initialisation et de la configuration système pour veiller à ne pas endommager les PD. Pour configurer PoE sur l'appareil et surveiller la puissance consommée : ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Propriétés. ÉTAPE 2 Entrez les valeurs des champs suivants : • Mode d'alimentation : sélectionnez l'une des options suivantes : - Limite du port : la limite maximale de puissance de chaque port est configurée par l'utilisateur. - Limite de classe : la limite maximale de puissance par port est déterminée par la classe de l'appareil, elle-même résultant de l'étape de classification. REMARQUE Lorsque vous modifiez le mode de Limite de port à Limite de classe ou inversement, vous devez d'abord désactiver les ports PoE, puis les réactiver après avoir modifié les options de configuration de l'alimentation. • Interceptions : permet d'activer ou de désactiver les interceptions. Si les interceptions sont activées, vous devez également activer SNMP et configurer au moins un destinataire de notification SNMP. • Seuil des interceptions d'alimentation : saisissez le seuil d'utilisation sous la forme d'un pourcentage de la limite de puissance. Une alarme se déclenche si la puissance dépasse cette valeur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 225 14 Gestion des ports : PoE Paramètres PoE Les compteurs suivants s'affichent pour chaque appareil ou pour toutes les unités de la pile : • Puissance nominale : quantité totale de puissance que l'appareil peut fournir à l'ensemble des appareils alimentés connectés. • Consommation : puissance actuellement consommée par les ports PoE. • Puissance disponible : puissance nominale moins la quantité de puissance consommée. ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les propriétés PoE. Paramètres PoE La page Paramètres PoE affiche les informations PoE système sur l'activation de PoE sur les interfaces, la surveillance de la consommation actuelle et la limite maximale de puissance par port. REMARQUE PoE peut être configuré sur l'appareil pour une durée spécifique. Cette configuration vous permet d'indiquer les jours de la semaine et les heures auxquels la fonctionnalité PoE est activée pour chaque port. La fonctionnalité PoE est désactivée en dehors des périodes de temps ainsi spécifiés. Pour utiliser cette option, une période doit d'abord être définie sur la page Période. Cette page permet de limiter la puissance par port de deux façons différentes, ceci en fonction du mode d'alimentation : • Limite du port : la puissance est limitée à une consommation en watts spécifique. Pour que ces paramètres soient actifs, le système doit être en mode Limite du port PoE. Vous pouvez configurer ce mode sur la page Propriétés PoE. Lorsque l'énergie consommée sur le port dépasse la limite du port, l'alimentation du port est désactivée. • Limite de classe : la puissance est limitée en fonction de la classe de l'appareil alimenté connecté. Pour que ces paramètres soient actifs, le système doit être en mode Limite de classe PoE. Vous pouvez configurer ce mode sur la page Propriétés PoE. Lorsque l'énergie consommée sur le port dépasse la limite de classe, l'alimentation du port est désactivée. Exemple de priorité PoE : Supposition : un appareil doté de 48 ports fournit un total de 375 watts. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 226 14 Gestion des ports : PoE Paramètres PoE L'administrateur configure tous les ports pour qu'ils allouent jusqu'à 30 watts. Au final, si les 48 ports allouent 30 watts chacun, on obtient 1440 watts, ce qui est beaucoup trop. L'appareil ne peut pas fournir suffisamment de puissance à chaque port, il suit donc certaines priorités. L'administrateur définit la priorité de chaque port, en lui allouant autant de puissance que possible. Vous devez entrer ces priorités sur la page Paramètres PoE. Reportez-vous à la section Modèles de périphériques pour obtenir une description des modèles d'appareils qui prennent en charge la fonctionnalité PoE et connaître la puissance maximale pouvant être allouée aux ports PoE. Pour configurer les paramètres de port PoE : ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Paramètres. La liste des champs ci-dessous correspond au mode d'alimentation Limite du port. Les champs peuvent légèrement différer si le mode d'alimentation est Limite de classe. ÉTAPE 2 Sélectionnez un port puis cliquez sur Modifier. ÉTAPE 3 Renseignez le champ suivant : • Interface : sélectionnez le port à configurer. • État administratif PoE : permet d'activer ou de désactiver PoE sur le port. • Période : sélectionnez cette option pour spécifier la période d'activation de la fonctionnalité PoE sur le port. • Nom de période : si l'option Période est activée, choisissez la plage temporelle à utiliser. Les plages temporelles sont définies sur la page Période. • Niveau de priorité d'alimentation : sélectionnez la priorité du port (faible, élevée ou critique) à utiliser lorsque l'alimentation est faible. Par exemple, si 99 % de la puissance disponible est consommée, et que le port 1 a une priorité élevée et le port 3 une priorité faible, le port 1 sera alimenté, contrairement au port 3. • Affectation de puissance administrative : ce champ s'affiche uniquement si le mode d'alimentation Limite du port est défini sur la page Propriétés PoE. Si le mode d'alimentation Limite du port est sélectionné, saisissez la puissance affectée au port (en milliwatts). • Affectation de puissance maximale : ce champ s'affiche uniquement si le mode d'alimentation Limite de puissance est défini sur la page Propriétés PoE. Affiche la puissance maximale autorisée sur ce port. • Consommation électrique : affiche la puissance (en milliwatts) affectée à l'appareil alimenté connecté à l'interface sélectionnée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 227 14 Gestion des ports : PoE Paramètres PoE • Classe : ce champ n'est modifiable que si le mode d'alimentation Limite de classe est défini sur la page Propriétés PoE. La classe détermine le niveau de puissance : Classe Puissance maximale fournie par le port de l'appareil 0 15,4 watts 1 4,0 watts 2 7,0 W 3 15,4 watts 4 30,0 watts • Nombre de surcharges : affiche le nombre total d'occurrences de surcharges de courant. • Nombre de courts-circuits : affiche le nombre total d'occurrences de courts-circuits électriques. • Nombre de refus : affiche le nombre de fois où l'alimentation a été refusée pour l'appareil alimenté. • Nombre d'absences : affiche le nombre de fois où l'alimentation de l'appareil alimenté a été arrêtée, l'appareil n'étant plus détecté. • Nombre de signatures non valides : affiche le nombre de fois où une signature non valide a été reçue. L'appareil alimenté utilise des signatures pour s'identifier auprès du PSE. Ces signatures sont générées lors de la détection, la classification ou la maintenance de l'appareil alimenté. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres PoE du port sont consignés dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 228 15 Gestion des VLAN Cette section aborde les points suivants : • Présentation • VLAN standard • Paramètres de VLAN privé • Paramètres GVRP • Groupes VLAN • VLAN voix • Accès VLAN TV port multidiffusion • VLAN TV port client multidiffusion Présentation Un VLAN (Virtual LAN, réseau local virtuel) est un groupe logique de ports qui permet aux périphériques qui lui sont associés de communiquer entre eux sur une couche MAC Ethernet, quel que soit le segment LAN physique du réseau ponté auquel ils sont connectés. Description des VLAN Chaque VLAN est configuré avec un ID de VLAN unique (VID) ayant une valeur comprise entre 1 et 4094. Un port sur un périphérique d'un réseau raccordé est membre d'un VLAN s'il peut échanger (envoyer/recevoir) des données avec le VLAN. Un port est un membre non balisé d'un VLAN si aucun des paquets qui lui sont destinés ne dispose d'une balise VLAN. Un port est un membre balisé d'un VLAN si tous les paquets qui lui sont destinés disposent d'une balise VLAN. Un port peut être membre d'un seul VLAN non balisé ou de plusieurs VLAN balisés. Un port en mode Accès VLAN ne peut faire partie que d'un seul VLAN. S'il est en mode General (Général) ou Trunk (Liaison), le port peut faire partie d'un ou de plusieurs VLAN. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 229 Gestion des VLAN Présentation 15 Les VLAN permettent de faire face aux problèmes de sécurité et d'évolutivité. Le trafic d'un VLAN reste à l'intérieur du VLAN et se termine au niveau de ses périphériques. Le VLAN facilite également la configuration réseau en connectant logiquement les périphériques sans les transférer physiquement. Si une trame est balisée VLAN, une balise VLAN à quatre octets est ajoutée à chaque trame Ethernet. La balise contient un ID de VLAN compris entre 1 et 4094 et une balise de priorité VLAN (VPT, VLAN Priority Tag) comprise entre 0 et 7. Pour plus d'informations sur la balise de priorité VLAN, reportez-vous à la section Qualité de service. Lorsqu'une trame entre dans un périphérique tenant compte du VLAN, elle est classée comme appartenant à un VLAN, en vertu de la balise VLAN à quatre octets qu'elle contient. S'il n'existe aucune balise VLAN dans la trame ou si la trame comporte une balise de priorité, elle est catégorisée dans le VLAN selon le PVID (identificateur de port VLAN) configuré au port de réception de la trame. La trame est désactivée au niveau du port d'entrée si le filtrage d'entrée est activé et si le port d'entrée n'est pas membre du VLAN auquel appartient le paquet. Une trame est considérée comme balisée d'une priorité uniquement si le VID présent dans sa balise VLAN est 0. Les trames appartenant à un VLAN restent dans le VLAN. Ce principe est appliqué par l'envoi ou le réacheminement d'une trame uniquement aux ports de sortie membres du VLAN cible. Un port de sortie peut être un membre balisé ou non balisé d'un VLAN. Le port de sortie : • Ajoute une balise VLAN à la trame si le port de sortie est un membre balisé du VLAN cible et si la trame d'origine n'a pas de balise VLAN. • Supprime la balise VLAN de la trame si le port de sortie est un membre non balisé du VLAN cible et si la trame d'origine a une balise VLAN. Rôles du VLAN Les réseaux VLAN fonctionnent au niveau de la couche 2. Tout le trafic VLAN (monodiffusion/diffusion/ multidiffusion) demeure au sein du VLAN. Les périphériques reliés à différents VLAN n'ont pas de connectivité directe entre eux sur la couche MAC Ethernet. Des périphériques de VLAN différents peuvent communiquer entre eux uniquement via des routeurs de couche 3. Un routeur IP, par exemple, est requis pour acheminer le trafic IP entre les VLAN si chaque VLAN représente un sous-réseau IP. Le routeur IP peut être un routeur traditionnel où chacune de ses interfaces se connecte à un seul VLAN. Le trafic depuis et vers un routeur IP traditionnel doit être balisé VLAN. Le routeur IP peut être un routeur tenant compte du VLAN où chacune de ses interfaces peut se connecter à un ou plusieurs VLAN. Le trafic depuis et vers un routeur IP tenant compte du VLAN peut être balisé ou non balisé VLAN. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 230 Gestion des VLAN Présentation 15 Les périphériques adjacents tenant compte du VLAN échangent des informations VLAN entre eux via le protocole GVRP (Generic VLAN Registration Protocol). En conséquence, les informations VLAN sont propagées via un réseau ponté. Les VLAN sur un périphérique peuvent être créés de façon statique ou dynamique en fonction des informations GVRP échangées par les périphériques. Un VLAN peut être statique ou dynamique (via GVRP), mais pas les deux. Pour plus d'informations sur le protocole GVRP, reportez-vous à la section Paramètres GVRP. Certains VLAN peuvent avoir des rôles supplémentaires, notamment : • VLAN voix : pour plus d'informations, reportez-vous à la section VLAN voix. • VLAN invité : défini sur la page Modifier l'authentification VLAN. • VLAN par défaut : pour plus d'informations, reportez-vous à la section Configuration des paramètres VLAN par défaut. • VLAN de gestion (dans des systèmes en mode système de couche 2) : pour plus d'informations, reportez-vous à la section Adressage IP couche 2. QinQ QinQ fournit l'isolation entre les réseaux de fournisseur de services et les réseaux de client. Le périphérique est un pont fournisseur qui prend en charge l'interface de service « c-tagged » basée sur les ports. Avec QinQ, le périphérique ajoute une balise ID appelée ServiceTag (S-tag) qui permet de transférer le trafic sur le réseau. La balise S-tag permet de répartir le trafic entre plusieurs clients, tout en conservant les balises VLAN du client. Le trafic du client est encapsulé avec une balise S-tag avec TPID 0x8100, indépendamment du fait qu'il soit au départ balisé « c-tagged » ou non balisé. La balise S-tag permet à ce trafic d'être traité comme un agrégat au sein d'un réseau de pont fournisseur, dans lequel le pontage est uniquement basé sur le VID S-tag (S-VID). La balise S-Tag est conservée lorsque le trafic est transféré par le biais de l'infrastructure du fournisseur de services réseau ; elle est ensuite supprimée par un périphérique de sortie. Un autre avantage de QinQ est qu'il n'est pas nécessaire de configurer les dispositifs de bordure du client. Vous pouvez activer QinQ sur la page Gestion des VLAN > Paramètres d'interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 231 Gestion des VLAN Présentation 15 VLAN privé La fonction VLAN privé fournit une isolation de couche 2 entre les ports. Cela signifie qu'au niveau du trafic de pontage, par opposition au routage IP, les ports qui partagent le même domaine de diffusion ne peuvent pas communiquer les uns avec les autres. Les ports dans un VLAN privé peuvent être situés n'importe où sur le réseau de couche 2, ce qui signifie qu'ils ne sont pas obligatoirement sur le même commutateur. Le VLAN privé est conçu pour recevoir du trafic non balisé ou contenant des balises de priorité et pour transmettre du trafic non balisé. Les types de ports suivants peuvent être membres d'un VLAN privé : • Proximité : un port de proximité peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs. • Communauté (hôte) : les ports de communauté peuvent définir un groupe de ports qui sont membres du même domaine de couche 2. Ils sont isolés au niveau de la couche 2 des autres communautés et des ports isolés. Ces ports connectent les ports hôtes. • Isolé (hôte) : Un port isolé possède une isolation complète de couche 2 des autres ports isolés ou des ports de communauté au sein du même VLAN privé. Ces ports connectent les ports d'hôtes. Les types suivants de VLAN privés existent : • VLAN principal : le VLAN principal est utilisé pour permettre une connectivité de couche 2 des ports de proximité aux ports isolés et aux ports de communauté. Il ne peut y avoir qu'un seul VLAN principal par VLAN privé. • VLAN isolé (également appelé VLAN secondaire) : un VLAN isolé permet aux ports isolés d'envoyer du trafic vers le VLAN principal. Il ne peut y avoir qu'un seul VLAN isolé par VLAN privé. • VLAN de communauté (également appelé VLAN secondaire) : pour créer un sous-groupe de ports (communauté) au sein d'un VLAN, les ports doivent être ajoutés à un VLAN de communauté. Le VLAN de communauté permet une connectivité de couche 2 des ports de communauté aux ports de proximité et aux ports de la même communauté. Il ne peut y avoir qu'un seul VLAN de communauté pour chaque communauté et plusieurs VLAN de communauté peuvent coexister dans le système pour le même VLAN privé. Reportez-vous à la Figure 1 et à la Figure 2 pour des exemples d'utilisation de ces VLAN. Le trafic de l'hôte est envoyé sur les VLAN isolés et de communauté, alors que le trafic du serveur et du routeur est envoyé sur le VLAN principal. L'apprentissage des adresses MAC partagées existe entre tous les VLAN qui sont membres du même VLAN privé (même si le commutateur prend en charge l'apprentissage indépendant du VLAN). Cela permet le trafic de monodiffusion, malgré le fait que les adresses MAC des hôtes sont apprises par les VLAN isolés et de communauté, tandis que les adresses MAC des routeurs et du serveur sont apprises par le VLAN principal. Un port VLAN privé ne peut être ajouté qu'à un VLAN privé. D'autres types de port, comme les ports d'accès ou de liaison, peuvent être ajoutés à des VLAN individuels qui composent le VLAN privé (car ce sont des VLAN 802.1Q standard). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 232 Gestion des VLAN Présentation 15 Un VLAN privé peut être configuré pour s'étendre sur plusieurs commutateurs en réglant les ports intercommutateur comme des ports de liaison et en les ajoutant à tous les VLAN dans le VLAN privé. Les ports de liaison inter-commutateur envoient et reçoivent le trafic balisé des divers VLAN du VLAN privé (principal, isolés et communautés). Le commutateur prend en charge 16 VLAN principaux et 256 VLAN secondaires. Flux de trafic La section suivante décrit le trafic entre les hôtes et les serveurs/routeurs ou d'autres hôtes. Figure 1 Trafic des hôtes vers les serveurs/routeurs Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 233 Gestion des VLAN Présentation 15 La section suivante décrit le trafic serveur/routeur (réponse à l'hôte). Figure 2 Trafic des serveurs/routeurs vers les hôtes Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 234 Gestion des VLAN Présentation 15 Interaction avec les autres fonctions Cette section décrit l'interaction entre les VLAN privés et d'autres fonctions du système. Fonctions prises en charge sur un VLAN privé Les fonctions suivantes peuvent être activées uniquement sur un VLAN principal (et pas sur un VLAN isolé ni sur un VLAN de communauté), bien qu'elles affectent tous les VLAN dans le VLAN privé. • Surveillance IGMP et surveillance MLD. Les rapports et les requêtes IGMP sont détectés sur tous les VLAN dans le VLAN privé, tandis que les entrées de multidiffusion résultantes ne sont ajoutées qu'à la base de données FDB du VLAN principal. Cela permet de transférer le trafic de multidiffusion vers le VLAN principal plutôt qu'inonder ce dernier. Les VLAN isolés et les VLAN de communauté continuent d'inonder avec le trafic de multidiffusion. • Surveillance DHCP. • Inspection ARP. • Protection de la source IP. Le système empêche l'ajout ou le retrait des VLAN isolés ou de communauté dans un VLAN privé, tant que les fonctions ci-dessus sont activées. Fonctions non prises en charge sur un VLAN privé Les fonctions suivantes ne sont pas prises en charge sur les VLAN privés et sur tous les VLAN constituant le VLAN privé : • VLAN voix automatique • VLAN par défaut • Relais DHCP • VLAN non authentifié 802.1x • VLAN invité • IPv4 et IPv6. IPv4/IPv6 peut être défini sur un VLAN principal. Les ports isolés et de communauté ne permettent pas la connectivité IP. La connectivité IP nécessite de faire passer le trafic sur un VLAN principal. Fonctions non prises en charge sur les modes de port VLAN privé Les fonctions suivantes ne sont pas prises en charge sur les modes de port VLAN privé : • GVRP • Détection automatique d'OUI de VLAN voix Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 235 15 Gestion des VLAN Présentation • VLAN invité avec port 802.1x • Affectation VLAN dynamique de port 802.1x • VLAN TV multidiffusion REMARQUE Notez les clarifications suivantes : • Port de sécurité : les entrées MAC dans la table de la FDB du VLAN sont vidées lorsque le port est déverrouillé. • L'appartenance des ports à un VLAN privé est équivalente à l'appartenance des ports aux VLAN 802.1Q en ce qui concerne les limitations de l'interaction entre les fonctions, par exemple : - Un port ne doit pas être ajouté à un LAG/LACP. - Un port ne doit pas être configuré en tant que destination du port moniteur. Ressources requises Comme un VLAN privé est composé de plusieurs VLAN 802.1Q, le système exige des ressources supplémentaires pour chaque VLAN secondaire dans un VLAN privé. Les ressources pour les fonctions suivantes sont allouées par VLAN dans le VLAN privé. • Adresses MAC dynamiques : les adresses MAC apprises sur les VLAN principaux sont copiées sur tous les VLAN de communauté et sur le VLAN isolé. Les adresses MAC apprises sur les VLAN isolés ou de communauté sont copiées sur le VLAN principal. • Surveillance DHCP : une règle TCAM est nécessaire pour capturer le trafic DHCP. • Inspection ARP : une règle TCAM est nécessaire pour capturer le trafic ARP. • Protection de la source IP : une règle TCAM est nécessaire pour transférer/omettre le trafic IP. • Sécurité du premier saut : une règle TCAM est nécessaire pour capturer le trafic IPv6 (lorsque la protection de la source IPv6 est activée). Consignes relatives à la configuration Prenez note des consignes suivantes pour la configuration des fonctions : • MSTP : la même instance MSTP doit être affectée à tous les VLAN dans un VLAN privé. • Protection de la source IP : la liaison d'une ACL aux ports de protection de la source IP n'est pas recommandée sur un VLAN privé en raison de la quantité de ressources TCAM nécessaires. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 236 Gestion des VLAN VLAN standard 15 VLAN standard Cette section décrit les pages de l'interface utilisateur permettant de configurer les différents types de VLAN. Cette section décrit les processus suivants : • Charge de travail de la configuration VLAN • Paramètres VLAN par défaut • Paramètres VLAN - Création de VLAN • Paramètres d'interface • Appartenance VLAN • Port vers VLAN • Appartenance VLAN des ports • Définition des paramètres GVRP Charge de travail de la configuration VLAN Pour configurer les VLAN : 1. Le cas échéant, modifiez le VLAN par défaut en suivant les instructions de la section Paramètres VLAN par défaut. 2. Créez les VLAN requis en suivant les instructions de la section Paramètres VLAN - Création de VLAN. 3. Définissez la configuration VLAN souhaitée pour les ports et activez QinQ sur une interface comme décrit dans la section Paramètres d'interface. 4. Assignez des interfaces aux VLAN comme décrit dans la section Port vers VLAN ou la section Appartenance VLAN des ports. 5. Affichez l'appartenance actuelle des ports au VLAN pour toutes les interfaces, comme décrit dans la section Appartenance VLAN des ports. 6. Si nécessaire, configurez les groupes VLAN comme indiqué dans les sections Groupes basés sur MAC et VLAN basés sur protocole. 7. Si nécessaire, configurez le VLAN TV comme indiqué dans les sections Accès VLAN TV port multidiffusion et VLAN TV port client multidiffusion. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 237 15 Gestion des VLAN VLAN standard Paramètres VLAN par défaut Si les paramètres d'usine par défaut sont utilisés, le périphérique crée automatiquement un VLAN 1 en tant que VLAN par défaut. L'état de l'interface par défaut de tous les ports est défini sur Liaison et tous les ports sont configurés en tant que membres non balisés du VLAN par défaut. Le VLAN par défaut présente les caractéristiques suivantes : • Il est distinct, non statique/non dynamique et tous les ports sont des membres non balisés par défaut. • Il peut être supprimé. • Il ne peut recevoir d'étiquette. • Il ne peut pas être utilisé pour un rôle spécial tel qu'un VLAN non authentifié ou un VLAN voix. Cette option ne concerne que les VLAN voix avec le mode OUI activé. • Si un port n'est plus membre d'un VLAN, le périphérique le configure automatiquement en tant que membre non balisé du VLAN par défaut. Un port n'est plus membre d'un VLAN si le VLAN est supprimé ou si le port est supprimé du VLAN. • Les serveurs RADIUS ne peuvent pas attribuer le VLAN par défaut aux demandeurs 802.1x via l'affectation dynamique de VLAN. Lorsque le VID du VLAN par défaut est modifié, le périphérique exécute les opérations suivantes sur tous les ports du VLAN après avoir enregistré la configuration et redémarré : • Supprime l'appartenance des ports au VLAN par défaut d'origine (prend effet après redémarrage). • Remplace le PVID (identificateur de port VLAN) des ports par le VID du nouveau VLAN par défaut. • L'ID du réseau VLAN par défaut d'origine est supprimé du périphérique. Il doit être recréé pour pouvoir être utilisé. • Il ajoute les ports en tant que membres VLAN non balisés du nouveau VLAN par défaut. Pour changer le VLAN par défaut : ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres VLAN par défaut. ÉTAPE 2 Renseignez le champ suivant : • ID VLAN par défaut actuel : affiche l'ID du VLAN par défaut actuel. • ID VLAN par défaut après redémarrage : saisissez un nouvel ID de VLAN pour remplacer l'ID de VLAN par défaut après le redémarrage. ÉTAPE 3 Cliquez sur Appliquer. ÉTAPE 4 Cliquez sur Enregistrer (dans le coin supérieur droit de la fenêtre) et enregistrez la Configuration d'exécution dans la Configuration de démarrage. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 238 15 Gestion des VLAN VLAN standard L'ID VLAN par défaut après réinitialisation devient l'ID VLAN par défaut actuel après le redémarrage du périphérique. Paramètres VLAN - Création de VLAN Vous pouvez créer un VLAN, mais cela n'a aucun effet tant que le VLAN n'est pas manuellement ou dynamiquement lié à un port au moins. Les ports doivent toujours appartenir à un ou plusieurs VLAN. Chaque VLAN doit être configuré avec un ID unique ayant une valeur comprise entre 1 et 4094. Le périphérique se réserve le VID 4095 comme VLAN d'abandon. Tous les paquets classés comme VLAN d'abandon sont abandonnés à l'entrée et ne sont pas transférés vers un port. Pour créer un VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres VLAN. Les informations s'affichent pour tous les VLAN définis. Les champs ci-dessous sont définis sur la page Ajouter. Le champ suivant n'est pas sur la page Ajouter. • Initiateurs : façon dont le VLAN a été créé : - GVRP : le VLAN a été créé dynamiquement via le protocole GVRP (Generic VLAN Registration Protocol). - Statique : le VLAN a été défini par l'utilisateur. - Par défaut : c'est le VLAN par défaut. ÉTAPE 2 Cliquez sur Ajouter pour ajouter un ou plusieurs nouveaux VLAN. La page permet la création d'un VLAN unique ou d'une plage de VLAN. ÉTAPE 3 Pour créer un seul VLAN, sélectionnez le bouton VLAN, saisissez l'ID de VLAN et le Nom du VLAN (facultatif). Pour créer une plage de VLAN, sélectionnez le bouton Plage et spécifiez la plage de VLAN à créer en saisissant le VID de départ et le VID de fin (ces valeurs sont comprises). Si vous utilisez la fonction Plage, le nombre maximal de VLAN que vous pouvez créer en une seule fois est 100. ÉTAPE 4 Ajoutez les champs suivants pour les nouveaux VLAN. • État de l'interface VLAN : sélectionnez cette option pour arrêter le VLAN. Dans cet état, le VLAN ne transmet/reçoit pas de messages. • en provenance/vers des niveaux plus élevés. Par exemple, si vous arrêtez un VLAN, sur lequel une interface IP est configurée, Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 239 15 Gestion des VLAN VLAN standard • le pontage dans le VLAN continue, mais le commutateur ne peut pas transmettre ni recevoir le trafic IP sur le VLAN • Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la génération des interceptions SNMP relatives à l'état de la liaison. ÉTAPE 5 Cliquez sur Appliquer pour créer le ou les VLAN. Paramètres d'interface La page Paramètres d'interface affiche et active la configuration des paramètres du VLAN pour toutes les interfaces. Pour configurer les paramètres du VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres d'interface. ÉTAPE 2 Sélectionnez un type d'interface (Port ou LAG) et cliquez sur OK. Les ports ou LAG et leurs paramètres VLAN s'affichent. ÉTAPE 3 Pour configurer un port ou LAG, sélectionnez-le puis cliquez sur Modifier. ÉTAPE 4 Entrez les valeurs des champs suivants : • Interface : sélectionnez un port/LAG. • Mode d'interface VLAN : sélectionnez le mode d'interface du VLAN. Les options sont les suivantes : - Général : l'interface peut prendre en charge toutes les fonctions telles qu'elles sont définies dans la spécification IEEE 802.1q. Elle peut être un membre balisé ou non balisé d'un ou de plusieurs VLAN. - Accès : l'interface est un membre non balisé d'un VLAN unique. Un port configuré dans ce mode est appelé un port d'accès. - Liaison : l'interface est membre non balisé d'un VLAN au maximum, ainsi que membre balisé de zéro ou plusieurs VLAN. Un port configuré dans ce mode est appelé un port de liaison. - Client : sélectionnez cette option pour mettre l'interface en mode QinQ. Vous pouvez ainsi appliquer votre propre agencement VLAN (PVID) sur le réseau du fournisseur. Le périphérique est en mode Q-in-Q lorsqu'il comporte un ou plusieurs ports client. Reportez-vous à la section QinQ. - VLAN privé - Hôte : sélectionnez cette option pour définir l'interface comme isolée ou de communauté. Puis, sélectionnez un VLAN isolé ou de communauté dans le champ VLAN secondaire - Hôte. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 240 15 Gestion des VLAN VLAN standard - VLAN privé - Proximité : sélectionnez cette option pour définir l'interface comme interface de proximité. • PVID administratif : saisissez l'ID VLAN du port (PVID) du VLAN pour lequel les trames non balisées entrantes et les trames balisées de priorité sont classées. Les valeurs possibles sont comprises entre 1 et 4094. • Type de trame : sélectionnez le type de trame que l'interface peut recevoir. Les trames qui ne sont pas du type configuré sont abandonnées à l'entrée. Ces types de trames sont uniquement disponibles en mode General. Les valeurs possibles sont les suivantes : - Tout admettre : l'interface accepte tous les types de trames, non balisées, balisées et balisées de priorité. - Admettre balisées uniquement : l'interface accepte uniquement les trames balisées. - Admettre non balisées uniquement : l'interface accepte uniquement les trames de priorité et les trames non balisées. • Filtrage d'entrée : (uniquement disponible en mode Général) sélectionnez cette option pour activer le filtrage en entrée. Lorsqu'une interface est en mode de filtrage d'entrée, elle abandonne toutes les trames entrantes classées comme appartenant aux VLAN dont elle n'est pas membre. Le filtrage d'entrée peut être désactivé ou activé sur les ports généraux. Il est toujours activé sur les ports d'accès et les ports de liaison. • VLAN principal : sélectionnez le VLAN principal dans le VLAN privé. Le VLAN principal est utilisé pour permettre une connectivité de couche 2 des ports de proximité aux ports isolés et aux ports de communauté. • VLAN secondaire - Hôte : sélectionnez un VLAN isolé ou de communauté pour les hôtes qui ne nécessitent qu'un seul VLAN secondaire. • VLAN secondaires sélectionnés : pour les ports de proximité, déplacez tous les VLAN secondaires qui sont requis pour le transfert normal des paquets à partir des VLAN secondaires disponibles. Les ports de proximité et de liaison peuvent être membres de plusieurs VLAN. ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont écrits dans le fichier de Configuration d'exécution. Appartenance VLAN Les pages Port vers VLAN et Appartenance VLAN des ports affichent les appartenances VLAN des ports dans diverses présentations. Vous pouvez les utiliser pour ajouter des appartenances aux VLAN ou en supprimer de ces derniers. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 241 15 Gestion des VLAN VLAN standard Lorsque l'appartenance au VLAN par défaut est interdite pour un port, celui-ci ne peut appartenir à aucun autre VLAN. Le VID interne 4095 est affecté au port. Pour transférer correctement les paquets, les périphériques intermédiaires tenant compte du VLAN qui acheminent le trafic VLAN entre les nœuds d'extrémité doivent être configurés manuellement, ou doivent apprendre dynamiquement les VLAN ainsi que les appartenances de leurs ports via le protocole GVRP. Les ports non balisés de deux périphériques prenant en compte le VLAN sans aucune intervention des périphériques doivent disposer de la même appartenance VLAN. En d'autres termes, le PVID sur les ports entre les deux périphériques doit être le même si les ports doivent échanger (envoyer/recevoir) des paquets non balisés avec le VLAN. Dans le cas contraire, le trafic peut fuir d'un VLAN vers un autre. Les trames balisées VLAN peuvent traverser d'autres périphériques réseau tenant compte ou non du VLAN. Si un nœud d'extrémité de destination ne tient pas compte du VLAN, mais doit recevoir du trafic d'un VLAN, alors le dernier périphérique tenant compte du VLAN (s'il en existe un) doit envoyer les trames du VLAN de destination au nœud d'extrémité sous forme non balisée. Port vers VLAN Utilisez la page Port vers VLAN pour afficher et configurer les ports dans un VLAN spécifique. Pour mapper des ports ou des LAG à un VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Port vers VLAN. ÉTAPE 2 Sélectionnez un VLAN et le type d'interface (Port ou LAG), puis cliquez sur OK pour afficher ou modifier la caractéristique du port relative au VLAN. Le mode actuel de chaque port ou LAG s'affiche (Accès, Liaison, Général, Hôte privé, Hôte de proximité ou Client). Vous pouvez configurer ce mode sur la page Paramètres d'interface. Chaque port ou LAG s'affiche avec son enregistrement actuel sur le VLAN. ÉTAPE 3 Modifiez l'enregistrement d'une interface sur le VLAN en sélectionnant le Nom de l'interface et l'option souhaitée dans la liste suivante : • Mode VLAN : type des ports dans le VLAN. • Type d'appartenance : - Interdit : l'interface n'est pas autorisée à rejoindre le VLAN même à partir de l'enregistrement GVRP. Lorsqu'un port n'est pas membre d'un autre VLAN, l'activation de cette option sur le port l'intègre au VLAN interne 4095 (VID réservé). - Exclu : l'interface n'est actuellement pas membre du VLAN. C'est le paramètre par défaut pour tous les ports et LAG. Le port peut rejoindre le VLAN via un enregistrement GVRP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 242 15 Gestion des VLAN VLAN standard - Balisé : l'interface est un membre balisé du VLAN. - Non balisé : l'interface est un membre non balisé du VLAN. Les trames du VLAN sont envoyées non balisées à l'interface VLAN. - PVID : sélectionnez cette option pour définir le PVID de l'interface avec le VID du VLAN. Le PVID est un paramètre propre à chaque port. ÉTAPE 4 Cliquez sur Appliquer. Les interfaces sont attribuées au VLAN et écrites dans le fichier de Configuration d'exécution. Vous pouvez continuer d'afficher et/ou de configurer l'appartenance de port à un autre VLAN en sélectionnant l'ID d'un autre VLAN. Appartenance VLAN des ports La page Appartenance VLAN des ports affiche tous les ports du périphérique, ainsi qu'une liste des VLAN auxquels chaque port appartient. Si la méthode d'authentification basée sur les ports pour une interface est 802.1x et que le Contrôle de port administratif est Auto, alors : • Tant que le port n'est pas authentifié, il est exclu de tous les VLAN, à l'exception des VLAN invités et non authentifiés. Sur la page VLAN vers port, le port est marqué d'un « P » majuscule. • Lorsque le port est authentifié, il reçoit l'appartenance dans le VLAN où il a été configuré. Pour attribuer un port à un ou plusieurs VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Appartenance VLAN des ports. ÉTAPE 2 Sélectionnez un type d'interface (Port ou LAG), puis cliquez sur OK. Les champs suivants s'affichent pour toutes les interfaces du type sélectionné : • Interface : ID du port/LAG. • Mode : mode VLAN d'interface qui a été sélectionné sur la page Paramètres d'interface. • VLAN administratifs : liste déroulante qui affiche tous les VLAN dont l'interface peut être membre. • VLAN opérationnels : liste déroulante qui affiche tous les VLAN dont l'interface est actuellement membre. • LAG : si l'interface sélectionnée est Port, affiche le LAG dont elle est membre. ÉTAPE 3 Sélectionnez un port et cliquez sur le bouton Connecter le VLAN. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 243 15 Gestion des VLAN VLAN standard ÉTAPE 4 Entrez les valeurs des champs suivants : • Interface : sélectionnez un port/LAG. Sélectionnez l'unité/logement sur un périphérique de la série 500. • Mode : affiche le mode VLAN du port qui a été sélectionné sur la page Paramètres d'interface. • Sélectionner le VLAN : pour associer un port à un ou plusieurs VLAN, déplacez le ou les ID de VLAN de la liste de gauche vers la liste de droite à l'aide des flèches. Le VLAN par défaut peut apparaître dans la liste de droite s'il est balisé. Il ne peut cependant pas être sélectionné. • Balisage : sélectionnez une des options de PVID/balisage suivantes : - Interdit : l'interface n'est pas autorisée à rejoindre le VLAN même à partir de l'enregistrement GVRP. Lorsqu'un port n'est pas membre d'un autre VLAN, l'activation de cette option sur le port l'intègre au VLAN interne 4095 (VID réservé). - Balisé : permet d'indiquer si le port est balisé. - Exclu : l'interface n'est actuellement pas membre du VLAN. C'est le paramètre par défaut pour tous les ports et LAG. Le port peut rejoindre le VLAN via un enregistrement GVRP. - Balisé : sélectionnez cette option pour que le port soit balisé. Cette option ne concerne pas les ports d'accès. - Non balisé : sélectionnez cette option pour que le port soit non balisé. Cette option ne concerne pas les ports d'accès. - VLAN TV multidiffusion : interface utilisée pour la TV numérique utilisant l'IP de multidiffusion. Le port se connecte au VLAN avec une balise VLAN de VLAN TV multidiffusion. Pour plus d'informations, reportez-vous à la section Accès VLAN TV port multidiffusion. - PVID : le PVID du port est défini sur ce VLAN. Si l'interface est en mode Accès ou Liaison, le périphérique fait automatiquement de l'interface un membre non balisé du VLAN. Si l'interface est en mode général, vous devez configurer manuellement l'appartenance VLAN. ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont modifiés et écrits dans le fichier de Configuration d'exécution. Pour afficher les VLAN administratifs et opérationnels sur une interface, cliquez sur Détails. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 244 15 Gestion des VLAN Paramètres de VLAN privé Paramètres de VLAN privé Le page Paramètres de VLAN privé affiche les VLAN privés qui ont été définis. Pour créer un nouveau VLAN privé : ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres de VLAN privé. ÉTAPE 2 Cliquez sur le bouton Ajouter. ÉTAPE 3 Entrez les valeurs des champs suivants : • ID de VLAN principal : sélectionnez un VLAN à définir comme le VLAN principal dans le VLAN privé. Le VLAN principal est utilisé pour permettre une connectivité de couche 2 des ports de proximité aux ports isolés et ports de communauté. • ID de VLAN isolé : un VLAN isolé permet aux ports isolés d'envoyer du trafic vers le VLAN principal. • Available Community VLANs (VLAN de communauté disponibles) : déplacez les VLAN à définir comme VLAN de communauté vers la liste Selected Community VLANs (VLAN de communauté sélectionnés). Les VLAN de communauté permettent une connectivité de couche 2 des ports de communauté aux ports de proximité et aux ports de la même communauté. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont modifiés et écrits dans le fichier de Configuration d'exécution. Paramètres GVRP Les périphériques adjacents tenant compte du VLAN peuvent s'échanger les informations VLAN via le protocole GVRP (Generic VLAN Registration Protocol). Celui-ci est basé sur le protocole GARP (Generic Attribute Registration Protocol) et propage des informations VLAN à travers un réseau ponté. Étant donné que GVRP requiert une prise en charge du balisage, le port doit être configuré en mode Liaison ou Général. Lorsqu'un port est connecté à un VLAN via GVRP, il est ajouté au VLAN en tant que membre dynamique, sauf si cette action a été expressément interdite sur la page Appartenance VLAN des ports. Si le VLAN n'existe pas, il est dynamiquement créé lorsque la création de VLAN dynamiques est activée pour ce port (sur la page Paramètres GVRP). Le protocole GVRP doit être activé au niveau global et sur chaque port. Lorsqu'il est activé, il transmet et reçoit des GPDU (GARP Packet Data Units). Les VLAN définis mais non actifs ne sont pas propagés. Pour pouvoir être propagé, un VLAN doit être actif sur un port au moins. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 245 15 Gestion des VLAN Groupes VLAN Par défaut, le protocole GVRP est désactivé globalement et sur les ports. Définition des paramètres GVRP Pour définir les paramètres GVRP d'une interface : ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres GVRP. ÉTAPE 2 Sélectionnez État global GVRP pour activer globalement le protocole GVRP. ÉTAPE 3 Cliquez sur Appliquer pour définir l'état global GVRP. ÉTAPE 4 Sélectionnez un type d'interface (Port ou LAG), puis cliquez sur Ok pour afficher toutes les interfaces de ce type. ÉTAPE 5 Pour définir les paramètres GVRP pour un port, sélectionnez-le et cliquez sur Modifier. ÉTAPE 6 Entrez les valeurs des champs suivants : • Interface : sélectionnez l'interface (port ou LAG) à modifier. • État GVRP : sélectionnez cette option pour activer GVRP sur cette interface. • Création de VLAN dynamiques : sélectionnez cette option pour activer la création de VLAN dynamiques sur cette interface. • Enregistrement GVRP : sélectionnez cette option pour activer l'enregistrement VLAN via GVRP sur cette interface. ÉTAPE 7 Cliquez sur Appliquer. Les paramètres GVRP sont modifiés et écrits dans le fichier de Configuration d'exécution. Groupes VLAN Cette section explique comment configurer les groupes de VLAN. Elle décrit les processus suivants : • Groupes basés sur MAC • VLAN basés sur protocole Les groupes VLAN sont utilisés pour l'équilibrage de charge du trafic sur un réseau de couche 2. Les paquets sont affectés à un VLAN selon diverses classifications qui ont été configurées (comme des groupes VLAN). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 246 15 Gestion des VLAN Groupes VLAN Si plusieurs schémas de classification sont définis, les paquets sont affectés à un VLAN dans l'ordre suivant : • Balise : si le paquet est balisé, le VLAN est extrait de la balise. • VLAN basé sur MAC : si un VLAN basé sur MAC a été défini, le VLAN est extrait du mappage source MAC au VLAN de l'interface d'entrée. • VLAN basé sur protocole : si un VLAN basé sur protocole a été défini, le VLAN est extrait du mappage Protocole (de type Ethernet) au VLAN de l'interface d'entrée. • PVID : le VLAN est extrait de l'ID de VLAN par défaut du port. Groupes basés sur MAC La classification des VLAN basés sur MAC permet au système de classer les paquets en fonction de leur adresse MAC source. Vous pouvez alors définir le mappage MAC au VLAN pour chaque interface. Vous pouvez définir plusieurs groupes VLAN basés sur MAC, chaque groupe contenant différentes adresses MAC. Ces groupes basés sur MAC peuvent être attribués à des ports/LAG spécifiques. Les groupes VLAN basés sur MAC ne peuvent pas contenir de plages d'adresses MAC qui se chevauchent sur le même port. Le tableau suivant décrit la disponibilité des groupes de VLAN basés sur MAC dans diverses références : Tableau 5 Disponibilité des groupes VLAN basés sur MAC Référence Mode système Groupes VLAN basés sur MAC pris en charge Sx300 Couche 2 Oui Couche 3 Non Sx500, Sx500ESW2550X Couche 2 Oui Couche 3 Non SG500X Natif Oui Hybride de base - Couche 2 Oui Hybride de base - Couche 3 Non Identique à Sx500 Oui SG500XG Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 247 Gestion des VLAN Groupes VLAN 15 Flux de travail Pour définir un groupe de VLAN basé sur MAC : 1. Attribuez une adresse MAC à un ID de groupe VLAN (à l'aide de la page Groupes basés sur MAC). 2. Pour chaque interface requise : a. Attribuez le groupe VLAN à un VLAN (à l'aide de la page Groupes basés sur MAC aux VLAN). Les interfaces doivent être en mode Général. b. Si l'interface n'appartient pas au VLAN, affectez-la manuellement au VLAN à l'aide de la page Port vers VLAN. Groupes de VLAN basés sur MAC Reportez-vous au Tableau 5 pour obtenir une description de la disponibilité de cette fonction. Pour assigner une adresse MAC à un groupe de VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur MAC. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Entrez les valeurs des champs suivants : • Adresse MAC : saisissez une adresse MAC à assigner à un groupe de VLAN. REMARQUE Cette adresse ne peut pas être assignée à un autre groupe VLAN. • • Masque de préfixe : saisissez l'une des informations suivantes : - Hôte : hôte source de l'adresse MAC - Longueur : préfixe de l'adresse MAC ID de groupe : saisissez un ID de groupe VLAN créé par l'utilisateur. ÉTAPE 4 Cliquez sur Appliquer. L'adresse MAC est assignée à un groupe VLAN. Groupe VLAN à VLAN par interface Reportez-vous au Tableau 5 pour obtenir une description de la disponibilité de cette fonction. Les ports/LAG doivent être en mode Général. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 248 15 Gestion des VLAN Groupes VLAN Pour attribuer un groupe de VLAN basé sur MAC à un VLAN sur une interface : ÉTAPE 1 Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur MAC aux VLAN. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Entrez les valeurs des champs suivants : • Type de groupe : indique que le groupe est basé sur une adresse MAC. • Interface : saisissez une interface générale (port/LAG) via laquelle le trafic est reçu. • ID de groupe : sélectionnez un groupe VLAN, défini sur la page Groupes basés sur MAC. • ID de VLAN : sélectionnez le VLAN vers lequel le trafic est transféré depuis le groupe VLAN. ÉTAPE 4 Cliquez sur Appliquer pour définir le mappage du groupe VLAN au VLAN. Ce mappage ne lie pas l'interface dynamiquement au VLAN ; l'interface doit être ajoutée manuellement au VLAN. VLAN basés sur protocole Des groupes de protocoles peuvent être définis, puis liés à un port. Lorsqu'un groupe de protocoles a été lié à un port, chaque paquet originaire d'un protocole du groupe est affecté au VLAN configuré sur la page Groupes basés sur les protocoles. Flux de travail Pour définir un groupe VLAN basé sur protocole : 1. Définissez un groupe de protocoles (à l'aide de la page Groupes basés sur les protocoles). 2. Pour chaque interface requise, affectez le groupe de protocoles à un VLAN (en utilisant la page Groupes basés sur protocole aux VLAN). Les interfaces doivent être en mode Général et aucun VLAN dynamique (ADV) ne peut leur être affecté. Groupes basés sur les protocoles Pour définir un ensemble de protocoles ÉTAPE 1 Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur protocole. La page Groupes basés sur les protocoles contient les champs suivants : • Encapsulation : affiche le protocole sur lequel le groupe VLAN est basé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 249 15 Gestion des VLAN Groupes VLAN • Protocole / DSAP-SSAP : affiche la valeur du protocole sous forme hexadécimale. • ID du groupe : affiche l'ID du groupe de protocoles auquel l'interface est ajoutée. ÉTAPE 2 Cliquez sur le bouton Ajouter. La page Ajouter un groupe basé sur le protocole s'affiche. ÉTAPE 3 Renseignez les champs suivants : • Encapsulation : type de paquet de protocole. Les options suivantes sont disponibles : - Ethernet V2 : si cette option est sélectionnée, sélectionnez le Type Ethernet. - LLC-SNAP (rfc1042) : si cette option est sélectionnée, saisissez la Valeur de protocole. - LLC : si cette option est sélectionnée, sélectionnez les Valeurs DSAP-SSAP. • Type Ethernet : sélectionnez le type Ethernet pour l'encapsulation Ethernet V2. Il s'agit du champ à deux octets dans la trame Ethernet utilisé pour indiquer quel protocole est encapsulé dans la charge utile du paquet Ethernet pour le groupe VLAN. • Valeur de protocole : entrez le protocole pour l'encapsulation LLC-SNAP (rfc 1042). • ID du groupe : saisissez un ID de groupe de protocoles. ÉTAPE 4 Cliquez sur Appliquer. Le groupe de protocoles est ajouté et écrit dans le fichier de Configuration d'exécution. Mappage de groupes basés sur protocole aux VLAN Pour mapper un groupe de protocoles à un port, ce dernier doit être en mode Général et ne pas posséder d'ADV configuré (voir Paramètres d'interface). Il est possible de lier plusieurs groupes à un même port, chaque port étant associé à son propre VLAN. Il est également possible de mapper plusieurs groupes à un même VLAN. Pour mapper le port de protocole à un VLAN : ÉTAPE 1 Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur protocole aux VLAN. Les mappages actuellement définis s'affichent. ÉTAPE 2 Pour associer une interface à un groupe basé sur protocole et au VLAN, cliquez sur Ajouter. Le champ Type de groupe affiche le type de groupe à mapper. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 250 15 Gestion des VLAN VLAN voix ÉTAPE 3 Renseignez les champs suivants. • Interface : numéro de port ou LAG affecté au VLAN conformément au groupe basé sur protocole. • ID du groupe : ID du groupe de protocoles. • ID VLAN : associe l'interface à un ID de VLAN défini par l'utilisateur. ÉTAPE 4 Cliquez sur Appliquer. Les ports de protocoles sont mappés à des VLAN et écrits dans le fichier de Configuration d'exécution. VLAN voix Dans un LAN, les périphériques vocaux tels que les téléphones IP, les points d'extrémité VoIP et les systèmes vocaux sont placés dans le même VLAN. On appelle ce VLAN un VLAN voix. Si les périphériques vocaux se trouvent dans d'autres VLAN voix, des routeurs IP (couche 3) sont requis pour établir la communication. Cette section aborde les points suivants : • Présentation du VLAN voix • Configuration de VLAN voix • OUI de téléphonie Présentation du VLAN voix Cette section aborde les points suivants : • Modes VLAN voix dynamiques • VLAN voix automatique, Port intelligent automatique, CDP et LLDP • QoS VLAN voix • Contraintes du VLAN voix • Flux de travail de VLAN voix Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 251 Gestion des VLAN VLAN voix 15 Vous trouverez ci-après des exemples de déploiement vocal classiques, accompagnés des configurations appropriées : • UC3xx/UC5xx hébergé : tous les téléphones et points d'extrémité VoIP Cisco prennent en charge ce modèle de déploiement. Pour ce modèle (UC3xx/UC5xx), les téléphones et points d'extrémité VoIP Cisco résident sur le même VLAN voix. Par défaut, le VLAN voix de UC3xx/UC5xx est le VLAN 100. • PBX IP tiers hébergé : les téléphones SBTG CP-79xx et SPA5xx ainsi que les points d'extrémité SPA8800 Cisco prennent en charge ce modèle de déploiement. Dans ce modèle, le VLAN utilisé par les téléphones est déterminé par la configuration réseau. Il peut éventuellement y avoir des VLAN voix et données séparés. Les téléphones et points d'extrémité VoIP s'inscrivent avec un PBX IP sur site. • Centrex IP/ITSP hébergé : les téléphones CP-79xx et SPA5xx ainsi que les points d'extrémité SPA8800 Cisco prennent en charge ce modèle de déploiement. Dans ce modèle, le VLAN utilisé par les téléphones est déterminé par la configuration réseau. Il peut éventuellement y avoir des VLAN voix et données séparés. Les téléphones et points d'extrémité VoIP s'inscrivent sur un proxy SIP hors site dans le cloud. En ce qui concerne le VLAN, les modèles ci-dessus fonctionnent dans des environnements tenant compte du VLAN et ne tenant pas compte du VLAN. Dans l'environnement tenant compte du VLAN, le VLAN voix fait partie des nombreux VLAN configurés dans une installation. L'exemple ne tenant pas compte du VLAN est équivalent à un environnement tenant compte du VLAN avec un seul VLAN. Le périphérique fonctionne toujours en tant que commutateur tenant compte du VLAN. Le périphérique prend en charge un seul VLAN voix. Par défaut, le VLAN voix est le VLAN 1. Par défaut, le VLAN voix est le VLAN 1. Un autre VLAN voix peuvent être configuré manuellement. Il peut aussi être appris dynamiquement lorsque la fonction VLAN voix automatique est activée. Vous pouvez ajouter manuellement des ports au VLAN voix à l'aide de la configuration VLAN de base décrite à la section Configuration des paramètres d'interface VLAN, ou en appliquant manuellement aux ports la macro Port intelligent relative à la voix. Vous avez aussi la possibilité de les ajouter dynamiquement si le périphérique est en mode OUI de téléphonie ou que la fonction Ports intelligents automatiques est activée pour celui-ci. Modes VLAN voix dynamiques Le périphérique prend en charge deux modes VLAN voix dynamiques : OUI de téléphonie (Organization Unique Identifier) et VLAN voix automatique. Les deux modes influencent la façon dont le VLAN voix et/ou les appartenances de ports du VLAN voix sont configurés. Les deux modes s'excluent mutuellement. • OUI de téléphonie En mode OUI de téléphonie, le VLAN voix doit être un VLAN configuré manuellement et ne peut pas être le VLAN par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 252 Gestion des VLAN VLAN voix 15 Lorsque le périphérique est en mode OUI de téléphonie et qu'un port est configuré manuellement comme candidat au VLAN voix, le périphérique ajoute dynamiquement le port au VLAN voix s'il reçoit un paquet dont l'adresse MAC source correspond à celle des OUI de téléphonie configurés. Un OUI correspond aux trois premiers octets d'une adresse MAC Ethernet. Pour plus d’informations sur le mode OUI de téléphonie, reportez-vous à la section OUI de téléphonie. • VLAN voix automatique En mode VLAN voix automatique, le VLAN voix peut être le VLAN voix par défaut manuellement configuré ou peut être appris à partir de périphériques externes comme UC3xx/5xx et de commutateurs qui annoncent le VLAN voix dans CDP ou VSDP. VSDP est un protocole défini par Cisco pour la détection des services vocaux. À la différence du mode OUI de téléphonie qui détecte les périphériques vocaux basés sur le mode OUI de téléphonie, le mode VLAN voix automatique dépend de la fonction Port intelligent automatique pour ajouter dynamiquement les ports au VLAN voix. Si elle est activée, la fonction Port intelligent automatique ajoute un port au VLAN voix lorsqu'elle détecte sur le port un périphérique en cours d'association qui s'annonce en tant que téléphone ou points d'extrémité de média, par l'intermédiaire de CDP et/ou LLDP-MED. Points d'extrémité vocaux Pour qu'un VLAN voix fonctionne correctement, les périphériques vocaux tels que les téléphones et points d'extrémité VoIP Cisco doivent être attribués au VLAN pouvant envoyer et recevoir leur trafic vocal. Voici quelques exemples possibles : • Un téléphone/point d'extrémité peut être configuré de manière statique avec le VLAN voix. • Un téléphone/point d'extrémité peut obtenir le VLAN voix dans le fichier d'amorçage qu'il télécharge à partir d'un serveur TFTP. Un serveur DHCP peut spécifier le fichier d'amorçage et le serveur TFTP lorsqu'il attribue une adresse IP au téléphone. • Un téléphone/point d'extrémité peut obtenir les informations VLAN voix à partir des annonces CDP et LLDP-MED qu'il reçoit de ses systèmes vocaux et commutateurs voisins. Le périphérique attend des périphériques vocaux en cours de raccordement qu'ils envoient des paquets VLAN balisés. Sur les ports où le VLAN voix est également le VLAN natif, les paquets VLAN voix non balisés sont possibles. VLAN voix automatique, Port intelligent automatique, CDP et LLDP Valeurs par défaut Par défaut (paramètres d'usine), CDP, LLDP et LLDP-MED, le mode Port intelligent automatique et le mode de base de QoS avec DSCP de confiance sont activés sur le périphérique, et tous les ports sont membres du VLAN 1 par défaut, qui est aussi le VLAN voix par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 253 15 Gestion des VLAN VLAN voix En outre, le mode VLAN voix dynamique est la valeur par défaut du VLAN voix automatique avec activation basée sur le déclenchement, et la fonction Port intelligent automatique est la valeur par défaut à activer en fonction du VLAN voix automatique. Déclenchements de VLAN voix Lorsque le mode VLAN voix dynamique est activé sur VLAN voix automatique, cela signifie que le VLAN voix automatique ne devient opérationnel que si un ou plusieurs déclenchements se produisent. Les déclenchements possibles sont la configuration de VLAN voix statique, la réception d'informations VLAN voix dans une annonce de voisinage CDP et la réception d'informations VLAN voix dans le protocole VSDP (Voice VLAN Discovery Protocol). Si vous le souhaitez, vous pouvez rendre le mode VLAN voix automatique immédiatement opérationnel sans attendre de déclenchement. Si la fonction Port intelligent automatique est activée en fonction du mode VLAN voix automatique, la fonction Port intelligent automatique est activée lorsque le mode VLAN voix automatique devient opérationnel. Si vous le souhaitez, vous pouvez activer la fonction Port intelligent automatique indépendamment du mode VLAN voix automatique. REMARQUE La liste de configuration par défaut s'applique ici aux commutateurs dont la version du micrologiciel prend directement en charge le mode VLAN voix automatique. Elle s'applique également aux commutateurs non configurés qui ont été mis à niveau vers la version du micrologiciel prenant en charge le mode VLAN voix automatique. REMARQUE Les déclenchements par défaut et de VLAN voix sont conçus pour n'avoir aucun effet sur les installations ne comportant pas de VLAN voix, ainsi que sur les commutateurs qui ont déjà été configurés. Vous pouvez désactiver et activer manuellement le mode VLAN voix automatique et/ou Port intelligent automatique en fonction de votre déploiement. VLAN voix automatique Le mode VLAN voix automatique permet de gérer le VLAN voix, mais dépend de la fonction Port intelligent automatique pour gérer l'appartenance des ports VLAN voix. Le mode VLAN voix automatique offre les fonctions suivantes lorsqu'il est opérationnel : • Il détecte les informations VLAN voix dans les annonces CDP provenant des périphériques voisins directement connectés. • Si plusieurs commutateurs et/ou routeurs voisins, tels que des périphériques Cisco Unified Communication (UC), annoncent leur VLAN voix, le VLAN voix du périphérique ayant l'adresse MAC la plus basse est utilisé. REMARQUE En cas de connexion du périphérique à un périphérique UC Cisco, vous devrez peut-être configurer le port sur le périphérique UC à l'aide de la commande switchport voice vlan afin de vous assurer que le périphérique UC annonce son VLAN voix dans CDP sur le port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 254 Gestion des VLAN VLAN voix 15 • Il synchronise les paramètres VLAN voix avec les autres commutateurs activés pour le mode VLAN voix automatique, par l'intermédiaire du protocole VSDP (Voice Service Discovery Protocol). Le périphérique se configure toujours lui-même avec le VLAN voix provenant de la source de priorité la plus élevée qu'il détecte. La priorité est basée sur le type de source et l'adresse MAC de la source qui fournit les informations de VLAN voix. Les priorités du type de source, de la plus haute à la plus basse, sont la configuration VLAN statique, l'annonce CDP et la configuration par défaut basée sur le VLAN par défaut modifié, ainsi que le VLAN voix par défaut. Une adresse MAC numériquement basse a une priorité plus élevée qu'une adresse MAC numériquement haute. • Il conserve le VLAN voix jusqu'à ce qu'un nouveau VLAN voix provenant d'une source de priorité plus élevée soit détecté ou jusqu'à ce que le mode VLAN voix automatique soit redémarré par l'utilisateur. Après le redémarrage, le périphérique rétablit le VLAN voix par défaut et relance la détection VLAN voix automatique. • Lorsqu'un nouveau VLAN voix est configuré ou détecté, le périphérique le crée automatiquement et remplace toutes les appartenances de port du VLAN voix existant par celles du nouveau VLAN voix. Cette opération est susceptible d'interrompre ou de terminer des sessions vocales existantes, notamment lorsque la topologie réseau a été modifiée. REMARQUE Si le périphérique est en mode système de couche 2, il peut uniquement se synchroniser avec les commutateurs compatibles VSDP situés dans le même VLAN de gestion. Si le périphérique est en mode système de couche 3, il peut se synchroniser avec les commutateurs compatibles VSDP, situés sur les sous-réseaux IP à connexion directe configurés sur le périphérique. L'option Port intelligent automatique fonctionne avec CDP/LLDP pour gérer les appartenances de port du VLAN voix lorsque des points d'extrémité vocaux sont détectés à partir des ports : • Lorsque CDP et LLDP sont activés, le périphérique envoie périodiquement des paquets CDP et LLDP pour annoncer au VLAN voix les points d'extrémité vocaux à utiliser. • Lorsqu'un périphérique en cours d'association à un port s'annonce lui-même en tant que point d'extrémité vocal, par l'intermédiaire de CDP et/ou LLDP, la fonction Port intelligent automatique ajoute automatiquement le port au VLAN voix en appliquant au port la macro Port intelligent correspondante (si aucun autre périphérique provenant du port n'annonce une fonctionnalité conflictuelle ou supérieure). Si un périphérique s'annonce lui-même en tant que téléphone, la macro Port intelligent par défaut est le téléphone. Si un périphérique s'annonce lui-même en tant que téléphone et hôte, ou téléphone et pont, la macro Port intelligent par défaut est le téléphone+ bureau. QoS VLAN voix Le VLAN voix peut propager les paramètres CoS/802.1p et DSCP à l'aide des stratégies réseau LLDP-MED. Par défaut, le protocole LLDP-MED est défini pour répondre avec le paramètre QoS voix lorsqu'un dispositif envoie des paquets LLDP-MED. Les périphériques prenant en charge MED doivent envoyer leur trafic vocal avec les mêmes valeurs CoS/802.1p et DSCP que celles reçues avec la réponse LLDP-MED. Vous pouvez désactiver la mise à jour automatique entre le VLAN voix et LLDP-MED, et utiliser vos propres stratégies réseau. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 255 Gestion des VLAN VLAN voix 15 S'il utilise le mode OUI, le périphérique peut en outre configurer le mappage et le re-marquage (CoS/ 802.1p) du trafic vocal basé sur le OUI. Par défaut, toutes les interfaces sont approuvées pour CoS/802.1p. Le périphérique applique la qualité de service basée sur la valeur CoS/802.1p qui a été trouvée dans le flux vocal. En mode VLAN voix automatique, vous pouvez remplacer la valeur des flux vocaux en utilisant QoS avancé. Pour les flux vocaux OUI de téléphonie, vous pouvez remplacer la qualité de service et éventuellement re-marquer la valeur 802.1p des flux vocaux en spécifiant les valeurs CoS/802.1p souhaitées et en utilisant l'option de remarquage sous OUI de téléphonie. Contraintes du VLAN voix Les contraintes suivantes doivent être prises en compte : • Seul un VLAN voix est pris en charge. • Un VLAN défini en tant que VLAN voix ne peut pas être supprimé. En outre, les contraintes suivantes s'appliquent au OUI de téléphonie : • Le VLAN voix ne peut pas être le VLAN1 (VLAN par défaut). • Le VLAN voix ne peut pas être activé pour le mode Port intelligent. • Le VLAN voix ne peut pas prendre en charge l'affectation dynamique de VLAN. • Le VLAN voix ne peut pas être le VLAN invité si le mode VLAN voix est OUI. Si le mode VLAN voix est Automatique, alors le VLAN voix peut être le VLAN invité. • À l'exception de la décision QoS relative à la Stratégie/ACL, la décision QoS du VLAN voix a priorité sur toute autre décision QoS. • Un nouvel ID VLAN peut être configuré pour le VLAN voix uniquement si le VLAN voix actuel n'a pas de ports candidats. • L'interface VLAN d'un port candidat doit être en mode Général ou Liaison. • La QoS du VLAN voix est appliquée aux ports statiques ainsi qu'aux ports candidats qui ont rejoint le VLAN voix. • Le flux vocal est accepté si l'adresse MAC peut être apprise par la base de données de transfert (FDB, Forwarding Database). (s'il n'existe aucun espace disponible dans la FDB, aucune action ne se produit). Flux de travail de VLAN voix La configuration par défaut du périphérique sur VLAN voix automatique, Ports intelligents automatiques, CDP et LLDP regroupe la plupart des exemples de déploiement vocal courants. Cette section décrit la façon de déployer un VLAN voix lorsque la configuration par défaut ne peut pas être utilisée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 256 15 Gestion des VLAN VLAN voix Flux de travail 1 : pour configurer le VLAN voix automatique : ÉTAPE 1 Ouvrez la page Gestion des VLAN > VLAN voix > Propriétés. ÉTAPE 2 Sélectionnez l'ID du VLAN voix. Il ne peut pas être défini sur l'ID de VLAN 1 (cette étape n'est pas obligatoire pour un VLAN voix dynamique). ÉTAPE 3 Sélectionnez VLAN voix dynamique pour activer le mode VLAN voix automatique. ÉTAPE 4 Sélectionnez la méthode Activation du VLAN voix automatique. REMARQUE Si le périphérique est actuellement en mode OUI de téléphonie, vous devez le désactiver pour pouvoir configurer le mode VLAN voix automatique. ÉTAPE 5 Cliquez sur Appliquer. ÉTAPE 6 Configurez les ports intelligents comme décrit dans la section Tâches courantes de port intelligent. ÉTAPE 7 Configurez LLDP/CDP comme décrit respectivement dans les sections Configuration de LLDP et Configuration de CDP. ÉTAPE 8 Activez la fonction Port intelligent sur les ports appropriés par l'intermédiaire de la page Port intelligent > Paramètres d'interface. REMARQUE Les étapes 7 et 8 sont facultatives, car elles sont activées par défaut. Flux de travail 2 : pour configurer la méthode OUI de téléphonie : ÉTAPE 1 Ouvrez la page Gestion des VLAN > VLAN voix > Propriétés. Sélectionnez VLAN voix dynamique pour activer le mode OUI de téléphonie. REMARQUE Si le périphérique est actuellement en mode VLAN voix automatique, vous devez le désactiver pour pouvoir activer le mode OUI de téléphonie. ÉTAPE 2 Configurez le mode OUI de téléphonie sur la page OUI de téléphonie. ÉTAPE 3 Configurez l'appartenance VLAN OUI de téléphonie pour les ports sur la page Interface des OUI de téléphonie. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 257 Gestion des VLAN VLAN voix 15 Configuration de VLAN voix Cette section explique comment configurer le VLAN voix. Elle couvre les rubriques suivantes : • Configuration des propriétés du VLAN voix • Paramètres de VLAN voix automatique • OUI de téléphonie Configuration des propriétés du VLAN voix Utilisez la page Propriétés du VLAN voix pour effectuer les opérations suivantes : • Affichez les paramètres de configuration actuels du VLAN voix. • Configurez l'ID de VLAN du VLAN voix. • Configurez les paramètres QoS du VLAN voix. • Configurez le mode VLAN voix (OUI de téléphonie ou VLAN voix automatique). • Configurez la façon dont le VLAN voix automatique se déclenche. Pour afficher et configurer les propriétés du VLAN voix : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > Propriétés. • Les paramètres VLAN voix configurés sur le périphérique s'affichent dans le bloc Paramètres du VLAN voix (État administratif). • Les paramètres VLAN voix actuellement appliqués au déploiement VLAN voix s'affichent dans le bloc Paramètres du VLAN voix (État opérationnel). ÉTAPE 2 Saisissez les valeurs appropriées dans les champs suivants : • ID VLAN voix : entrez le VLAN qui sera le VLAN voix. REMARQUE Les modifications apportées à l'ID du VLAN voix, CoS/802.1p et/ou DSCP obligent le périphérique à annoncer le VLAN voix administratif en tant que VLAN voix statique. Si l'option Activation du VLAN voix automatique déclenchée par le VLAN voix externe est sélectionnée, les valeurs par défaut doivent être conservées. • CoS/802.1p : sélectionnez une valeur CoS/802.1p utilisée par LLDP-MED en tant que stratégie de réseau voix. Pour plus d'informations, reportez-vous à Administration > Détection > LLDP > Stratégie réseau LLD PMED. • DSCP : sélection de valeurs DSCP utilisées par LLDP-MED en tant que stratégie de réseau voix. Pour plus d'informations, reportez-vous à Administration > Détection > LLDP > Stratégie réseau LLD PMED. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 258 15 Gestion des VLAN VLAN voix • VLAN voix dynamique : sélectionnez ce champ pour désactiver ou activer la fonction VLAN voix de l'une des manières suivantes : - Activer le VLAN voix automatique : active le VLAN voix dynamique en mode VLAN voix automatique. • - Activer OUI de téléphonie : active le VLAN voix dynamique en mode OUI de téléphonie. - Désactiver : désactive le VLAN voix automatique ou le OUI de téléphonie. Activation du VLAN voix automatique : sélectionnez l'une des options suivantes pour activer le VLAN voix automatique : - Immédiat : le VLAN voix automatique du périphérique est activé et immédiatement opérationnel. - Par déclenchement du VLAN voix externe : le VLAN voix automatique du périphérique est activé et opérationnel uniquement si le périphérique détecte un périphérique qui annonce le VLAN voix. REMARQUE La reconfiguration manuelle de l'ID de VLAN voix, CoS/802.1p et/ou DSCP à partir de leurs valeurs par défaut génère un VLAN voix statique ayant une priorité plus élevée que le VLAN voix automatique qui a été appris des sources externes. ÉTAPE 3 Cliquez sur Appliquer. Les propriétés du VLAN sont écrites dans le fichier de Configuration d'exécution. Paramètres de VLAN voix automatique Si le mode VLAN voix automatique est activé, utilisez la page VLAN voix automatique pour afficher les paramètres globaux et d'interface appropriés. Vous pouvez aussi utiliser cette page pour redémarrer manuellement le VLAN voix automatique, en cliquant sur Redémarrer VLAN voix automatique. Au bout de quelques instants, le système rétablit le VLAN voix par défaut, et relance la détection VLAN voix automatique et le processus de synchronisation sur tous les commutateurs du LAN pour lesquels le mode VLAN voix automatique est activé. REMARQUE Cette opération rétablit uniquement le VLAN voix par défaut si le type de source est dans l'état Inactif. Pour afficher les paramètres de VLAN voix automatique : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > VLAN voix automatique. Le bloc État opérationnel figurant sur cette page affiche les informations sur le VLAN voix actuel et sa source : • État de VLAN voix automatique : indique si le VLAN voix automatique est activé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 259 15 Gestion des VLAN VLAN voix • ID du VLAN voix : identificateur du VLAN voix actuel. • Type de source : affiche le type de source où le VLAN voix a été détecté par le périphérique racine. • CoS/802.1p : affiche les valeurs CoS/802.1p utilisées par LLDP-MED en tant que stratégie de réseau voix. • DSCP : affiche les valeurs DSCP utilisées par LLDP-MED en tant que stratégie de réseau voix. • Adresse MAC commutateur racine : adresse MAC du périphérique racine VLAN voix automatique qui détecte ou est configuré avec le VLAN voix à partir duquel le VLAN voix est appris. • Adresse MAC du commutateur : adresse MAC de base du périphérique. Si l'adresse MAC du commutateur du périphérique est l'adresse MAC du commutateur racine, le périphérique est le périphérique racine VLAN voix automatique. • Heure de changement de l'ID VLAN voix : heure de la dernière mise à jour du VLAN voix. ÉTAPE 2 Cliquez sur Redémarrer VLAN voix automatique pour rétablir le VLAN voix par défaut et relancer la détection VLAN voix automatique sur tous les commutateurs du LAN pour lesquels la fonction VLAN voix automatique est activée. La Table locale VLAN voix affiche le VLAN voix configuré sur le périphérique ainsi que toute configuration VLAN voix annoncée par des périphériques voisins à connexion directe. Elle contient les champs suivants : • Interface : affiche l'interface sur laquelle la configuration VLAN voix a été reçue ou configurée. Si S/O est affiché, cela signifie que la configuration a été effectuée sur le périphérique lui-même. Si une interface est affichée, cela signifie qu'une configuration de voix a été reçue d'un voisin. • Adresse MAC source : adresse MAC de l'UC de provenance de la configuration de voix. • Type de source : type d'UC de provenance de la configuration de voix. Les options suivantes sont disponibles : - Par défaut : configuration VLAN voix par défaut sur le périphérique. - Statique : configuration VLAN voix définie par l'utilisateur programmée sur le périphérique. - CDP : indique que l'UC qui a annoncé la configuration VLAN voix exécute CDP. - LLDP : indique que l'UC qui a annoncé la configuration VLAN voix exécute LLDP. - ID du VLAN voix : identificateur du VLAN voix annoncé ou configuré. • ID du VLAN voix : identificateur du VLAN voix actuel. • CoS/802.1p : valeurs CoS/802.1p annoncées ou configurées qui sont utilisées par LLDP-MED en tant que stratégie de réseau voix. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 260 Gestion des VLAN VLAN voix 15 • DSCP : valeurs DSCP annoncées ou configurées qui sont utilisées par LLDP-MED en tant que stratégie réseau de voix. • Meilleure source locale : indique si ce VLAN voix a été utilisé par le périphérique. Les options suivantes sont disponibles : - Oui : le périphérique utilise ce VLAN voix pour se synchroniser avec les autres commutateurs pour lesquels la fonction VLAN voix automatique est activée. Ce VLAN voix est celui utilisé pour le réseau, sauf si un VLAN voix provenant d'une source de priorité plus élevée est détecté. Une seule source locale peut être la meilleure source locale. - Non : il ne s'agit pas de la meilleure source locale. ÉTAPE 3 Cliquez sur Actualiser pour actualiser les informations figurant sur la page. OUI de téléphonie Les OUI (Organizationally Unique Identifiers) sont attribués par l'autorité d'enregistrement intégrée IEEE (Institute of Electrical and Electronics Engineers). Étant donné que le numéro des fabricants de téléphones IP est limité et connu, les valeurs d'OUI connues entraînent l'affectation automatique au VLAN voix des trames concernées et du port sur lequel elles sont détectées. La table globale des OUI peut contenir jusqu'à 128 entrées. Cette section aborde les points suivants : • Table des OUI de téléphonie • Interface des OUI de téléphonie Table des OUI de téléphonie Utilisez la page OUI de téléphonie pour configurer les propriétés QoS des OUI de téléphonie. Vous pouvez également configurer le Délai d'expiration d'appartenance automatique. Si la période expire sans aucune activité téléphonique, le port est supprimé du VLAN voix. Utilisez la page OUI de téléphonie pour afficher les OUI existants et en ajouter de nouveaux. Pour configurer les OUI de téléphonie et/ou ajouter un nouveau OUI de VLAN voix : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > OUI de téléphonie. La page OUI de téléphonie contient les champs suivants : • État opérationnel OUI de téléphonie : indique si les OUI sont utilisés pour identifier le trafic vocal. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 261 15 Gestion des VLAN VLAN voix • CoS/802.1p : sélectionnez la file d'attente CoS à attribuer au trafic vocal. • Remarquer CoS/802.1p : sélectionnez cette option pour remarquer le trafic sortant. • Délai d'expiration d'appartenance automatique : entrez le délai à l'issue duquel supprimer un port du VLAN voix une fois que toutes les adresses MAC des téléphones détectés sur les ports ont expiré. ÉTAPE 2 Cliquez sur Appliquer pour intégrer ces valeurs à la Configuration d'exécution du périphérique. La Table des OUI de téléphonie s'affiche : • OUI de téléphonie : six premiers chiffres de l'adresse MAC réservés aux OUI. • Description : description du OUI affecté par l'utilisateur. ÉTAPE 3 Cliquez sur Restaurer les OUI par défaut pour supprimer tous les OUI créés par l'utilisateur et conserver uniquement les OUI par défaut dans la table. Les informations OUI risquent d'être inexactes tant que la restauration n'est pas terminée. Cette opération peut prendre plusieurs secondes. Au bout de quelques secondes, actualisez la page en la quittant et y accédant à nouveau. Pour supprimer tous les OUI, cochez la case du haut. Tous les OUI sont sélectionnés et peuvent être supprimés en cliquant sur Supprimer. Si vous cliquez ensuite sur Restaurer les OUI par défaut, le système récupère les OUI connus. ÉTAPE 4 Pour ajouter un nouveau OUI, cliquez sur Ajouter. ÉTAPE 5 Entrez les valeurs des champs suivants : • OUI de téléphonie : saisissez un nouveau OUI. • Description : saisissez un nom d'OUI. ÉTAPE 6 Cliquez sur Appliquer. Le OUI est ajouté à la Table des OUI de téléphonie. Interface des OUI de téléphonie Les attributs QoS peuvent être affectés aux paquets voix pour chaque port dans l'un des deux modes suivants : • Tout : les valeurs de qualité de service (QoS) configurées sur le VLAN voix sont appliquées à toutes les trames entrantes reçues sur l'interface et catégorisées comme VLAN voix. • Adresse MAC source de téléphonie : les valeurs de QoS configurées pour le VLAN voix sont appliquées à toute trame entrante catégorisée comme VLAN voix et contenant un OUI dans l'adresse MAC source qui correspond à un OUI de téléphonie configuré. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 262 Gestion des VLAN Accès VLAN TV port multidiffusion 15 Utilisez la page Interface des OUI de téléphonie pour ajouter une interface au VLAN voix sur la base de l'identificateur OUI et pour configurer le mode QoS OUI du VLAN voix. Pour configurer le mode OUI de téléphonie sur une interface : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > Interface des OUI de téléphonie. La page Interface des OUI de téléphonie contient les paramètres OUI du VLAN voix pour toutes les interfaces. ÉTAPE 2 Pour configurer une interface en tant que port candidat du VLAN voix basé sur les OUI de téléphonie, cliquez sur Modifier. ÉTAPE 3 Entrez les valeurs des champs suivants : • Interface : sélectionnez une interface. • Adhésion VLAN OUI de téléphonie : si cette option est activée, l'interface est un port candidat du VLAN voix basé sur les OUI de téléphonie. Lorsque des paquets correspondant à l'un des OUI de téléphonie configurés sont reçus, le port est ajouté au VLAN voix. • Mode de QoS VLAN voix : sélectionnez l'une des options suivantes : - Tous : les attributs QoS sont appliqués à tous les paquets catégorisés comme VLAN voix. - Adresse MAC source de téléphonie : les attributs QoS sont uniquement appliqués aux paquets provenant de téléphones IP. ÉTAPE 4 Cliquez sur Appliquer. L'OUI est ajouté. Accès VLAN TV port multidiffusion Les VLAN TV de multidiffusion permettent les transmissions de multidiffusion vers les abonnés qui ne se trouvent pas sur le même VLAN données (couche 2 isolée), sans réplication des trames de transmission de multidiffusion pour chaque VLAN d'abonné. Les abonnés, qui ne se trouvent pas sur le même VLAN données (couche 2 isolée) et qui sont connectés au périphérique à l'aide d'un ID de VLAN différent, peuvent partager le même flux de multidiffusion en joignant les ports sur le même ID de VLAN de multidiffusion. Le port réseau, connecté au serveur de multidiffusion, est configuré statiquement en tant que membre dans l'ID de VLAN de multidiffusion. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 263 Gestion des VLAN Accès VLAN TV port multidiffusion 15 Les ports réseau, par le biais desquels les abonnés communiquent avec le serveur de multidiffusion (grâce à l'envoi de messages IGMP), reçoivent les flux de multidiffusion à partir du serveur de multidiffusion, tout en incluant le VLAN TV de multidiffusion dans l'en-tête de paquet de multidiffusion. Pour ces raisons, les ports réseau doivent être configurés de manière statique, comme suit : • Type de port Liaison ou Général (voir Paramètres d'interface) • Membre sur le VLAN TV de multidiffusion Les ports récepteurs de l'abonné ne peuvent être associés au VLAN TV de multidiffusion que s'ils sont définis sur l'un des deux types suivants : • Port d'accès • Port client (voir VLAN TV port client multidiffusion) Il est possible d'associer un ou plusieurs groupes d'adresses de multidiffusion IP au même VLAN TV de multidiffusion. Tout VLAN peut être configuré en tant que VLAN TV de multidiffusion. Un port affecté à un VLAN TV de multidiffusion : • Rejoint le VLAN TV de multidiffusion. • Les paquets traversant les ports de sortie dans le VLAN TV de multidiffusion ne sont pas balisés. • Le paramètre Type de trame du port est défini sur Tout admettre, autorisant ainsi les paquets non balisés (voir Paramètres d'interface). La configuration du VLAN TV de multidiffusion est définie pour chaque port. Les ports clients sont configurés pour être membres des VLAN TV de multidiffusion à l'aide de la page VLAN TV de multidiffusion. Surveillance IGMP Un VLAN TV de multidiffusion s'appuie sur la surveillance IGMP, ce qui signifie les points suivants : • Les abonnés utilisent des messages IGMP pour rejoindre ou quitter un groupe de multidiffusion. • Le périphérique effectue la surveillance IGMP et configure le port d'accès conformément à son appartenance de multidiffusion sur le VLAN TV de multidiffusion. Pour chaque paquet IGMP reçu sur un port d'accès, le périphérique décide de l'associer au VLAN d'accès ou au VLAN TV de multidiffusion, conformément aux règles suivantes : • Si un message IGMP est reçu sur un port d'accès, avec l'adresse IP de multidiffusion de destination associée au VLAN TV de multidiffusion du port, le logiciel associe le paquet IGMP au VLAN TV de multidiffusion. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 264 15 Gestion des VLAN Accès VLAN TV port multidiffusion • Sinon, le message IGMP est associé au VLAN d'accès et transmis uniquement au sein de ce VLAN. • Le message IGMP est abandonné si : - L'état STP/RSTP sur le port d'accès est Abandonner. - L'état MSTP du VLAN d'accès est Abandonner. - L'état MSTP du VLAN TV de multidiffusion est Abandonner et le message IGMP est associé à ce VLAN TV de multidiffusion. Différences entre VLAN standard et VLAN TV de multidiffusion Caractéristiques des VLAN normaux et des VLAN TV de multidiffusion VLAN standard VLAN TV multidiffusion Appartenance VLAN La source et tous les ports récepteurs doivent être des membres statiques du même VLAN données. La source et les ports récepteurs ne peuvent pas être membres du même VLAN données. Enregistrement de groupes L'enregistrement des groupes de multidiffusion est dynamique. Les groupes doivent être associés à un VLAN de multidiffusion de manière statique, mais l'enregistrement réel de la station est dynamique. Ports récepteurs Un VLAN peut être utilisé à la fois pour l'envoi et la réception de trafic (aussi bien multidiffusion que monodiffusion). Un VLAN de multidiffusion ne peut être utilisé que pour la réception de trafic par les stations sur le port (multidiffusion uniquement). Sécurité et isolation Les récepteurs du même flux de multidiffusion se trouvent sur le même VLAN données et peuvent communiquer entre eux. Les récepteurs du même flux de multidiffusion se trouvent sur des VLAN d'accès différents et sont isolés les uns des autres. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 265 Gestion des VLAN Accès VLAN TV port multidiffusion 15 Configuration Flux de travail Configurez un VLAN TV selon les étapes suivantes : 1. Définissez un VLAN TV en associant un groupe de multidiffusion à un VLAN (à l'aide de la page Groupe multidiffusion aux VLAN). 2. Spécifiez les ports d'accès dans chaque VLAN de multidiffusion (à l'aide de la page Appartenance VLAN du port multidiffusion). Groupe multidiffusion aux VLAN Pour définir la configuration d'un VLAN TV de multidiffusion : ÉTAPE 1 Cliquez sur Gestion des VLAN > Accès VLAN TV port multidiffusion > Groupe multidiffusion aux VLAN. Les champs suivants s'affichent : • Groupe multidiffusion : adresse IP du groupe de multidiffusion. • VLAN TV de multidiffusion : VLAN auquel les paquets de multidiffusion sont affectés. ÉTAPE 2 Cliquez sur Ajouter pour associer un groupe de multidiffusion à un VLAN. Vous pouvez sélectionner n'importe quel VLAN. Lorsqu'un VLAN est sélectionné, il devient un VLAN TV de multidiffusion. ÉTAPE 3 Cliquez sur Appliquer. Les paramètres VLAN TV de multidiffusion sont modifiés et écrits dans le fichier de Configuration d'exécution. Appartenance VLAN du port multidiffusion Pour définir la configuration d'un VLAN TV de multidiffusion : ÉTAPE 1 Cliquez sur Gestion des VLAN > Accès VLAN TV port multidiffusion > Appartenance VLAN du port multidiffusion. ÉTAPE 2 Sélectionnez un VLAN dans le champ VLAN TV de multidiffusion. ÉTAPE 3 Sélectionnez une interface dans Type d'interface. ÉTAPE 4 La liste Ports d'accès candidats contient tous les ports d'accès configurés sur le périphérique. Déplacez les ports requis vers le champ Ports d'accès membres. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 266 Gestion des VLAN VLAN TV port client multidiffusion 15 ÉTAPE 5 Cliquez sur Appliquer. Les paramètres VLAN TV de multidiffusion sont modifiés et écrits dans le fichier de Configuration d'exécution. VLAN TV port client multidiffusion Un service triple play offre trois services de connexion haut débit sur une seule connexion haut débit : • Accès Internet haut débit • Vidéo • Voix Le service triple play est offert aux abonnés au fournisseur de services, tout en maintenant une isolation de type couche 2 entre eux. Chaque abonné possède une boîte CPE MUX. Le MUX possède plusieurs ports d'accès connectés aux périphériques de l'abonné (PC, téléphone, etc.) ainsi qu'un port réseau connecté au périphérique d'accès. La boîte transfère les paquets depuis le port réseau vers les périphériques de l'abonné, sur la base de la balise VLAN du paquet. Chaque VLAN est mappé à l'un des ports d'accès du MUX. Les paquets issus des abonnés vers le réseau du fournisseur de services sont transférés en guise de trames VLAN balisées, afin de distinguer les différents types de services, ce qui signifie qu'il y a un ID de VLAN unique dans la boîte CPE pour chaque type de service. Tous les paquets allant de l'abonné au réseau du fournisseur de services sont encapsulés par le périphérique d'accès avec le VLAN de l'abonné configuré en tant que VLAN client (balise externe ou S-VID), à l'exception des messages de surveillance IGMP issus des récepteurs TV, qui sont associés au VLAN TV de multidiffusion. Les informations de vidéo à la demande (VOD) qui sont également issues des récepteurs TV sont envoyées comme tout autre type de trafic. Les paquets issus du réseau du fournisseur de services qui sont reçus sur le port réseau de l'abonné sont envoyés sur le réseau du fournisseur de services en tant que paquets à double balise, la balise externe (balise de service ou S-Tag) représentant l'un des deux types de VLAN comme suit : • VLAN d'abonné (y compris Internet et téléphones IP) • VLAN TV multidiffusion Le VLAN interne (C-Tag) est la balise qui détermine la destination dans le réseau de l'abonné (via la boîte CPE MUX). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 267 Gestion des VLAN VLAN TV port client multidiffusion 15 Flux de travail 1. Configurez un port d'accès en tant que port client (à l'aide de la page Gestion des VLAN > Paramètres d'interface). Pour plus d'informations, reportez-vous à la section QinQ. 2. Configurez le port réseau en tant que port Liaison ou Général avec abonné et VLAN TV de multidiffusion en guise de VLAN balisés (à l'aide de la page Gestion des VLAN > Paramètres d'interface). 3. Créez un VLAN TV de multidiffusion comportant jusqu'à 4094 VLAN différents. (La création de VLAN s'effectue par le biais de la configuration de la gestion des VLAN standard.) 4. Associez le port client à un VLAN TV de multidiffusion à l'aide de la page Appartenance VLAN du port multidiffusion. 5. Mappez le VLAN CPE (C-TAG) au VLAN TV de multidiffusion (S-Tag) à l'aide de la page VLAN CPE à VLAN. CPE VLAN à VLAN Pour assurer la prise en charge de la boîte CPE MUX auprès des VLAN d'abonné, il se peut que les abonnés aient besoin de plusieurs fournisseurs vidéo, chaque fournisseur étant affecté à un VLAN externe différent. Les VLAN CPE de multidiffusion (internes) doivent être mappés aux VLAN (externes) des fournisseurs de multidiffusion. Lorsqu'un VLAN CPE est mappé à un VLAN de multidiffusion, il peut participer à la surveillance IGMP. Pour mapper des VLAN CPE : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN TV de multidiffusion du port client > VLAN CPE à VLAN. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • VLAN CPE : saisissez le VLAN défini sur la boîte CPE. • VLAN TV de multidiffusion : sélectionnez le VLAN TV de multidiffusion qui est mappé au VLAN CPE. ÉTAPE 4 Cliquez sur Appliquer. Le mappage de VLAN CPE est modifié et écrit dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 268 Gestion des VLAN VLAN TV port client multidiffusion 15 Appartenance VLAN du port multidiffusion Les ports associés aux VLAN de multidiffusion doivent être configurés en tant que ports clients (voir Paramètres d'interface). Pour mapper des ports aux VLAN TV de multidiffusion : ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN TV port client multidiffusion > Appartenance VLAN du port multidiffusion. ÉTAPE 2 Sélectionnez un VLAN dans VLAN TV de multidiffusion. ÉTAPE 3 Sélectionnez une interface dans Type d'interface. ÉTAPE 4 La liste Ports client candidats contient tous les ports d'accès configurés sur le périphérique. Déplacez les ports requis vers le champ Ports client membres. Cliquez sur Appliquer. Les nouveaux paramètres sont modifiés et écrits dans le fichier de configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 269 16 Spanning Tree Cette section décrit le protocole STP (Spanning Tree Protocol) (IEEE802.1D et IEEE802.1Q) et couvre les rubriques suivantes : • Types de STP • État STP et paramètres globaux • Paramètres d'interface Spanning Tree • Paramètres Rapid Spanning Tree • Multiple Spanning Tree • Propriétés MSTP • Instance VLAN vers MSTP • Paramètres d'instance MSTP • Paramètres d'interface MSTP Types de STP Le protocole STP protège un domaine de diffusion de couche 2 (Layer 2) contre les tempêtes de diffusion en paramétrant sélectivement des liens sur le mode de réserve pour empêcher les boucles. En mode de réserve, ces liens cessent temporairement de transférer des données d'utilisateur. Les liens sont automatiquement réactivés lorsque la topologie permet à nouveau le transfert de données. Des boucles se produisent lorsque des chemins alternatifs existent entre les hôtes. Les boucles d'un réseau étendu peuvent utiliser des commutateurs pour acheminer indéfiniment le trafic, ce qui augmente la charge de ce dernier et diminue l'efficacité du réseau. Le protocole STP fournit une topologie en arborescence pour l'agencement de commutateurs et de liens d'interconnexion afin de créer un chemin d'accès unique entre des stations d'arrivée sur un réseau et d'éliminer les boucles. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 270 Spanning Tree État STP et paramètres globaux 16 Le périphérique prend en charge les versions de protocole STP suivantes : • Le STP classique fournit un chemin d'accès unique entre deux stations d'arrivée afin d'empêcher et d'éliminer les boucles. • Le STP rapide (RSTP) détecte les topologies de réseau afin de fournir une convergence du Spanning Tree plus rapide. Ce protocole est plus efficace lorsque la topologie du réseau est naturellement structurée en arborescence et permet une convergence plus rapide. RSTP est activé par défaut. • STP multiple (MSTP) : le protocole MSTP est basé sur le protocole RSTP. Il détecte les boucles de couche 2 (Layer 2) et tente de les réduire en empêchant le port impliqué de transférer le trafic. Étant donné que les boucles existent au niveau d'un domaine de couche 2 (Layer 2), il peut se produire une situation où une boucle se crée dans le VLAN A mais pas dans le VLAN B. Si les deux VLAN sont définis sur un port X et que STP souhaite réduire la boucle, le protocole stoppe le trafic sur tout le port, y compris celui du VLAN B. MSTP résout ce problème en activant plusieurs instances STP afin de détecter et de réduire séparément les boucles pour chaque instance. En associant les instances aux VLAN, chacune d'entre elles est associée au domaine de couche 2 (Layer 2) sur lequel elle détecte et réduit les boucles. Cela permet d'arrêter un port d'une instance. Par exemple, pour stopper le trafic du VLAN A provoquant une boucle, tout en maintenant le trafic dans un autre domaine (tel que le VLAN B) où aucune boucle ne se produit. État STP et paramètres globaux La page État STP et paramètres globaux contient les paramètres permettant d'activer le protocole STP, RSTP ou MSTP. Utilisez respectivement la page Paramètres d'interface STP, Paramètres d'interface RSTP et Propriétés MSTP pour configurer chaque mode. Pour définir l'état et les paramètres globaux STP : ÉTAPE 1 Cliquez sur Spanning Tree > État STP et paramètres globaux. ÉTAPE 2 Saisissez les paramètres. Paramètres globaux : • État Spanning Tree : sélectionnez cette option pour l'activer sur le périphérique. • Protection de bouclage STP : sélectionnez cette option pour activer la protection de bouclage sur le périphérique. • Mode de fonctionnement STP : sélectionnez un mode STP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 271 Spanning Tree État STP et paramètres globaux • • 16 Gestion BPDU : définissez la façon dont les paquets BPDU sont gérés lorsque le protocole STP est désactivé sur le port ou le périphérique. Les BPDU servent à transmettre des informations du protocole STP. - Filtrage : filtre les paquets BPDU lorsque Spanning Tree est désactivé sur une interface. - Inondation : inonde de paquets BPDU lorsque Spanning Tree est désactivé sur une interface. Valeurs par défaut du coût de chemin : sélectionne la méthode utilisée pour assigner des coûts de chemin par défaut aux ports STP. Le coût de chemin par défaut assigné à une interface varie selon la méthode sélectionnée. - Court : spécifie la plage de 1 à 65 535 pour les coûts de chemin des ports. - Long : spécifie la plage de 1 à 200 000 000 pour les coûts de chemin des ports. Paramètres des ponts : • Priorité : définit la valeur de priorité du pont. Après l'échange de BPDU, le périphérique de priorité moindre devient le pont racine. Si tous les ponts utilisent la même priorité, leurs adresses MAC sont alors utilisées pour déterminer le pont racine. La valeur de priorité du pont est fournie par incréments de 4096. Par exemple, 4096, 8192, 12288, etc. • Délai Hello : définissez le temps d'attente en secondes d'un pont racine entre deux messages de configuration. • Âge maximum : définissez la durée d'attente maximale (en secondes) du périphérique avant qu'il ne tente de redéfinir sa propre configuration lorsqu'il ne reçoit pas de message de configuration. • Délai de transfert : définissez la durée en secondes pendant laquelle le pont reste en mode d'apprentissage avant de transférer des paquets. Pour plus d’informations, reportez-vous à la section Paramètres d'interface Spanning Tree. Racine désignée : • ID du pont : priorité du pont concaténée avec l'adresse MAC du périphérique. • ID du pont racine : priorité du pont racine concaténée avec l'adresse MAC du pont racine. • Port racine : port offrant le chemin de moindre coût entre ce pont et le pont racine. (Cette information est importante lorsque le pont n'est pas le pont racine.) • Coût du chemin racine : coût du chemin entre ce pont et la racine. • Nombre de changements de topologie : nombre total des changements de topologie STP effectués. • Dernier changement de topologie : temps écoulé depuis le dernier changement de topologie. Cette durée s'affiche au format jours/heures/minutes/secondes. ÉTAPE 3 Cliquez sur Appliquer. Les paramètres globaux STP sont écrits dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 272 Spanning Tree Paramètres d'interface Spanning Tree 16 Paramètres d'interface Spanning Tree La page Paramètres d'interface STP vous permet de configurer le protocole STP port par port et d'afficher les informations apprises par le protocole, comme le pont désigné. La configuration définie est valide pour toutes les variantes du protocole STP. Pour configurer STP sur une interface : ÉTAPE 1 Cliquez sur Spanning Tree > Paramètres d'interface STP. ÉTAPE 2 Sélectionnez une interface et cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez le port ou le LAG sur lequel Spanning Tree est configuré. • STP : active ou désactive STP sur le port. • Port de bordure : active ou désactive Fast Link sur le port. Si le mode Fast Link est activé pour un port, le port est automatiquement placé en mode Transfert lorsque le lien du port est actif. Fast Link optimise la convergence du protocole STP. Les options sont les suivantes : - Activer : active immédiatement Fast Link. - Auto : active Fast Link quelques secondes après l'activation de l'interface. Ceci permet à STP de résoudre les problèmes de boucles avant d'activer Fast Link. - Désactiver : désactive Fast Link. REMARQUE Il est recommandé de définir la valeur sur Auto afin que le périphérique place le port en mode Fast Link lorsqu'un hôte y est connecté, ou qu'il le définisse comme étant un port STP normal lorsqu'il est connecté à un autre périphérique. Cela permet d'éviter les boucles. • Protection racine : active ou désactive la protection racine sur le périphérique. L'option de protection racine offre un moyen d'appliquer le placement du pont racine au sein du réseau. La protection racine permet de garantir que le port sur lequel cette fonction est activée est le port désigné. Normalement, tous les ports du pont racine sont des ports désignés, sauf si deux ou plusieurs ports du pont racine sont connectés. Si le pont reçoit des BPDU supérieurs sur un port sur lequel la protection racine est activée, celle-ci place ce port dans un état STP incohérent pour la racine. Cet état incohérent pour la racine est en fait équivalent à un état d'écoute. Aucun trafic n'est acheminé par ce port. De cette manière, la protection racine applique la position du pont racine. • Protection BPDU : active ou désactive la fonction de protection BPDU (Bridge Protocol Data Unit) sur le port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 273 Spanning Tree Paramètres d'interface Spanning Tree 16 La protection BPDU permet d'appliquer les frontières du domaine STP et de maintenir la topologie active prévisible. Les périphériques situés derrière les ports pour lesquels la protection BPDU est activée ne peuvent pas influencer la topologie STP. Lors de la réception de BPDU, l'opération de protection BPDU désactive le port pour lequel la protection BPDU est configurée. Dans ce cas, un message BPDU est reçu et une interception SNMP est générée. • Gestion BPDU : définissez la façon dont les paquets BPDU sont gérés lorsque le protocole STP est désactivé sur le port ou le périphérique. Les BPDU servent à transmettre des informations du protocole STP. - Utiliser les paramètres globaux : sélectionnez cette option pour utiliser les paramètres définis sur la page État STP et paramètres globaux. - Filtrage : filtre les paquets BPDU lorsque Spanning Tree est désactivé sur une interface. - Inondation : inonde de paquets BPDU lorsque Spanning Tree est désactivé sur une interface. • Coût de chemin : définissez la contribution du port au coût du chemin racine ou utilisez le coût par défaut généré par le système. • Priorité : définissez la valeur de priorité du port. La valeur de priorité influence le choix du port lorsqu'un pont dispose de deux ports connectés au sein d'une boucle. La priorité est une valeur comprise entre 0 et 240, définie par incréments de 16. • État du port : affiche l'état STP actuel d'un port. - Désactivé : le protocole STP est actuellement désactivé sur le port. Le port transfère le trafic tout en apprenant les adresses MAC. - Blocage : le port est actuellement bloqué et ne peut ni transférer le trafic (à l'exception des données BPDU) ni apprendre les adresses MAC. - Écoute : le port est en mode Écoute. Il ne peut ni transférer le trafic ni connaître les adresses MAC. - Apprentissage : le port est en mode Apprentissage. Il ne peut pas transférer le trafic mais il peut prendre connaissance de nouvelles adresses MAC. - Transfert : le port est en mode Transfert. Il peut réacheminer du trafic et apprendre de nouvelles adresses MAC. • ID du pont désigné : affiche la priorité du pont et l'adresse MAC du pont désigné. • ID du port désigné : affiche la priorité et l'interface du port sélectionné. • Coût désigné : affiche le coût du port participant à la topologie STP. Les ports de coûts inférieurs sont peu susceptibles d'être bloqués si STP détecte des boucles. • Transitions de transfert : affiche le nombre de fois où le port est passé de l'état Blocage à l'état Transfert. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 274 Spanning Tree Paramètres Rapid Spanning Tree 16 • Vitesse : affiche la vitesse du port. • LAG : affiche le LAG auquel appartient le port. Si un port est membre d'un LAG, les paramètres du LAG remplacent ceux du port. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres d'interface sont écrits dans le fichier de Configuration d'exécution. Paramètres Rapid Spanning Tree Le protocole RSTP (Rapid Spanning Tree Protocol) permet une convergence STP plus rapide sans création de boucles de réacheminement. La page Paramètres d'interface RSTP vous permet de configurer le protocole RSTP par port. Toute configuration effectuée sur cette page est active lorsque le mode STP global est défini sur RSTP ou MSTP. Pour entrer les paramètres RSTP : ÉTAPE 1 Cliquez sur Spanning Tree > État STP et paramètres globaux. Activez RSTP. ÉTAPE 2 Cliquez sur Spanning Tree > Paramètres d'interface RSTP. La page Paramètres d'interface RSTP s'ouvre : ÉTAPE 3 Sélectionnez un port. REMARQUE Activer la migration des protocoles est uniquement disponible après avoir sélectionné le port connecté au pont associé en cours de test. ÉTAPE 4 Si un partenaire de lien est détecté via STP, cliquez sur Activer la migration des protocoles pour effectuer un test de migration des protocoles. Cette opération détecte si le partenaire de liaison utilisant le protocole STP existe toujours et, si c'est le cas, s'il a migré vers RSTP ou MSTP. S'il existe toujours en tant que lien STP, le périphérique continue de communiquer avec lui via STP. En revanche, s'il a migré vers RSTP ou MSTP, le périphérique communique avec lui via RSTP ou MSTP, respectivement. ÉTAPE 5 Sélectionnez une interface et cliquez sur Modifier. ÉTAPE 6 Configurez les paramètres suivants : • Interface : définissez l'interface et précisez le port ou LAG où RSTP doit être configuré. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 275 Spanning Tree Paramètres Rapid Spanning Tree • 16 État administratif point à point : définissez l'état de la liaison point à point. Les ports définis en tant que Full Duplex sont considérés comme liens de port point à point. - Activer : ce port devient un port de bordure RSTP lorsque cette option est activée et il est placé rapidement en mode Transfert (généralement en 2 secondes). - Désactiver : le port n'est pas considéré comme port point à point pour le protocole RSTP ; par conséquent, STP fonctionne sur ce port à vitesse normale et non à haute vitesse. - Automatique : détermine automatiquement l'état du périphérique en utilisant les unités BPDU RSTP. • État opérationnel point à point : affiche l'état opérationnel point à point si l'État administratif point à point est défini sur Auto. • Rôle : affiche le rôle du port qui a été assigné par STP pour fournir des chemins STP. Les rôles possibles sont : - Racine : chemin de moindre coût pour transférer des paquets vers le pont racine. - Désigné : interface via laquelle le pont est connecté au LAN et qui fournit le chemin de moindre coût du LAN au pont racine. - Autre : fournit un chemin alternatif de l'interface racine au pont racine. - Sauvegarde : fournit un chemin de secours pour le chemin du port désigné vers les nœuds terminaux STP. Cela fournit une configuration dans laquelle deux ports sont reliés dans une boucle par un lien point à point. Des ports de secours sont également utilisés lorsqu'un LAN possède deux ou plusieurs connexions établies à un segment partagé. - Désactivé : le port ne participe pas au Spanning Tree. • Mode : affiche le mode Spanning Tree actuel : RSTP ou STP classique. • État opérationnel Fast Link : indique si Fast Link (port de bordure) est activé, désactivé ou automatique pour l'interface. Les valeurs disponibles sont les suivantes : • - Activé : Fast Link est activé. - Désactivé : Fast Link est désactivé. - Auto : le mode Fast Link s'active quelques secondes après l'activation de l'interface. État du port : affiche l'état RSTP sur le port spécifique. - Désactivé : le protocole STP est actuellement désactivé sur le port. Blocage : le port est actuellement bloqué et ne peut ni transférer le trafic ni apprendre les adresses MAC. - Écoute : le port est en mode Écoute. Il ne peut ni transférer le trafic ni connaître les adresses MAC. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 276 Spanning Tree Multiple Spanning Tree - 16 Apprentissage : le port est en mode Apprentissage. Il ne peut pas transférer le trafic mais il peut prendre connaissance des nouvelles adresses MAC. - Transfert : le port est en mode Transfert. Il peut réacheminer du trafic et apprendre de nouvelles adresses MAC. ÉTAPE 7 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Multiple Spanning Tree Le protocole MSTP (Multiple Spanning Tree Protocol) est utilisé pour séparer l'état du port STP entre différents domaines (sur différents VLAN). Par exemple, si un port A est bloqué dans une instance STP en raison d'une boucle sur le VLAN A, le même port peut être placé en mode de réacheminement dans une autre instance STP. La page Propriétés MSTP permet de définir les paramètres MSTP globaux. Pour configurer MSTP : 1. Définissez le mode de fonctionnement STP sur MSTP comme décrit à la page État STP et paramètres globaux. 2. Définissez les instances MSTP. Chaque instance MSTP calcule et établit une topologie sans boucles pour transmettre les paquets à partir des VLAN qui mappent à l'instance. Reportez-vous à la section Instance VLAN vers MSTP. 3. Décidez quelle instance MSTP est active dans quel VLAN et associez ces instances MSTP aux VLAN en conséquence. 4. Pour configurer les attributs MSTP : • Propriétés MSTP • Paramètres d'instance MSTP • Instance VLAN vers MSTP Propriétés MSTP Le protocole MSTP global configure une arborescence SPT distincte pour chaque groupe VLAN et bloque tous les autres chemins possibles, sauf un, et ce, dans chaque instance d'arborescence SPT. MSTP permet la formation de régions MST pouvant exécuter des instances MST multiples (MSTI). Des régions multiples et d'autres ponts STP sont interconnectés à l'aide d'un arbre recouvrant commun unique (CST, Common Spanning Tree). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 277 16 Spanning Tree Propriétés MSTP MSTP est totalement compatible avec les ponts RSTP dans la mesure où un BPDU MSTP peut être interprété par un pont RSTP en tant que BPDU RSTP. Cela assure non seulement une compatibilité avec les ponts RSTP sans modifier la configuration, mais permet aussi à tous les ponts RSTP en dehors d'une région MSTP de percevoir la région comme un pont RSTP unique, ceci quel que soit le nombre de ponts MSTP dans la région. Pour que deux ou plusieurs commutateurs soient dans la même région MST, ils doivent posséder les mêmes VLAN mappés sur une instance MST, le même numéro de révision de la configuration ainsi que le même nom de région. Les commutateurs destinés à être dans la même région MST ne sont jamais séparés par des commutateurs d'une autre région MST. Si tel est le cas, la région se sépare en deux régions distinctes. Ce mappage peut être effectué sur la page Instance VLAN vers MSTP. Utilisez cette page si le système fonctionne en mode MSTP. Pour définir MSTP : ÉTAPE 1 Cliquez sur Spanning Tree > État STP et paramètres globaux. Activez MSTP. ÉTAPE 2 Cliquez sur Spanning Tree > MSTP Propriétés. ÉTAPE 3 Saisissez les paramètres. • Nom de région : définissez un nom de région MSTP. • Révision : définissez un nombre non signé sur 16 bits qui identifie la révision de la configuration MST actuelle. La valeur de ce champ est comprise entre 0 et 65535. • Sauts max. : définissez le nombre total de sauts se produisant dans une région spécifique avant la désactivation de l'unité BPDU. Lorsque le BPDU est désactivé, les informations du port sont obsolètes. La valeur de ce champ est comprise entre 1 et 40. • Maître IST : affiche le maître de la région. ÉTAPE 4 Cliquez sur Appliquer. Les propriétés MSTP sont définies et le fichier de configuration de fonctionnement est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 278 16 Spanning Tree Instance VLAN vers MSTP Instance VLAN vers MSTP La page Instance VLAN vers MSTP vous permet de mapper chaque VLAN à une instance MSTI (Multiple Spanning Tree Instance). Pour que les périphériques soient dans la même région, le mappage des VLAN aux MSTI doit être identique. REMARQUE Le même MSTI peut être mappé à plus d'un VLAN. Un VLAN ne peut lui être lié qu'à une instance MST. La configuration indiquée sur cette page (et toutes les pages MSTP) s'applique si le mode STP du système est défini sur MSTP. Vous pouvez définir jusqu'à 16 instances MST sur les commutateurs de la série 500, en plus de l'instance zéro. Le périphérique mappe automatiquement à l'instance CIST (Core and Internal Spanning Tree) les VLAN qui ne sont pas explicitement mappés à l'une des instances MST. L'instance CIST est l'instance MST 0. Pour relier des VLAN à des instances MST : ÉTAPE 1 Cliquez sur Spanning Tree > VLAN d'une instance MSTP. La page VLAN vers instance MSTP contient les champs suivants : • ID d'instance MSTP : toutes les instances MST sont affichées. • VLAN : tous les VLAN appartenant à l'instance MST sont affichés. ÉTAPE 2 Pour ajouter un VLAN à une instance MSTP, sélectionnez l'instance MST puis cliquez sur Modifier. ÉTAPE 3 Configurez les paramètres suivants : • ID d'instance MSTP : sélectionnez l'instance MSTP. • VLAN : définissez les VLAN à mapper à cette instance MST. • Action : choisissez d'Ajouter (mapper) le VLAN à l'instance MST ou de le Supprimer de celle-ci. ÉTAPE 4 Cliquez sur Appliquer. Les mappages MSTP VLAN sont définis et le fichier de Configuration d'exécution est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 279 Spanning Tree Paramètres d'instance MSTP 16 Paramètres d'instance MSTP La page Paramètres d'instance MSTP vous permet de configurer et d'afficher les paramètres par instance MST. Il s'agit de l'équivalent par instance de la Configuration de l'état et des paramètres globaux STP. Pour entrer les paramètres de l'instance MSTP : ÉTAPE 1 Cliquez sur Spanning Tree > Paramètres de l'instance MSTP. ÉTAPE 2 Saisissez les paramètres. • ID d'instance : sélectionnez une instance MST à afficher et à définir. • VLAN inclus : affiche les VLAN mappés à l'instance sélectionnée. Le mappage par défaut mappe tous les VLAN à l'instance CIST (Common and Internal Spanning Tree) (instance 0). • Priorité du pont : définissez la priorité de ce pont pour l'instance MST sélectionnée. • ID du pont racine désigné : affiche la priorité et l'adresse MAC du pont racine pour l'instance MST. • Port racine : affiche le port racine de l'instance sélectionnée. • Coût du chemin racine : affiche le coût du chemin racine de l'instance sélectionnée. • ID du pont : affiche la priorité du pont et l'adresse MAC de ce périphérique pour l'instance sélectionnée. • Sauts restants : affiche le nombre de sauts restant jusqu'à la prochaine destination. ÉTAPE 3 Cliquez sur Appliquer. La configuration de l'instance MST est terminée et le fichier de configuration d'exécution est mis à jour. Paramètres d'interface MSTP La page Paramètres d'interface MSTP vous permet de configurer les paramètres MSTP du port pour chaque instance MST et d'afficher les informations actuellement apprises par le protocole, comme le pont désigné par instance MST. Pour configurer les ports dans une instance MST : ÉTAPE 1 Cliquez sur Spanning Tree > Paramètres d' interface MSTP. ÉTAPE 2 Saisissez les paramètres. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 280 Spanning Tree Paramètres d'interface MSTP • Instance égale à : sélectionnez l'instance MSTP à configurer. • Type d'interface égal à : choisissez d'afficher la liste des ports ou des LAG. 16 ÉTAPE 3 Cliquez sur OK. Les paramètres MSTP pour les interfaces de l'instance s'affichent. ÉTAPE 4 Sélectionnez une interface et cliquez sur Modifier. ÉTAPE 5 Saisissez les paramètres. • ID d'instance : sélectionnez l'instance MST à configurer. • Interface : sélectionnez l'interface pour laquelle les paramètres MSTI doivent être définis. • Priorité d'interface : définissez la priorité du port pour l'interface et l'instance MST spécifiées. • Coût de chemin : entrez la contribution du port au coût du chemin racine dans la zone Défini par l'utilisateur ou sélectionnez Valeurs par défaut pour utiliser la valeur par défaut. • État du port : affiche l'état MSTP du port spécifique sur une instance MST spécifique. Les paramètres sont définis comme suit : • - Désactivé : STP est actuellement désactivé. - Blocage : le port sur cette instance est actuellement bloqué et ne peut ni transférer le trafic (à l'exception des données BPDU) ni apprendre les adresses MAC. - Écoute : le port sur cette instance est en mode Écoute. Il ne peut ni transférer le trafic ni connaître les adresses MAC. - Apprentissage : le port sur cette instance est en mode Apprentissage. Il ne peut pas transférer le trafic mais il peut prendre connaissance de nouvelles adresses MAC. - Transfert : le port sur cette instance est en mode Transfert. Il peut réacheminer du trafic et apprendre de nouvelles adresses MAC. - Limite : le port sur cette instance est un port frontière. Il hérite de son état de l'instance 0 et peut être affiché sur la page Paramètres d'interface STP. Rôle du port : affiche le rôle du port ou du LAG, par port ou LAG par instance, assigné par l'algorithme MSTP afin de fournir les chemins STP : - Racine : le transfert des paquets via cette interface fournit le chemin de moindre coût pour transférer les paquets vers le périphérique racine. - Désigné : interface via laquelle le pont est connecté au LAN et qui fournit le chemin de moindre coût du LAN au pont racine pour l'instance MST. - Autre : l'interface fournit un chemin alternatif de l'interface racine au périphérique racine. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 281 Spanning Tree Paramètres d'interface MSTP 16 - Sauvegarde : l'interface fournit un chemin de secours pour le chemin du port désigné vers les nœuds terminaux du Spanning Tree. Des ports de secours existent lorsque deux ports sont reliés dans une boucle par un lien point à point. Des ports de secours apparaissent également lorsqu'un LAN possède deux ou plusieurs connexions établies à un segment partagé. - Désactivé : l'interface ne participe pas au Spanning Tree. - Limite : le port sur cette instance est un port frontière. Il hérite de son état de l'instance 0 et peut être affiché sur la page Paramètres d'interface STP. • • Mode : affiche le mode Spanning Tree actuel de l'interface. - Si le partenaire de liaison utilise MSTP ou RSTP, le mode de port affiché est RSTP. - Si le partenaire de liaison utilise STP, le mode de port affiché est STP. Type : affiche le type MST du port. - Limite : un port frontière relie les ponts MST à un réseau LAN dans une région distante. Si le port est un port de limite, il indique également si le périphérique de l'autre côté du lien fonctionne en mode RSTP ou STP. - Interne : le port est un port interne. • ID de pont désigné : affiche l'ID du pont qui connecte la liaison ou le LAN partagé à la racine. • ID de port désigné : affiche l'ID du port sur le pont désigné qui connecte la liaison ou le LAN partagé à la racine. • Coût désigné : affiche le coût du port participant à la topologie STP. Les ports de coûts inférieurs sont peu susceptibles d'être bloqués si STP détecte des boucles. • Sauts restants : affiche le nombre de sauts restant jusqu'à la prochaine destination. • Transitions de transfert : affiche le nombre de fois où le port est passé du mode Transfert au mode Blocage. ÉTAPE 6 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 282 17 Gestion des tables d'adresses MAC Cette section explique comment ajouter des adresses MAC au système. Elle couvre les rubriques suivantes : • Adresses MAC statiques • Adresses MAC dynamiques • Adresses MAC réservées Il existe deux types d'adresses MAC : statiques et dynamiques. Selon leur type, les adresses MAC sont stockées dans la table des adresses statiques ou dans la table des adresses dynamiques avec les informations relatives aux VLAN et aux ports. Les adresses statiques sont configurées par l'utilisateur, par conséquent elles n'expirent jamais. Une nouvelle adresse MAC source qui apparaît dans une trame reçue par le périphérique est ajoutée à la table des adresses dynamiques. Cette adresse MAC est conservée pendant une période que vous pouvez configurer. Si aucune autre trame disposant de la même adresse MAC source n'apparaît sur le périphérique avant l'expiration de ce délai, l'entrée MAC est supprimée (expirée) de la table. Lorsqu'une trame arrive au niveau du périphérique, celui-ci recherche une adresse MAC de destination correspondant à une entrée de la table des adresses statiques ou dynamiques. En cas de correspondance, la trame est marquée en sortie sur un port spécifique de la table. Les trames adressées à une adresse MAC n'ayant pas été trouvée dans les tables sont diffusées/transmises à tous les ports du VLAN approprié. Ces trames sont appelées trames de destination unique inconnue. Le périphérique prend en charge un maximum de 8 000 adresses MAC statiques et dynamiques. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 283 Gestion des tables d'adresses MAC Adresses MAC statiques 17 Adresses MAC statiques Les adresses MAC statiques sont affectées à une interface physique et à un VLAN spécifiques sur le périphérique. Si une adresse MAC est détectée sur une autre interface, elle est ignorée et n'est pas consignée dans la table des adresses. Pour définir une adresse statique : ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Adresses statiques. La page Adresses statiques affiche les adresses statiques actuellement définies. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les paramètres. • ID VLAN : sélectionnez l'ID VLAN du port. • Adresse MAC : saisissez l'adresse MAC de l'interface. • Interface : sélectionnez une interface (unité/logement, port ou LAG) pour l'entrée. • État : sélectionnez le mode de traitement de l'entrée. Les options sont les suivantes : - Permanent : le système ne supprime jamais cette adresse MAC. Si l'adresse MAC statique est enregistrée dans la Configuration de démarrage, elle est conservée après redémarrage. - Suppr. à la réinitialisation : l'adresse MAC statique est supprimée lorsque le périphérique est réinitialisé. - Supprimer à l'expiration : l'adresse MAC est supprimée à expiration du délai. - Sécurisé : l'adresse MAC est sécurisée lorsque l'interface est en mode verrouillé classique (voir Configuration de la sécurité des ports). ÉTAPE 4 Cliquez sur Appliquer. Une nouvelle entrée apparaît dans la table. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 284 Gestion des tables d'adresses MAC Adresses MAC dynamiques 17 Adresses MAC dynamiques La table des adresses dynamiques (table de pontage) contient les adresses MAC obtenues en surveillant les adresses source des trames entrant dans le périphérique. Pour éviter le débordement de cette table et garder de l'espace pour de nouvelles adresses MAC, une adresse est supprimée si elle ne reçoit aucun trafic pendant une période appelée délai d'expiration. Configuration du délai d'expiration d'adresses MAC dynamiques Pour configurer le délai d'expiration des adresses dynamiques : ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Paramètres des adresses dynamiques. ÉTAPE 2 Saisissez le Délai d'expiration. Le délai d'expiration est une valeur comprise entre la valeur configurée par l'utilisateur et deux fois cette valeur moins 1. Par exemple, si vous avez saisi 300 secondes, le délai d'expiration sera compris entre 300 et 599 secondes. ÉTAPE 3 Cliquez sur Appliquer. Le délai d'expiration est mis à jour. Interrogation d'adresses dynamiques Pour interroger la table des adresses dynamiques : ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Adresses dynamiques. ÉTAPE 2 Dans le bloc Filtre, vous pouvez saisir les critères d'interrogation suivants : • ID VLAN : saisissez l'ID du VLAN pour lequel la table est interrogée. • Adresse MAC : saisissez l'adresse MAC pour laquelle la table est interrogée. • Interface : sélectionnez l'interface au sujet de laquelle la table est interrogée. L'interrogation peut également rechercher des unités/logements, ports ou LAG spécifiques. ÉTAPE 3 Cliquez sur OK. La Table des adresses MAC dynamiques est interrogée et les résultats s'affichent. Cliquez sur Effacer la table pour supprimer toutes les adresses MAC dynamiques. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 285 Gestion des tables d'adresses MAC Adresses MAC réservées 17 Adresses MAC réservées Lorsque le périphérique reçoit une trame utilisant une adresse MAC de destination qui appartient à une plage réservée (conformément à la norme IEEE), cette trame peut être éliminée ou pontée. L'entrée dans la table des adresses MAC réservées peut spécifier l'adresse MAC réservée ou l'adresse MAC réservée et un type de trame : Pour ajouter une entrée pour une adresse MAC réservée : ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Adresses MAC réservées. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Entrez les valeurs des champs suivants : • Adresse MAC : sélectionnez l'adresse MAC à réserver. • Type de trame : sélectionnez un type de trame en fonction des critères suivants : - Ethernet V2 : s'applique aux paquets Ethernet V2 avec l'adresse MAC spécifique. - LLC : s'applique aux paquets LLC (Logical Link Control) avec l'adresse MAC spécifique. - LLC-SNAP : s'applique aux paquets LLC-SNAP (Logical Link Control/Sub-Network Access Protocol) avec l'adresse MAC spécifique. • Tout : s'applique à tous les paquets avec l'adresse MAC spécifique. Action : sélectionnez l'une des actions suivantes qui sera appliquée au paquet entrant correspondant aux critères sélectionnés : - Pont : transfère le paquet à tous les membres du VLAN. - Abandonner : supprime le paquet. ÉTAPE 4 Cliquez sur Appliquer. Une nouvelle adresse MAC est réservée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 286 18 Multidiffusion Cette section décrit la fonction de transfert de multidiffusion et couvre les rubriques suivantes : • Réacheminement multidestination • Propriétés de multidiffusion • Adresse de groupe MAC • Adresses IP de groupe de multidiffusion • Configuration de la multidiffusion IPv4 • Configuration de la multidiffusion IPv6 • Groupe de multidiffusion IP de surveillance IGMP/MLD • Ports de routeur de multidiffusion • Tout transférer • Multidiffusion non enregistrée Réacheminement multidestination Le réacheminement multidestination permet la transmission d'informations en mode 1-à-n. Les applications multidestination sont particulièrement utiles pour transmettre des informations à plusieurs clients lorsque ces clients n'ont pas besoin de l'intégralité du contenu. Ceci est par exemple le cas dans le cadre d'une application de TV par câble où les clients peuvent contacter une chaîne au milieu d'une transmission et interrompre la connexion avant la fin. Les données sont uniquement envoyées aux ports pertinents. Le fait de ne réacheminer les données que vers les ports pertinents permet d'économiser de la bande passante et des ressources d'hôte sur les liaisons. Par défaut, toutes les trames multidestination sont envoyées à tous les ports du VLAN. Il est possible de transférer les données de façon sélective uniquement vers les ports concernés et de filtrer (éliminer) le flux de multidiffusion sur les autres ports en activant l'État du filtrage multidiffusion par ponts sur la page Multidiffusion > Propriétés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 287 Multidiffusion Réacheminement multidestination 18 Si le filtrage est activé, les trames de multidiffusion sont transférées vers un sous-ensemble des ports sur le VLAN concerné, comme défini dans la base de données de transfert de multidiffusion (MFDB, Multicast Forwarding Data Base). Le filtrage multidiffusion s'exerce sur l'ensemble du trafic. L'une des méthodes couramment utilisées de représentation des membres de multidiffusion est la notation (S,G), où S représente la source (unique) qui envoie un flux de données de multidiffusion et G représente l'adresse IPv4 ou IPv6 de groupe. Si un client Multicast peut recevoir du trafic de multidiffusion à partir de n'importe quelle source d'un groupe de multidiffusion donné, celui-ci est enregistré sous (*,G). Vous pouvez configurer l'un des modes suivants de transfert des trames de multidiffusion : • Adresse MAC de groupe : basée sur l'adresse MAC de destination dans la trame Ethernet. REMARQUE Il est possible de mapper une ou plusieurs adresses IP de groupe de multidiffusion à une seule adresse MAC de groupe. Le transfert basé sur une adresse MAC de groupe peut provoquer le transfert d'un flux de multidiffusion IP vers des ports qui ne possèdent aucun récepteur pour ce flux. • Adresse IP de groupe : basée sur l'adresse IP de destination du paquet IP (*,G). • Adresse du groupe IP spécifique source : basée à la fois sur l'adresse IP de destination et l'adresse IP source du paquet IP (S,G). (S,G) est pris en charge par IGMPv3 et MLDv2 alors qu'IGMPv1/2 et MLDv1 ne prennent en charge que (*.G), qui inclut uniquement l'ID de groupe. Le périphérique peut prendre en charge jusqu'à 256 adresses de groupe de multidiffusion statiques et dynamiques. Vous ne pouvez configurer qu'une seule option de filtrage par VLAN. Configuration de multidiffusion typique Alors que les routeurs de multidiffusion routent les paquets de multidiffusion d'un sous-réseau IP à un autre, les commutateurs de couche 2 compatibles avec la multidiffusion transfèrent les paquets de multidiffusion vers les nœuds enregistrés au sein d'un LAN ou d'un VLAN. La configuration type inclut un routeur qui transfère les flux de multidiffusion entre des réseaux IP privés et/ ou publics, un périphérique doté de fonctions de surveillance IGMP/MLD et un client de multidiffusion qui souhaite recevoir un flux de multidiffusion. Dans cette configuration, le routeur envoie périodiquement des requêtes IGMP/MLD. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 288 Multidiffusion Réacheminement multidestination 18 Fonctionnement de la multidiffusion Dans un service de multidiffusion Couche 2, un commutateur Couche 2 reçoit une seule trame, adressée à une adresse de multidiffusion spécifique. Il crée des copies de la trame pour les transmettre à chacun des ports concernés. Lorsque la surveillance IGMP/MLD est activée sur le périphérique et que celui-ci reçoit une trame du flux de multidiffusion, il la transfère à tous les ports enregistrés pour recevoir le flux de multidiffusion à l'aide de messages d'adhésion IGMP/MLD. Le système gère des listes de groupes de multidiffusion pour chaque VLAN. Ceci permet de gérer les informations de multidiffusion que chaque port doit recevoir. Les groupes de multidiffusion et les ports destinataires associés peuvent être configurés de manière statique ou appris de manière dynamique via la surveillance des protocoles IGMP ou MLD. Enregistrement de multidiffusion (surveillance IGMP/MLD) L'enregistrement multidestination est le processus qui consiste à écouter les protocoles d'enregistrement multidestination et à y répondre. Les protocoles disponibles sont IGMP pour IPv4 et MLD pour IPv6. Lorsque le traçage IGMP/MLD Snooping est activé sur un périphérique d'un VLAN, il analyse les paquets IGMP/MLD que le périphérique reçoit du VLAN et de tous les routeurs multidestination du réseau. Lorsqu'un périphérique apprend qu'un hôte demande à recevoir un flux de multidiffusion à l'aide de messages IGMP/MLD, éventuellement à partir d'une source spécifique, ce périphérique ajoute cet hôte à sa base MFDB. Les versions suivantes sont prises en charge : • IGMP v1/v2/ v3 • MLD v1/v2 REMARQUE Le périphérique ne prend en charge la surveillance IGMP/MLD que sur les VLAN statiques. Il ne prend pas en charge la surveillance IGMP/MLD sur les VLAN dynamiques. Lorsque vous activez la surveillance IGMP/MLD, globalement ou sur un VLAN, tous les paquets IGMP/MLD sont transmis au processeur. Le processeur analyse les paquets entrants et détermine ce qui suit : • les ports qui demandent à rejoindre tel ou tel groupe de multidiffusion sur un VLAN spécifique ; • les ports connectés aux routeurs de multidiffusion (Mrouters) qui génèrent des requêtes IGMP/MLD ; • les ports qui reçoivent les protocoles de requête PIM, DVMRP ou IGMP/MLD. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 289 Multidiffusion Réacheminement multidestination 18 Ces VLAN sont affichés sur la page Surveillance IGMP/MLD. Les ports demandant à rejoindre un groupe de multidiffusion spécifique envoient un rapport IGMP/MLD qui spécifie le ou les groupes que l'hôte concerné souhaite rejoindre. Cela provoque la création d'une entrée de transfert dans la base de données de transfert de multidiffusion. Émetteur de requêtes de surveillance IGMP L'émetteur de requêtes de surveillance IGMP sert à prendre en charge un domaine de multidiffusion de couche 2 de commutateurs de surveillance, en l'absence d'un routeur de multidiffusion. Par exemple, lorsqu'un serveur local fournit un contenu multidestination et que le routeur (s'il en existe un) de ce réseau ne prend pas en charge la multidestination. Vous pouvez configurer le périphérique en tant qu'émetteur de requêtes IGMP de secours ou l'utiliser comme un émetteur de requêtes IGMP lorsqu'il n'existe aucun émetteur de requêtes IGMP standard. Le périphérique ne dispose pas de toutes les fonctions d'un émetteur de requêtes IGMP. Si vous configurez le périphérique en tant qu'émetteur de requêtes IGMP, il démarre s'il s'écoule 60 secondes sans qu'aucun trafic (requêtes) IGMP ne soit détecté depuis un routeur de multidiffusion. En présence d'autres émetteurs de requêtes IGMP, le périphérique peut cesser d'envoyer des requêtes (ou non), ceci en fonction des résultats du processus de sélection de l'émetteur de requêtes standard. La vitesse de fonctionnement de l'émetteur de requêtes IGMP/MLD doit s'aligner sur celle des commutateurs ayant la surveillance IGMP/MLD activée. Les requêtes doivent être envoyées à un rythme qui corresponde à la durée de vie des entrées dans la table de traçage. Si les requêtes sont envoyées à un rythme inférieur à la durée de vie, l'abonné ne peut pas recevoir les paquets de multidiffusion. Cette opération s'effectue sur la page de Modification de la surveillance IGMP/MLD. Si le mécanisme de choix de l'émetteur de requêtes IGMP/MLD est désactivé, l'émetteur de requêtes de surveillance IGMP/MLD retarde l'envoi des messages de requête générale pendant 60 secondes après son activation. S'il n'y a aucun autre demandeur, il commence à envoyer les messages de requête générale. Il arrête d'envoyer les messages de requête générale s'il détecte un autre demandeur. L'émetteur de requêtes de surveillance IGMP/MLD reprend l'envoi des messages de requête générale s'il détecte un autre demandeur pendant l'intervalle suivant : Intervalle passif de requête = Robustesse * Intervalle de requête + 0,5 * Intervalle de réponse aux requêtes. REMARQUE Il est recommandé de désactiver le mécanisme de choix de l'émetteur de requêtes IGMP/MLD s'il y a un routeur de multidiffusion IPM sur le réseau VLAN. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 290 Multidiffusion Réacheminement multidestination 18 Propriétés d'adresse de multidiffusion Les adresses de multidiffusion possèdent les propriétés suivantes : • Chaque adresse multidestination IPv4 se trouve dans la plage d'adresses 224.0.0.0 à 239.255.255.255. • L'adresse multidestination IPv6 est FF00:/8. • Pour mapper une adresse IP de groupe de multidiffusion à une adresse de multidiffusion de couche 2 : - Pour IPv4, le mappage s'effectue en prenant les 23 bits de poids faible de l'adresse IPv4 et en les ajoutant au préfixe 01:00:5e. Normalement, les 9 bits de poids fort de l'adresse IP sont ignorés et toutes les adresses IP qui diffèrent uniquement par ces bits de poids fort sont mappées à la même adresse de couche 2 puisque les 23 bits de poids faible sont identiques. Par exemple, 234.129.2.3 est mappée à une adresse MAC de groupe de multidiffusion 01:00:5e:01:02:03. Jusqu'à 32 adresses IP de groupe de multidiffusion peuvent être mappées à la même adresse de couche 2 . - Pour IPv6, le mappage s'effectue en prenant les 32 bits de poids faible de l'adresse de multidiffusion et en ajoutant le préfixe 33:33. Par exemple, l'adresse de multidiffusion IPv6 FF00:1122:3344 est mappée à l'adresse de multidiffusion de couche 2 : 33:33:11:22:33:44. Proxy IGMP/MLD Le Proxy IGMP/MLD est un protocole simple de multidiffusion IP. L'utilisation du Proxy IGMP/MLD pour répliquer le trafic de multidiffusion sur des périphériques, tels que « edge box », peut grandement simplifier la conception et la mise en œuvre de ces périphériques. Le fait de ne pas prendre en charge des protocoles de routage de multidiffusion plus compliqués, tels que la multidiffusion indépendante du protocole (PIM) ou le protocole de routage multidiffusion distance-vecteur (DVMRP), réduit non seulement le coût des périphériques, mais aussi les frais de fonctionnement. Un autre avantage est que cela rend les périphériques proxy indépendants du protocole de routage de multidiffusion utilisé par les routeurs de base du réseau. Par conséquent, les périphériques proxy sont facilement déployables dans un réseau de multidiffusion. Arborescence Proxy IGMP/MLD Le Proxy IGMP/MLD fonctionne dans une topologie arborescente simple dans laquelle il n'est pas nécessaire d'exécuter un protocole de routage de multidiffusion robuste (par exemple, PIM). Il suffit d'utiliser un protocole simple de routage IPM basé sur l'apprentissage des informations concernant l'appartenance à un groupe ou l'appartenance à un groupe proxy et de transférer les paquets de multidiffusion en fonction de ces informations. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 291 Multidiffusion Propriétés de multidiffusion 18 L'arborescence doit être configurée manuellement en désignant les interfaces amont et aval sur chaque périphérique proxy. En outre, le système d'adressage IP appliqué à la topologie arborescente proxy doit être configuré de manière à assurer qu'un périphérique proxy peut gagner l'élection du demandeur IGMP/ MLD pour être en mesure de transférer le trafic de multidiffusion. Il ne doit pas y avoir d'autres routeurs de multidiffusion dans l'arborescence hormis les périphériques proxy, et la racine de l'arborescence doit être connectée à une infrastructure de multidiffusion plus large. Un périphérique proxy effectuant le transfert basé sur IGMP/MLD a une seule interface amont et une ou plusieurs interfaces aval. Ces désignations sont configurées de façon explicite ; il n'y a pas de protocole pour déterminer le type de chaque interface. Un périphérique proxy effectue la partie routeur d'IGMP/MLD sur ses interfaces aval, et la partie hôte d'IGMP/MLD sur son interface amont. Une seule arborescence est prise en charge. Règles de transfert et demandeur Les règles suivantes sont appliquées : • Un paquet de multidiffusion reçu sur l'interface amont est transmis sur toutes les interfaces aval demandant le paquet uniquement si le périphérique proxy est le demandeur sur les interfaces. • Un périphérique proxy supprime les paquets de multidiffusion reçus sur une interface aval s'il n'est pas le demandeur sur l'interface. • Un paquet de multidiffusion reçu sur une interface aval pour laquelle le périphérique proxy est le demandeur est transmis sur l'interface amont et sur toutes les interfaces aval demandant le paquet uniquement si le périphérique proxy est le demandeur sur les interfaces. Protection d'interface aval Par défaut, le trafic de multidiffusion IP arrivant sur une interface de l'arborescence IGMP/MLD est transmis. Vous pouvez désactiver le transfert du trafic de multidiffusion IP arrivant sur les interfaces aval. Cela peut être fait globalement ou sur une interface aval donnée. Propriétés de multidiffusion Pour activer le filtrage multidiffusion et sélectionner la méthode de transfert : ÉTAPE 1 Cliquez sur Multidiffusion > Propriétés. ÉTAPE 2 Saisissez les paramètres. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 292 18 Multidiffusion Adresse de groupe MAC • État du filtrage multidiffusion par ponts : sélectionnez cette option pour activer le filtrage. • ID VLAN : sélectionnez l'ID du VLAN dont définir la méthode de transfert. • Méthode de transfert pour IPv6 : choisissez l'une des méthodes de transfert suivantes pour les adresses IPv6 : Adresse MAC de groupe, Adresse IP de groupe ou Adresse IP source de groupe. • Méthode de transfert pour IPv4 : choisissez l'une des méthodes de transfert suivantes pour les adresses IPv4 : Adresse MAC de groupe, Adresse IP de groupe ou Adresse IP source de groupe. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Adresse de groupe MAC La page Adresse de groupe MAC offre les fonctions suivantes : • Interrogation et affichage d'informations tirées de la base de données de transfert de multidiffusion (MFDB, Multicast Forwarding Data Base) concernant un ID de VLAN spécifique ou un groupe spécifique d'adresses MAC. Ces données sont acquises de manière dynamique par traçage IGMP/ MLD Snooping ou de manière statique par saisie manuelle. • Ajout ou suppression d'entrées statiques dans la base MFDB, qui fournissent les informations de transfert statiques basées sur les adresses MAC de destination. • Affichage de la liste de tous les ports/LAG membres de chaque ID de VLAN ou adresse MAC de groupe, et indication précisant si le trafic doit ou non être transféré vers cette destination. Pour définir et afficher des groupes de multidiffusion MAC : ÉTAPE 1 Cliquez sur Multidiffusion > Adresse MAC de groupe. ÉTAPE 2 Saisissez les paramètres de filtre. • ID VLAN est égal à : saisissez l'ID de VLAN du groupe à afficher. • Adresse MAC de groupe égale à : définissez l'adresse MAC du groupe de multidiffusion à afficher. Si aucune adresse MAC de groupe n'est indiquée, la page contient toutes les adresses MAC de groupe du VLAN sélectionné. ÉTAPE 3 Cliquez sur OK. Les adresses MAC de groupe de multidiffusion sont affichées dans le bloc inférieur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 293 18 Multidiffusion Adresse de groupe MAC Le système affiche les entrées qui ont été créées sur cette page et sur la page Adresse IP de groupe de multidiffusion. Pour celles qui ont été créées sur la page Adresse IP de groupe de multidiffusion, les adresses IP sont converties en adresses MAC. ÉTAPE 4 Cliquez sur Ajouter pour ajouter une adresse MAC de groupe statique. ÉTAPE 5 Saisissez les paramètres. • ID VLAN : définit l'ID de VLAN du nouveau groupe de multidiffusion. • Adresse MAC de groupe : définit l'adresse MAC du nouveau groupe de multidiffusion. ÉTAPE 6 Cliquez sur Appliquer et l'adresse MAC du groupe de multidiffusion est enregistrée dans le fichier de configuration d'exécution. Pour configurer et afficher l'enregistrement des interfaces au sein du groupe, sélectionnez une adresse et cliquez sur Détails. La page affiche les éléments suivants : • ID VLAN : ID de VLAN du groupe de multidiffusion. • Adresse MAC de groupe : adresse MAC du groupe. ÉTAPE 7 Sélectionnez dans le menu Filtre : Type d'interface le port ou le LAG à afficher. ÉTAPE 8 Cliquez sur OK pour afficher les membres (ports ou LAG) du VLAN. ÉTAPE 9 Sélectionnez la façon dont chaque interface est associée au groupe de multidiffusion : • Statique : rattache l'interface au groupe de multidiffusion en tant que membre statique. • Dynamique : indique que l'interface a été ajoutée au groupe de multidiffusion via la surveillance IGMP/ MLD. • Interdit : spécifie que ce port n'est pas autorisé à rejoindre ce groupe de multidiffusion sur ce VLAN. • Aucun : spécifie que le port n'est actuellement pas membre de ce groupe de multidiffusion sur ce VLAN. ÉTAPE 10 Cliquez sur Appliquer ; le fichier de configuration d'exécution est mis à jour. REMARQUE Les entrées qui ont été créées sur la page Adresse IP de groupe de multidiffusion ne peuvent pas être supprimées sur cette page (même si elles sont sélectionnées). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 294 Multidiffusion Adresses IP de groupe de multidiffusion 18 Adresses IP de groupe de multidiffusion La page Adresse IP de groupe de multidiffusion est similaire à la page Adresse de groupe MAC, à la seule différence que les groupes de multidiffusion y sont identifiés par leurs adresses IP. La page Adresse IP de groupe de multidiffusion vous permet d'interroger et d'ajouter des groupes de multidiffusion IP. Pour définir et afficher des groupes de multidiffusion IP : ÉTAPE 1 Cliquez sur Multidiffusion > Adresse IP de groupe de multidiffusion. La page contient toutes les adresses IP de multidiffusion de groupe apprises via le traçage (Snooping). ÉTAPE 2 Saisissez les paramètres nécessaires pour le filtrage. • ID VLAN est égal à : définissez l'ID de VLAN du groupe à afficher. • Version IP est égale à : sélectionnez IPv6 ou IPv4. • Adresse IP de groupe de multidiffusion égale à : définissez l'adresse IP du groupe de multidiffusion à afficher. Cela s'applique uniquement lorsque le mode de transfert est (S,G). • Adresse IP source est égale à : définissez l'adresse IP source du périphérique émetteur. Si le mode est (S,G), saisissez la valeur S (indiquant l'expéditeur). Combinée à l'adresse IP de groupe, cette valeur définit l'ID de multidiffusion du groupe (S,G) à afficher. Si le mode est (*.G), saisissez un astérisque (*) pour indiquer que le groupe de multidiffusion n'est défini que par sa destination. ÉTAPE 3 Cliquez sur OK. Les résultats s'affichent dans le bloc inférieur. Lorsque vous activez à la fois Bonjour et IGMP sur un périphérique en mode système couche 2, l'adresse IP de multidiffusion de Bonjour apparaît. Pour les périphériques SG500X/ESW2-550X, l'adresse est toujours affichée. ÉTAPE 4 Cliquez sur Ajouter pour ajouter une adresse IP de multidiffusion statique de groupe. ÉTAPE 5 Saisissez les paramètres. • ID VLAN : définit l'ID de VLAN du groupe à ajouter. • Version IP : sélectionnez le type d'adresse IP. • Adresse IP de groupe de multidiffusion : définit l'adresse IP du nouveau groupe de multidiffusion. • Propre à la source : indique que l'entrée contient une source spécifique et ajoute l'adresse correspondante dans le champ Adresse IP source. Dans le cas contraire, l'entrée est ajoutée sous la forme (*,G), c'est-à-dire une adresse IP de groupe associée à toutes les sources IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 295 Multidiffusion Configuration de la multidiffusion IPv4 • 18 Adresse IP source : définit l'adresse source à inclure. ÉTAPE 6 Cliquez sur Appliquer. L'IP de multidiffusion du groupe est ajouté et le périphérique est mis à jour. ÉTAPE 7 Pour configurer et afficher l'enregistrement d'une adresse IP de groupe, sélectionnez une adresse puis cliquez sur Détails. Les ID de VLAN, Version IP, Adresse IP de groupe de multidiffusion et Adresse IP source sélectionnés s'affichent en lecture seule en haut de la fenêtre. Vous pouvez sélectionner le type de filtre : • Type d'interface est égal à : choisissez d'afficher les ports ou les LAG. ÉTAPE 8 Sélectionnez le type d'association de chaque interface. Les options disponibles sont les suivantes : • Statique : rattache l'interface au groupe de multidiffusion en tant que membre statique. • Dynamique : rattache l'interface au groupe de multidiffusion en tant que membre dynamique. • Interdit : spécifie que ce port n'est pas autorisé à rejoindre ce groupe sur ce VLAN. • Aucun : indique que le port n'est actuellement pas membre de ce groupe de multidiffusion sur ce VLAN. Cette option est définie par défaut tant que l'option Statique ou Interdit n'est pas sélectionnée. ÉTAPE 9 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Configuration de la multidiffusion IPv4 Les pages suivantes décrivent la configuration de la multidiffusion IPv4 : • Configuration de la surveillance IGMP • Paramètres de VLAN IGMP Configuration de la surveillance IGMP Pour prendre en charge le transfert sélectif de multidiffusion IPv4, vous devez activer le filtrage multidiffusion par ponts (sur la page Multidiffusion > Propriétés). Vous devez aussi activer la surveillance IGMP globalement ainsi que pour chacun des VLAN concernés, sur les pages Surveillance IGMP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 296 Multidiffusion Configuration de la multidiffusion IPv4 18 Pour activer le traçage IGMP Snooping et identifier le périphérique en tant qu'émetteur de requêtes de traçage IGMP Snooping sur un VLAN : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv4 > Surveillance IGMP. Lorsque la surveillance IGMP est activée globalement, le périphérique qui surveille le trafic réseau peut détecter les hôtes qui ont demandé à recevoir le trafic de multidiffusion. Le périphérique n'exécute la surveillance IGMP que si vous avez activé à la fois la surveillance IGMP et le filtrage multidiffusion par ponts. ÉTAPE 2 Activez ou désactivez les fonctionnalités suivantes : • État de surveillance IGMP : sélectionnez cette option pour activer la surveillance IGMP globalement sur toutes les interfaces. • État du demandeur IGMP : sélectionnez cette option pour activer le demandeur IGMP globalement sur toutes les interfaces. ÉTAPE 3 Pour configurer proxy IGMP sur une interface, sélectionnez un VLAN statique et cliquez sur Modifier. Renseignez les champs suivants : • État de surveillance IGMP : sélectionnez cette option pour activer la surveillance IGMP sur le VLAN. Le périphérique surveille le trafic réseau pour déterminer les hôtes qui ont demandé à recevoir du trafic de multidiffusion. Le périphérique n'exécute la surveillance IGMP que si la surveillance IGMP et le filtrage multidiffusion par ponts sont tous deux activés. • Apprentissage automatique des ports MRouter : sélectionnez cette option pour activer l'apprentissage automatique du routeur de multidiffusion. • Sortie immédiate : sélectionnez cette option pour autoriser le commutateur à supprimer une interface qui envoie un message de sortie de la table de transfert sans envoyer au préalable à l'interface des requêtes générales basées sur MAC. Lorsqu'un message de sortie de groupe IGMP est reçu de la part d'un hôte, le système supprime le port hôte de l'entrée de la table. Après avoir transmis les requêtes IGMP en provenance du routeur de multidiffusion, il supprime les entrées périodiquement s'il ne reçoit aucun rapport d'appartenance IGMP de la part des clients de multidiffusion. Lorsqu'elle est activée, cette fonction réduit le temps nécessaire au blocage du trafic IGMP inutile envoyé à un port du périphérique. • Nombre de requêtes du dernier membre : nombre de requêtes propres au groupe IGMP envoyées avant que le périphérique considère qu'il n'existe pas d'autre membre dans le groupe, dans la mesure où ce périphérique est le demandeur choisi. • État du demandeur IGMP : sélectionnez cette option pour activer cette fonction. Cette fonction est requise s'il n'y a pas de routeur de multidiffusion. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 297 Multidiffusion Configuration de la multidiffusion IPv4 • 18 IGMP Querier Election (Choix du demandeur IGMP) : indique si le choix du demandeur IGMP est activé ou désactivé. Si le mécanisme de choix du demandeur IGMP est activé, le demandeur de surveillance IGPM prend en charge le mécanisme standard de choix du demandeur IGMP, spécifié dans la norme RFC3810. Si le mécanisme de choix du demandeur IGMP est désactivé, le demandeur de surveillance IGPM retarde l'envoi des messages de requête générale pendant 60 secondes après son activation, et s'il n'y a pas d'autre demandeur, commence à envoyer les messages de requête générale. Il arrête d'envoyer les messages de requête générale s'il détecte un autre demandeur. Le demandeur de surveillance IGMP reprend l'envoi des messages de requête générale s'il ne détecte aucun autre demandeur pendant un intervalle passif de requête égal à : Robustesse * (Intervalle de requête) + 0,5 * Intervalle de réponse de requête. • Version du demandeur IGMP : sélectionnez la version IGMP utilisée si le périphérique devient le demandeur choisi. Sélectionnez IGMPv3 s'il existe des commutateurs et/ou des routeurs de multidiffusion dans le VLAN qui réalisent le transfert de multidiffusion-IP propre à la source. Sinon, sélectionnez IGMPv2. • Adresse IP source du demandeur : sélectionnez l'interface source du périphérique à utiliser dans les messages envoyés. Avec MLD, cette adresse est sélectionnée automatiquement par le système. REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. ÉTAPE 4 Sélectionnez un VLAN et cliquez sur Modifier. ÉTAPE 5 Saisissez les paramètres comme décrit ci-dessus. ÉTAPE 6 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. REMARQUE Changements dans la configuration des temporisations de surveillance IGMP, tels que : Robustesse des requêtes, Intervalle de requête, etc. ne prennent pas effet sur les temporisations déjà créées. Paramètres d'interface IGMP REMARQUE Cette page existe uniquement sur les périphériques SG500X/SG500XG. Une interface qui est définie comme port de routeur de multidiffusion reçoit tous les paquets IGMP (rapports et requêtes) ainsi que toutes les données de multidiffusion. Pour définir le protocole IGMP sur une interface : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv4 > Paramètres d'interface IGMP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 298 Multidiffusion Configuration de la multidiffusion IPv4 18 Les champs suivants sont affichés pour chaque interface sur laquelle IGMP est activé : • Nom de l'interface : interface sur laquelle la surveillance IGMP est définie. • Version IGMP du routeur : version IGMP. • Robustesse des requêtes : entrez le nombre de pertes de paquets prévues sur une liaison. • Intervalle de requête (s) : intervalle à appliquer entre deux requêtes générales si ce périphérique est le demandeur choisi. • Intervalle de réponse max aux requêtes (s) : délai utilisé pour calculer le code de réponse maximum inséré dans les requêtes générales périodiques. • Intervalle de requête du dernier membre (ms) : saisissez le délai maximal de réponse à utiliser si le périphérique ne le reconnaît pas à partir des requêtes propres au groupe envoyées par l'émetteur de requêtes choisi. • Multicast TTL Threshold (Seuil TTL de multidiffusion) : entrez le seuil de temps de vie (TTL, Timeto-Live) des paquets transférés sur une interface. Les paquets de multidiffusion avec une valeur TTL inférieure au seuil ne sont pas transmis sur l'interface. La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés sur l'interface. La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface. Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent automatiquement des routeurs de bordure. ÉTAPE 2 Sélectionnez une interface et cliquez sur Modifier. Renseignez les valeurs des champs décrits ci-dessus. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Paramètres de VLAN IGMP Pour configurer le protocole IGMP sur un VLAN spécifique : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv4 > Paramètres de VLAN IGMP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 299 Multidiffusion Configuration de la multidiffusion IPv4 18 Les champs suivants sont affichés pour chaque VLAN sur lequel IGMP est activé : • Nom de l'interface : VLAN sur lequel la surveillance IGMP est définie. • Version IGMP du routeur : version de la surveillance IGMP. • Robustesse des requêtes : entrez le nombre de pertes de paquets prévues sur une liaison. • Intervalle de requête (s) : intervalle à appliquer entre deux requêtes générales si ce périphérique est le demandeur choisi. • Intervalle de réponse max aux requêtes (s) : délai utilisé pour calculer le code de réponse maximum inséré dans les requêtes générales périodiques. • Intervalle de requête du dernier membre (ms) : saisissez le délai maximal de réponse à utiliser si le périphérique ne peut pas lire cette valeur dans les requêtes propres au groupe envoyées par le demandeur choisi. • Multicast TTL Threshold (Seuil TTL de multidiffusion) : cette page existe uniquement sur les périphériques SG500X/SG500XG. Entrez le seuil de temps de vie (TTL, Time-to-Live) des paquets transférés sur une interface. Les paquets de multidiffusion avec une valeur TTL inférieure au seuil ne sont pas transmis sur l'interface. La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés sur l'interface. La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface. Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent automatiquement des routeurs de bordure. ÉTAPE 2 Sélectionnez une interface et cliquez sur Modifier. Renseignez les valeurs des champs décrits ci-dessus. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Proxy IGMP REMARQUE Cette page existe uniquement sur les périphériques SG500X/SG500XG. Pour configurer le protocole Proxy IGMP : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv4 > Proxy IGMP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 300 Multidiffusion Configuration de la multidiffusion IPv4 18 ÉTAPE 2 Renseignez les champs suivants : • Routage de multidiffusion IGMP : sélectionnez cette option pour activer le routage de multidiffusion IPv4. • Downstream Protection (Protection aval) : sélectionnez cette option pour ignorer les paquets aval non demandés par le périphérique. • Multidiffusion spécifique à la source : sélectionnez cette option pour activer la livraison des paquets de multidiffusion provenant d'une adresse source spécifique définie dans le champ suivant. • SSM IPv4 Access List (Liste d'accès IPv4 SSM) : définissez la liste contenant les adresses sources des paquets de multidiffusion : - Liste par défaut : définit la plage d'accès SSM à 232.0.0.0/8. - Liste d'accès définie par l'utilisateur : sélectionnez le nom de la liste d'accès IPv4 standard définissant la plage SSM. Ces listes d'accès sont définies dans Liste d'accès. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Pour ajouter une protection à un VLAN, cliquez sur Ajouter et renseignez les champs suivants : • Upstream Interface (Interface amont) : sélectionnez l'interface amont. Comme il n'y a qu'une seule interface amont, si une interface a déjà été sélectionnée, ce champ est grisé. • Downstream Interface (Interface aval) : sélectionnez l'interface aval. Il peut y avoir plusieurs interfaces aval. • Downstream Protection (Protection aval) : sélectionnez l'une des options suivantes : - Use Global (Utiliser le paramètre global) : utilisez l'état défini dans le bloc global. - Désactiver : désactive le transfert du trafic de multidiffusion IPv4 provenant des interfaces aval. - Activer : active le transfert du trafic provenant des interfaces aval. Les champs suivants s'affichent pour chaque route de multidiffusion : • Adresse source : adresse IPv4 source de monodiffusion. • Adresse de groupe : adresse IPv4 de destination de multidiffusion. • Interface entrante : interface prévue pour un paquet de multidiffusion provenant de la source. Si le paquet n'est pas reçu sur cette interface, il est ignoré. • Interfaces sortantes : interfaces via lesquelles les paquets seront transmis. • Uptime (Temps utilisation) : durée en heures, minutes et secondes pendant laquelle l'entrée a été dans la table de routage de multidiffusion IP. • Délai d'expiration : durée en heures, minutes et secondes avant la suppression de l'entrée dans la table de routage de multidiffusion IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 301 Multidiffusion Configuration de la multidiffusion IPv6 18 Configuration de la multidiffusion IPv6 Les pages suivantes décrivent la configuration de la multidiffusion IPv6 : • Surveillance MLD • Paramètres de VLAN MLD • Proxy MLD Surveillance MLD Pour prendre en charge le transfert sélectif de la multidiffusion IPv6, vous devez activer le filtrage multidiffusion par ponts (sur la page Multidiffusion > Propriétés). Vous devez aussi activer la surveillance MLD globalement ainsi que pour chacun des VLAN concernés, sur les pages Surveillance MLD. Pour activer la surveillance MLD et la configurer sur un VLAN : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv6 > Surveillance MLD. Lorsque le traçage MLD Snooping est activé au niveau global, le périphérique qui surveille le trafic réseau peut détecter les hôtes qui ont demandé à recevoir le trafic de multidiffusion. Le périphérique exécute uniquement le traçage MLD Snooping si vous avez activé à la fois MLD Snooping et le filtrage multidiffusion par ponts. ÉTAPE 2 Activez ou désactivez les fonctionnalités suivantes : • État de surveillance MLD : sélectionnez cette option pour activer la surveillance MLD globalement sur toutes les interfaces. • État du demandeur MLD : sélectionnez cette option pour activer le demandeur MLD globalement sur toutes les interfaces. ÉTAPE 3 Pour configurer proxy MLD sur une interface, sélectionnez un VLAN statique et cliquez sur Modifier. Renseignez les champs suivants : • État de surveillance MLD : sélectionnez cette option pour activer la surveillance MLD sur le VLAN. Le périphérique surveille le trafic réseau pour déterminer les hôtes qui ont demandé à recevoir du trafic de multidiffusion. Le périphérique n'exécute la surveillance MLD que si la surveillance MLD et le filtrage multidiffusion par ponts sont tous deux activés. • Apprentissage automatique des ports MRouter : sélectionnez cette option pour activer l'apprentissage automatique du routeur de multidiffusion. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 302 Multidiffusion Configuration de la multidiffusion IPv6 18 • Sortie immédiate : sélectionnez cette option pour autoriser le commutateur à supprimer une interface qui envoie un message de sortie de la table de transfert sans envoyer au préalable à l'interface des requêtes générales basées sur MAC. Lorsqu'un message de sortie de groupe MLD est reçu de la part d'un hôte, le système supprime le port hôte de l'entrée de la table. Après avoir transmis les requêtes MLD en provenance du routeur de multidiffusion, il supprime les entrées périodiquement s'il ne reçoit aucun rapport d'appartenance MLD de la part des clients de multidiffusion. Lorsqu'elle est activée, cette fonction réduit le temps nécessaire au blocage du trafic MLD inutile envoyé à un port du périphérique. • Nombre de requêtes du dernier membre : nombre de requêtes propres au groupe MLD envoyées avant que le périphérique considère qu'il n'existe pas d'autre membre dans le groupe, dans la mesure où ce périphérique est le demandeur choisi. - Utiliser robustesse des requêtes : cette valeur est définie sur la page Paramètres d'interface MLD. - Défini par l'utilisateur : saisissez une valeur définie par l'utilisateur. • État du demandeur MLD : sélectionnez cette option pour activer cette fonction. Cette fonction est requise s'il n'y a pas de routeur de multidiffusion. • Choix du demandeur MLD : indique si le choix du demandeur MLD est activé ou désactivé. Si le mécanisme de choix du demandeur MLD est activé, le demandeur de surveillance MLD prend en charge le mécanisme standard de choix du demandeur MLD, spécifié dans la norme RFC3810. Si le mécanisme de choix du demandeur MLD est désactivé, le demandeur de surveillance MLD retarde l'envoi des messages de requête générale pendant 60 secondes après son activation, et s'il n'y a pas d'autre demandeur, commence à envoyer les messages de requête générale. Il arrête d'envoyer les messages de requête générale s'il détecte un autre demandeur. Le demandeur de surveillance MLD reprend l'envoi des messages de requête générale s'il ne détecte aucun autre demandeur pendant un intervalle passif de requête égal à : Robustesse * (Intervalle de requête) + 0,5 * Intervalle de réponse de requête. • Version du demandeur MLD : sélectionnez la version MLD utilisée si le périphérique devient le demandeur choisi. Sélectionnez MLDv2 s'il existe des commutateurs et/ou des routeurs de multidiffusion dans le VLAN qui réalisent le transfert de multidiffusion-IP propre à la source. Sinon, sélectionnez MLDv1. ÉTAPE 4 Sélectionnez un VLAN et cliquez sur Modifier. ÉTAPE 5 Saisissez les paramètres comme décrit ci-dessus. ÉTAPE 6 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. REMARQUE Changements dans la configuration des temporisations de surveillance MLD, tels que : Robustesse des requêtes, Intervalle de requête, etc. ne prennent pas effet sur les temporisations déjà créées. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 303 Multidiffusion Configuration de la multidiffusion IPv6 18 Paramètres d'interface MLD REMARQUE Cette page existe uniquement sur les périphériques SG500X/SG500XG. Une interface qui est définie comme port de routeur de multidiffusion reçoit tous les paquets MLD (rapports et requêtes) ainsi que toutes les données de multidiffusion. Pour configurer une interface comme interface de routeur de multidiffusion : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv6 > Paramètres d'interface MLD. Les champs suivants sont affichés pour chaque interface sur laquelle MLD est activé : • Version du routeur MLD : version MLD du routeur de multidiffusion. • Robustesse des requêtes : entrez le nombre de pertes de paquets prévues sur une liaison. • Intervalle de requête (s) : intervalle à appliquer entre deux requêtes générales si ce périphérique est le demandeur choisi. • Intervalle de réponse max aux requêtes (s) : délai utilisé pour calculer le code de réponse maximum inséré dans les requêtes générales périodiques. • Intervalle de requête du dernier membre (ms) : délai maximal de réponse à utiliser si le périphérique ne peut pas lire cette valeur dans les requêtes propres au groupe envoyées par le demandeur choisi. • Multicast TTL Threshold (Seuil TTL de multidiffusion) : entrez le seuil de temps de vie (TTL, Timeto-Live) des paquets transférés sur une interface. Les paquets de multidiffusion avec une valeur TTL inférieure au seuil ne sont pas transmis sur l'interface. La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés sur l'interface. La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface. Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent automatiquement des routeurs de bordure. ÉTAPE 2 Pour configurer une interface, sélectionnez-la et cliquez sur Modifier. Renseignez les champs décrits ci-dessus. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 304 Multidiffusion Configuration de la multidiffusion IPv6 18 Paramètres de VLAN MLD Pour configurer le protocole MLD sur un VLAN spécifique : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv6 > Paramètres de VLAN MLD. Les champs suivants sont affichés pour chaque VLAN sur lequel MLD est activé : • Nom de l'interface : VLAN pour lequel afficher les informations MLD. • Version du routeur MLD : version du routeur MLD. • Robustesse des requêtes : entrez le nombre de pertes de paquets prévues sur une liaison. • Intervalle de requête (s) : intervalle à appliquer entre deux requêtes générales si ce périphérique est le demandeur choisi. • Intervalle de réponse max aux requêtes (s) : délai utilisé pour calculer le code de réponse maximum inséré dans les requêtes générales périodiques. • Intervalle de requête du dernier membre (ms) : saisissez le délai maximal de réponse à utiliser si le périphérique ne le reconnaît pas à partir des requêtes propres au groupe envoyées par l'émetteur de requêtes choisi. • Multicast TTL Threshold (Seuil TTL de multidiffusion) : entrez le seuil de temps de vie (TTL, Timeto-Live) des paquets transférés sur une interface. Existe uniquement sur les périphériques SG500X/ SG500XG. Les paquets de multidiffusion avec une valeur TTL inférieure au seuil ne sont pas transmis sur l'interface. La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés sur l'interface. La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface. Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent automatiquement des routeurs de bordure. ÉTAPE 2 Pour configurer un VLAN, sélectionnez-le et cliquez sur Modifier. Renseignez les champs décrits ci-dessus. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 305 Multidiffusion Configuration de la multidiffusion IPv6 18 Proxy MLD REMARQUE Cette page existe uniquement sur les périphériques SG500X/SG500XG. Pour configurer Proxy MLD : ÉTAPE 1 Cliquez sur Multidiffusion > Configuration de la multidiffusion IPv6 > Proxy MLD. ÉTAPE 2 Renseignez les champs suivants : • Routage de multidiffusion MLD : sélectionnez cette option pour activer le routage de multidiffusion IPv6. • Downstream Protection (Protection aval) : sélectionnez cette option pour ignorer les paquets aval non requis par le périphérique. • Multidiffusion spécifique à la source : sélectionnez cette option pour activer la livraison des paquets de multidiffusion provenant d'une adresse source spécifique définie dans le champ suivant. • SSM IPv6 Access List (Liste d'accès IPv6 SSM) : définissez la liste contenant les adresses sources des paquets de multidiffusion : - Liste par défaut : définit la plage d'accès SSM à FF3E::/32. - Liste d'accès définie par l'utilisateur : sélectionnez le nom de la liste d'accès IPv6 standard définissant la plage SSM. Ces listes d'accès sont définies dans Listes d'accès IPv6. ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Pour ajouter une protection à un VLAN, cliquez sur Ajouter et renseignez les champs suivants : • Upstream Interface (Interface amont) : sélectionnez l'interface de sortie. • Downstream Interface (Interface aval) : sélectionnez l'interface d'entrée. • Downstream Protection (Protection aval) : sélectionnez l'une des options suivantes : - Use Global (Utiliser le paramètre global) : utilisez l'état défini dans le bloc global. - Désactiver : désactive le transfert du trafic de multidiffusion IPv6 provenant des interfaces aval. - Activer : active le transfert du trafic provenant des interfaces aval. Les champs suivants s'affichent pour chaque route de multidiffusion : • Adresse source : adresse IPv4 source de monodiffusion. • Adresse de groupe : adresse IPv4 de destination de multidiffusion. • Interface entrante : interface prévue pour un paquet de multidiffusion provenant de la source. Si le paquet n'est pas reçu sur cette interface, il est ignoré. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 306 Multidiffusion Groupe de multidiffusion IP de surveillance IGMP/MLD 18 • Interfaces sortantes : interfaces via lesquelles les paquets seront transmis. • Uptime (Temps utilisation) : durée en heures, minutes et secondes pendant laquelle l'entrée a été dans la table de routage de multidiffusion IP. • Délai d'expiration : durée en heures, minutes et secondes avant la suppression de l'entrée dans la table de routage de multidiffusion IP. Groupe de multidiffusion IP de surveillance IGMP/MLD La page Groupe de multidiffusion IP de surveillance IGMP/MLD affiche les adresses de groupes IPv4 et IPv6 apprises à partir des messages IGMP/MLD. Il peut y avoir une différence entre les informations affichées sur cette page et celles affichées sur la page Adresse de groupe MAC. Le cas suivant est un exemple : supposons que le système filtre en fonction des groupes basés sur MAC et qu'un port a demandé de se joindre aux groupes de multidiffusion 224.1.1.1 et 225.1.1.1, les deux étant mappés à la même adresse MAC de multidiffusion 01:00:5e:01:01:01. Dans ce cas, il n'y a qu'une seule entrée sur la page Multidiffusion MAC, mais deux entrées sur cette page. Pour émettre une requête de recherche d'un groupe de multidiffusion IP : ÉTAPE 1 Cliquez sur Multidiffusion > IGMP/MLD Snooping IP Multicast Group (Groupe de multidiffusion IP de surveillance IGMP/MLD). ÉTAPE 2 Définissez le type de groupe de traçage (Snooping) à rechercher : IGMP ou MLD. ÉTAPE 3 Saisissez tout ou partie des critères de filtrage des requêtes suivants : • Adresse de groupe est égale à : définit l'adresse MAC ou IP du groupe de multidiffusion à interroger. • Adresse source est égale à : définit l'adresse de l'expéditeur à interroger. • ID VLAN est égal à : définit l'ID de VLAN à interroger. ÉTAPE 4 Cliquez sur OK. Les champs suivants s'affichent pour chaque groupe de multidiffusion : • VLAN : ID du VLAN. • Adresse de groupe : adresse MAC ou IP du groupe de multidiffusion. • Adresse source : adresse de l'expéditeur pour tous les ports du groupe spécifié. • Ports inclus : liste des ports de destination pour le flux de multidiffusion. • Ports exclus : liste des ports non membres du groupe. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 307 Multidiffusion Ports de routeur de multidiffusion • 18 Mode de compatibilité : version d'enregistrement IGMP/MLD la plus ancienne que le périphérique reçoit des hôtes à l'adresse IP du groupe. Ports de routeur de multidiffusion Un port de routeur multidestination (Mrouter) est un port qui se connecte à un routeur multidestination. Le périphérique inclut le ou les numéros de ports de routeur de multidiffusion lorsqu'il transfère les flux de multidiffusion et les messages d'enregistrement IGMP/MLD. Cela est indispensable pour que les routeurs de multidiffusion puissent, à leur tour, transférer les flux de multidiffusion et propager les messages d'enregistrement vers d'autres sous-réseaux. Pour configurer de manière statique les ports qui sont connectés au routeur de multidiffusion, ou afficher ceux dynamiquement détectés : ÉTAPE 1 Cliquez sur Multidiffusion > Port de routeur de multidiffusion. ÉTAPE 2 Saisissez tout ou partie des critères de filtrage des requêtes suivants : • ID VLAN est égal à : sélectionnez l'ID de VLAN des ports du routeur décrits. • Version IP est égale à : sélectionnez la version IP prise en charge par le routeur de multidiffusion. • Type d'interface est égal à : choisissez d'afficher les ports ou les LAG. ÉTAPE 3 Cliquez sur OK. Les interfaces répondant aux critères de requête s'affichent. ÉTAPE 4 Sélectionnez le type d'association de chaque port ou LAG. Les options disponibles sont les suivantes : • Statique : le port est configuré de manière statique en tant que port de routeur de multidiffusion. • Dynamique : (affichage uniquement) le port est configuré de manière dynamique en tant que port de routeur de multidiffusion par une requête MLD/IGMP. Pour activer l'apprentissage dynamique des ports de routeurs de multidiffusion, accédez à la page Multidiffusion > IGMP Snooping et à la page Multidiffusion > MLD Snooping. • Interdit : ce port ne doit pas être configuré en tant que port de routeur de multidiffusion, même s'il reçoit des requêtes IGMP ou MLD. Si l'option Interdit est activée sur un port, l'apprentissage des ports MRouter n'a pas lieu sur ce port (ce qui signifie que l'option Apprentissage automatique des ports MRouter n'est pas activée sur ce port). • Aucun : le port n'est actuellement pas un port de routeur de multidiffusion. ÉTAPE 5 Cliquez sur Appliquer pour mettre à jour le périphérique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 308 18 Multidiffusion Tout transférer Tout transférer La page Tout transférer active la configuration des ports et/ou LAG qui doivent recevoir des flux de multidiffusion en provenance d'un VLAN spécifique. Cette fonction exige que vous activiez le filtrage multidiffusion par ponts sur la page Propriétés. Si cette fonction est désactivée, tout le trafic de multidiffusion est envoyé aux ports du périphérique. Vous pouvez configurer (manuellement) un port en mode Tout transférer de manière statique si les périphériques qui se connectent à ce port ne prennent pas en charge IGMP et/ou MLD. Les messages IGMP ou MLD ne sont pas transférés aux ports définis en mode Tout transférer. REMARQUE Cette configuration concerne uniquement les ports membres du VLAN sélectionné. Pour définir la multidiffusion Tout transférer : ÉTAPE 1 Cliquez sur Multidiffusion > Tout transférer. ÉTAPE 2 Définissez les éléments suivants : • ID VLAN est égal à : ID du VLAN dont afficher les ports/LAG. • Type d'interface est égal à : choisissez d'afficher les ports ou les LAG. ÉTAPE 3 Cliquez sur OK. L'état de tous les ports/LAG est affiché. ÉTAPE 4 Sélectionnez le port/LAG à définir en mode Tout transférer à l'aide des méthodes suivantes : • Statique : le port reçoit tous les flux de multidiffusion. • Interdit : le port ne peut pas recevoir de flux de multidiffusion, même si la surveillance IGMP/MLD l'a désigné pour rejoindre un groupe de multidiffusion. • Aucun : le port n'est actuellement pas un port en mode Tout transférer. ÉTAPE 5 Cliquez sur Appliquer. Le fichier de configuration de fonctionnement est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 309 Multidiffusion Multidiffusion non enregistrée 18 Multidiffusion non enregistrée Cette fonction permet de garantir que le client reçoit uniquement les groupes de multidiffusion demandés (enregistrés) et non d'autres groupes éventuellement transmis sur le réseau (non enregistrés). En général, les trames de multidiffusion non enregistrées sont transférées vers tous les ports du VLAN. Vous pouvez sélectionner un port pour qu'il reçoive ou refuse (filtre) les flux de multidiffusion non enregistrés. Cette configuration est valide pour tout VLAN dont le port est (ou sera) membre. Pour définir des paramètres de multidiffusion non enregistrée : ÉTAPE 1 Cliquez sur Multidiffusion > Multidiffusion non enregistrée. ÉTAPE 2 Sélectionnez Type d'interface est égal à : pour afficher les ports ou les LAG. ÉTAPE 3 Cliquez sur OK. ÉTAPE 4 Définissez les éléments suivants : • Port/LAG : affiche l'ID du port ou du LAG. • Affiche l'état de transfert de l'interface sélectionnée. Les valeurs possibles sont : - Transfert : active le transfert des trames de multidiffusion non enregistrée vers l'interface sélectionnée. - Filtrage : active le filtrage (rejet) des trames de multidiffusion non enregistrée sur l'interface sélectionnée. ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont enregistrés et le fichier de Configuration d'exécution est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 310 19 Configuration IP Les adresses d'interface IP peuvent être configurées manuellement par l'utilisateur ou automatiquement via un serveur DHCP. Cette section fournit des informations sur la définition des adresses IP du périphérique, soit manuellement soit en faisant du périphérique un client DHCP. Cette section aborde les points suivants : • Présentation • IPv4 Management and Interfaces (Interfaces et gestion IPv4) • Serveur DHCP • IPv6 Management and Interfaces (Interfaces et gestion IPv6) • Nom de domaine Présentation REMARQUE Les périphériques SG500X fonctionnent toujours en mode L3+L2, sauf s'ils se trouvent en mode Hybride (voir Mode de l'unité de pile) lorsqu'ils fonctionnent en tant que périphériques Sx500. En revanche, les périphériques Sx500 doivent toujours être configurés de manière à fonctionner en mode système Couche 2 ou Couche 3. Par conséquent, lorsque cette section se réfère à un périphérique fonctionnant en mode système Couche 3, cela concerne tous les périphériques SG500X en mode Pile native ainsi que les périphériques qui ont été configurés manuellement en mode système Couche 3. Lorsque ce document se réfère à un périphérique fonctionnant en mode système Couche 2, cela concerne tous les périphériques Sx500 ainsi que les périphériques SG500X (en mode Hybrid (Hybride)) qui ont été configurés manuellement en mode Couche 2. L'unité maximale de transmission (MTU) pour le trafic de couche 3 sur les périphériques SG500X, SG500XG et ESW2-550X est limitée à 9 000 octets. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 311 19 Configuration IP Présentation Certaines fonctionnalités ne sont disponibles qu'en mode système Couche 2 ou Couche 3, comme décrit cidessous : • En mode système Couche 2 (périphériques Sx500 uniquement), le périphérique fonctionne en tant que périphérique reconnaissant les VLAN Couche 2, sans aucune fonction de routage. • En mode système Couche 3, le périphérique possède des fonctions de routage IP en plus des fonctions du mode système Couche 2. En mode système, un port Couche 3 conserve la plupart des fonctionnalités de type Couche 2, comme le protocole STP (Spanning Tree Protocol) et l'appartenance VLAN. • En mode système Couche 3 sur des périphériques Sx500 uniquement, le périphérique ne prend pas en charge les VLAN MAC, l'affectation dynamique de VLAN, la limite de débit VLAN, la protection DoS de débit SYN, ni les gestionnaires de stratégie de QoS avancé. Pour configurer le mode système (Couche 2 ou Couche 3) pour les périphériques Sx500, reportez-vous à la page Mode du système et gestion des piles. REMARQUE Pour passer d'un mode du système (Couche) à un autre (sur les périphériques Sx500), vous devez redémarrer, ce qui entraîne alors la suppression de la configuration de démarrage du périphérique. Adressage IP Layer 2 REMARQUE Cette section ne concerne que les périphériques Sx500. En mode système Couche 2, le périphérique ne dispose que d'une adresse IPv4 et de deux interfaces IPv6 (soit interface « native », soit Tunnel) dans la gestion VLAN. Cette adresse IP et la passerelle par défaut peuvent être configurées manuellement ou par DHCP. Configurez l'adresse IP statique et la passerelle par défaut pour le mode système Couche 2 sur les pages Interface IPv4 et Interfaces IPv6. En mode système Couche 2, le périphérique utilise la passerelle par défaut (si elle existe) pour communiquer avec les périphériques qui ne se trouvent pas sur le même sous-réseau IP. Par défaut, VLAN 1 est le VLAN de gestion mais vous pouvez modifier ce paramètre. Lorsqu'il fonctionne en mode système Couche 2, le périphérique n'est accessible à l'adresse IP configurée que via son VLAN de gestion. Le paramètre d'usine par défaut de la configuration de l'adresse IPv4 est DHCPv4. Cela signifie que le périphérique joue le rôle de client DHCPv4 et envoie une demande DHCPv4 lors de l'amorçage. Si le périphérique reçoit une réponse DHCPv4 du serveur DHCPv4 (contenant une adresse IPv4), il envoie des paquets ARP (Address Resolution Protocol, protocole de résolution d'adresse) pour vérifier que cette adresse IP est unique. Si la réponse ARP indique que l'adresse IPv4 est déjà utilisée, le périphérique envoie le message DHCPDECLINE (Refus DHCP) au serveur DHCP répondu. Il envoie ensuite un nouveau paquet DHCPDISCOVER (Détection DHCP) pour relancer le processus. Si le périphérique n'a reçu aucune réponse DHCPv4 au bout de 60 secondes, il continue à lancer des requêtes DHCPDISCOVER et utilise l'adresse IPv4 : 192.168.1.254/24. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 312 Configuration IP Présentation 19 Des collisions d'adresse IP se produisent lorsqu'une même adresse IP est utilisée par plusieurs périphériques sur un même sous-réseau IP. Les collisions d'adresse nécessitent une action de la part de l'administrateur sur le serveur DHCP et/ou sur les périphériques en conflit avec le périphérique. Lorsqu'un VLAN est configuré pour utiliser des adresses IPv4 dynamiques, le périphérique envoie des demandes DHCPv4 jusqu'à ce qu'un serveur DHCP lui attribue une adresse IPv4. En mode système Couche 2, seul le VLAN de gestion peut être configuré avec une adresse IP statique ou dynamique. En mode système Couche 3, vous pouvez configurer tous les types d'interfaces (ports, LAG et/ou VLAN) du périphérique avec une adresse IP statique ou dynamique. Les règles d'affectation d'adresse IP au périphérique sont les suivantes : • En mode système Couche 2, si le commutateur n'est pas configuré avec une adresse IP statique, il émet des requêtes DHCPv4 jusqu'à ce qu'il reçoive une réponse du serveur DHCP. • Si l'adresse IP du périphérique change, ce dernier envoie des paquets ARP gratuits au VLAN correspondant pour rechercher les éventuelles collisions d'adresse IP. Cette règle s'applique également lorsque le périphérique revient à l'adresse IP par défaut. • La LED d'état du système s'allume en vert lorsque le serveur DHCP envoie une nouvelle adresse IP unique. Si une adresse IP statique a été définie, la LED d'état du système s'allume également en vert. Cette LED clignote pendant que le périphérique acquiert son adresse IP et qu'il utilise l'adresse IP par défaut définie en usine 192.168.1.254. • Les mêmes règles s'appliquent lorsqu'un client doit renouveler son bail avant la date d'expiration, via un message DHCPREQUEST (Demande DHCP). • Avec les paramètres d'usine, si aucune adresse IP n'est disponible (qu'elle soit définie de manière statique ou acquise via DHCP), le système utilise l'adresse IP par défaut. Lorsque d'autres adresses IP deviennent disponibles, elles sont automatiquement utilisées. L'adresse IP par défaut se trouve toujours sur le VLAN de gestion. Adressage IP Layer 3 En mode système Couche 3, le périphérique peut posséder plusieurs adresses IP. Chaque adresse IP peut être affectée aux ports, LAG ou VLAN spécifiés. Ces adresses IP peuvent être configurées sur les pages Interface IPv4 et Interfaces IPv6 en mode système Couche 3. Cela offre davantage de souplesse réseau que le mode système Couche 2, qui ne permet de configurer qu'une seule adresse IP. Lorsqu'il fonctionne en mode système Couche 3, le périphérique est accessible à toutes ses adresses IP depuis les interfaces correspondantes. Aucun acheminement prédéfini par défaut n'est fourni en mode système Couche 3. Vous devez définir un acheminement par défaut pour gérer le périphérique à distance. Toutes les passerelles par défaut affectées par DHCP sont stockées en tant qu'acheminements par défaut. De plus, vous pouvez définir manuellement des acheminements par défaut. Vous pouvez les définir sur les pages Acheminements statiques IPv4 et Acheminements IPv6. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 313 Configuration IP Présentation 19 Toutes les adresses IP configurées sur le périphérique ou qui lui sont affectées sont également appelées « adresses IP de gestion » dans ce guide. Si les pages du mode Couche 2 et du mode Couche 3 sont différentes, les deux versions sont affichées. Interface de bouclage Présentation L'interface de bouclage est une interface virtuelle dont l'état opérationnel est toujours actif. Si l'adresse IP qui est configurée sur cette interface virtuelle est utilisée comme adresse locale lors de la communication avec les applications IP distantes, la communication ne sera pas interrompue même si la route vers l'application distante a été modifiée. L'état opérationnel de l'interface de bouclage est toujours actif. Définissez une adresse IP (IPv4 ou IPv6) sur celle-ci et utilisez-cette adresse-IP comme adresse IP locale pour la communication IP avec les applications IP distantes. La communication est maintenue tant que les applications distantes restent joignables à partir de n'importe quelle interface IP (sans bouclage) active du commutateur. En revanche, si l'adresse IP d'une interface IP est utilisée pour la communication avec des applications distantes, la communication est interrompue lorsque l'interface IP est arrêtée. Une interface de bouclage ne prend pas en charge le pontage ; elle ne peut pas être membre d'un VLAN et aucun protocole Couche 2 ne peut être activé sur celui-ci. L'identifiant de l'interface de liaison locale IPv6 est 1. Lorsque le commutateur est en mode système Couche 2, les règles suivantes sont prises en charge : • Une seule interface de bouclage est prise en charge. • Deux interfaces IPv4 peuvent être configurées : une sur un port VLAN ou Ethernet et une sur l'interface de bouclage. • Si l'adresse IPv4 a été configurée sur le VLAN par défaut et que ce dernier a été changé, le commutateur déplace l'adresse IPv4 vers le nouveau VLAN par défaut. Configuration d'une interface de bouclage Pour configurer une interface de bouclage IPv4, procédez comme suit : • En mode Couche 2, activez l'interface de bouclage et configurez son adresse sur la page Administration > Interface de gestion > Interface IPv4. Cette page n'est pas disponible sur les périphériques SG500X, ESW2-550X et SG500XG. • En mode Couche 3, ajoutez une interface de bouclage en Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Interface IPv4. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 314 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Pour configurer une interface de bouclage IPv6, procédez comme suit : • En mode Couche 2, ajoutez une interface de bouclage sur la page Administration > Interface de gestion > Interfaces IPv6. Configurez l'adresse IPv6 de cette interface sur la page Administration > Interface de gestion > Adresses IPv6. Cette page n'est pas disponible sur les périphériques SG500X, ESW2-550X et SG500XG. • En mode Couche 3, ajoutez une interface de bouclage en Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Interface IPv6. Configurez l'adresse IPv6 de cette interface sur la page Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Adresses IPv6. IPv4 Management and Interfaces (Interfaces et gestion IPv4) Interface IPv4 Les interfaces IPv4 peuvent être définies sur le périphérique lorsque celui-ci se trouve en mode système Couche 2 ou Couche 3. Définition d'une interface IPv4 en mode système Couche 2 Cette section ne concerne pas le périphérique SG500X, ESW2-550X ou SG500XG. Pour que vous puissiez gérer le périphérique à l'aide de l'utilitaire de configuration Web, vous devez définir et connaître l'adresse de gestion IPv4 du périphérique. L'adresse IP du périphérique peut être configurée manuellement ou reçue automatiquement depuis un serveur DHCP. Pour configurer une adresse IPv4 pour le périphérique : ÉTAPE 1 Cliquez sur Administration > Interface de gestion > Interface IPv4. ÉTAPE 2 Saisissez les valeurs appropriées dans les champs suivants : • VLAN de gestion : sélectionnez le VLAN de gestion utilisé pour accéder au périphérique via telnet ou l'interface utilisateur graphique (GUI) Web. VLAN1 est le VLAN de gestion par défaut. • Type d'adresse IP : sélectionnez l'une des options suivantes : - Dynamique : détectez l'adresse IP via DHCP sur le VLAN de gestion. - Statique : définissez manuellement une adresse IP statique. REMARQUE L'option 12 DHCP (option Nom d'hôte) est prise en charge lorsque le périphérique est un client DHCP. Si l'option 12 DHCP est reçue d'un serveur DHCP, elle est enregistrée en tant que nom d'hôte du serveur. L'option 12 DHCP ne sera pas demandée par le périphérique. Le serveur DHCP doit être configuré pour envoyer l'option 12 indépendamment de ce qui est demandé afin de pouvoir utiliser cette fonctionnalité. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 315 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Pour définir une adresse IP statique, configurez les champs suivants. • Adresse IP : saisissez l'adresse IP et configurez l'un des champs Masque suivants : - Network Mask : sélectionnez et saisissez le masque d'adresse IP. - Prefix Length : sélectionnez et saisissez la longueur du préfixe d'adresse IPv4. • Interface de bouclage : sélectionnez cette option pour activer la configuration d'une interface de bouclage (voir Interface de bouclage). • Adresse IP de bouclage : saisissez l'adresse IPv4 de l'interface de bouclage. Renseignez l'un des champs suivants pour le Masque de bouclage : - Masque de réseau : saisissez le masque de l'adresse IPv4 de l'interface de bouclage. - Longueur du préfixe : saisissez la longueur du préfixe de l'adresse IPv4 de l'interface de bouclage. • Passerelle par défaut administrative : sélectionnez Défini par l'utilisateur et saisissez l'adresse IP de la passerelle par défaut. Vous pouvez aussi sélectionner Aucun pour supprimer de l'interface l'adresse IP de passerelle par défaut sélectionnée. • Passerelle opérationnelle par défaut : indique l'état de la passerelle par défaut actuelle. REMARQUE Si aucune passerelle par défaut n'est configurée pour le périphérique, ce dernier ne peut pas communiquer avec les périphériques qui ne font pas partie du même sous-réseau IP. Si le système récupère une adresse IP dynamique auprès du serveur DHCP, parmi les champs suivants, sélectionnez ceux que vous souhaitez activer : • Renouveler l'adresse IP maintenant : l'adresse IP dynamique du périphérique peut être renouvelée à tout moment après son affectation par un serveur DHCP. Remarque : selon la configuration de votre serveur DHCP, le périphérique peut recevoir une nouvelle adresse IP après le renouvellement, ce qui nécessite le paramétrage de l'utilitaire de configuration Web à la nouvelle adresse IP. • Configuration automatique via DHCP : affiche l'état de la fonction Configuration automatique. Vous pouvez configurer cette fonction à l'aide de l'option Administration > Gestion de fichiers > Configuration automatique DHCP. ÉTAPE 3 Cliquez sur Apply. Les paramètres d'interface IPv4 sont modifiés et écrits dans le fichier de Configuration d'exécution. Définition d'une interface IPv4 en mode système Couche 3 Utilisez la page Interface IPv4 lorsque le périphérique fonctionne en mode système Couche 3. Ce mode permet de configurer plusieurs adresses IP pour la gestion du périphérique et fournit des services de routage. L'adresse IP peut être configurée sur une interface de port, de LAG, de VLAN ou de bouclage. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 316 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Lorsqu'il fonctionne en mode Couche 3, le périphérique achemine le trafic entre les sous-réseaux IP à connexion directe configurés sur le périphérique. Le périphérique continue à servir de pont pour le trafic entre les périphériques appartenant au même VLAN. Vous pouvez configurer des acheminements IPv4 supplémentaires pour le routage vers des sous-réseaux sans connexion directe sur la page Acheminements statiques IPv4. REMARQUE Le logiciel de périphérique consomme un seul ID de VLAN (VID) pour chaque adresse IP configurée sur un port ou un LAG. Le périphérique utilise le premier VID non encore utilisé, à partir de 4094. Pour configurer les adresses IPv4 : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4)> Interface IPv4. Pour les périphériques SG500X uniquement, pour activer le routage IPv4, activez la case à cocher Activer. Dans les périphériques Sx500, lorsque vous modifiez le mode système de Couche 2 à Couche 3, le routage IP est automatiquement activé. ÉTAPE 2 Sélectionnez l'option IPv4 Routing pour que le périphérique puisse faire office de routeur IPv4. ÉTAPE 3 Cliquez sur Apply. Le paramètre est enregistré dans le fichier Configuration d'exécution. Cette page affiche les champs suivants dans la table des interfaces IPv4 : • Interface : interface pour laquelle l'adresse IP est définie. • Type d'adresse IP : adresse IP définie comme statique ou DHCP. - DHCP : reçue du serveur DHCP. - Statique : saisie manuellement. • Adresse IP : adresse IP configurée pour l'interface. • Masque : masque d'adresse IP configuré. • État : résultats de la vérification d'unicité de l'adresse IP. - Tentative : aucun résultat final pour la vérification d'unicité de l'adresse IP. - Valide : contrôle de collision d'adresse IP terminé ; aucune collision détectée. - Dupliqué valide : contrôle de collision d'adresse IP terminé ; une adresse IP en double a été détectée. - Dupliqué : doublon d'adresse IP détecté pour l'adresse IP par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 317 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 - Retardé : l'attribution de l'adresse IP est retardée de 60 secondes si le client DHCP est activé au démarrage afin de lui donner le temps de découvrir l'adresse DHCP. - Non reçu : concerne l'adresse DHCP. Lorsqu'un client DCHP démarre un processus de découverte, il attribue l'adresse IP factice 0.0.0.0 avant l'obtention de l'adresse réelle. Cette adresse factice a l'état « Non reçu ». ÉTAPE 4 Cliquez sur Ajouter. ÉTAPE 5 Sélectionnez l'un des champs suivants : • Interface : sélectionnez Port, LAG ou VLAN comme interface associée à cette configuration IP puis choisissez une interface dans la liste. • Type d'adresse IP : sélectionnez l'une des options suivantes : - Adresse IP dynamique : recevez l'adresse IP depuis un serveur DHCP. - Adresse IP statique : saisissez l'adresse IP. ÉTAPE 6 Si vous avez sélectionné Adresse IP statique, renseignez le champ Masque : • Masque de réseau : masque IP pour cette adresse. • Longueur du préfixe : longueur du préfixe IPv4. ÉTAPE 7 Cliquez sur Apply. Les paramètres d'adresse IPv4 sont modifiés et écrits dans le fichier de Configuration d'exécution. ! ATTENTION Lorsque le système se trouve dans l'un des modes Pile avec une unité principale de secours présente, Cisco recommande de configurer l'adresse IP en tant qu'adresse statique afin d'éviter toute déconnexion du réseau lors d'un basculement de l'unité principale de la pile. La raison est que lorsque l'unité principale/de sauvegarde prend le contrôle de la pile, en cas d'utilisation de DHCP, il se peut qu'elle reçoive une adresse IP différente de celle qui a été reçue par l'unité principale d'origine de la pile. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 318 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Routes IPv4 Lorsque le périphérique fonctionne en mode système Couche 3, cette page vous permet de configurer et d'activer des acheminements IPv4 statiques sur le périphérique. Lors du routage du trafic, le saut suivant est déterminé à l'aide de l'algorithme LPM (Longest Prefix Match, correspondance avec le préfixe le plus long). L'adresse IPv4 d'une destination peut correspondre à plusieurs routes dans la table des routes IPv4 statiques. Le périphérique utilise l'acheminement qui correspond au masque de sous-réseau le plus élevé, c'est-à-dire au préfixe le plus long. Si plusieurs passerelles par défaut sont définies, l'adresse IPv4 la plus basse parmi les passerelles par défaut configurées est utilisée. Pour définir un acheminement IP statique : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4)> Acheminements IPv4. La table de routage IPv4 s'affiche. Les champs suivants sont affichés pour chaque entrée : • Préfixe IP de destination : préfixe de l'adresse IP de destination. • Longueur du préfixe : longueur du préfixe de route IP pour l'adresse IP de destination. • Type de route : indique s'il s'agit d'une route locale, de rejet ou distante. • Adresse IP du routeur de saut suivant : adresse IP ou alias IP du saut suivant sur la route. • Propriétaire de route : il peut s'agir de l'une des options suivantes : - Par défaut : la route a été configurée par la configuration système par défaut. - Statique : la route a été créée manuellement. - DHCP : la route a été reçue d'un serveur DHCP. • Paramètre : coût de ce saut (valeur inférieure préférable). • Distance administrative : distance administrative jusqu'au saut suivant (valeur inférieure préférable). Cette option ne concerne pas les routes statiques. • Outgoing Interface (Interface sortante) : interface sortante utilisée pour cette route. ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Saisissez les valeurs appropriées dans les champs suivants : • Préfixe IP de destination : saisissez le préfixe d'adresse IP de la destination. • Masque : sélectionnez et saisissez des informations dans l'un des champs suivants : - Masque de réseau : préfixe de route IP pour l'adresse IP de destination. - Longueur du préfixe : longueur du préfixe de route IP pour l'adresse IP de destination. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 319 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) • 19 Type d'acheminement : sélectionnez le type d'acheminement approprié. - Rejeter : rejette l'acheminement indiqué et stoppe tout routage vers le réseau de destination via toutes les passerelles. Cela garantit l'élimination de toutes les trames qui arrivent avec l'IP de destination de cet acheminement. • - Distant : indique que l'acheminement est un chemin distant. - Local : indique que la route est un chemin local. Ce type ne peut pas être sélectionné, mais il est créé par le système. Adresse IP du routeur de saut suivant : saisissez l'adresse ou l'alias IP du saut suivant sur l'acheminement. REMARQUE Vous ne pouvez pas configurer d'acheminement statique via un sous-réseau IP à connexion directe dans lequel le périphérique obtient son adresse IP d'un serveur DHCP. • Métrique : saisissez la distance administrative jusqu'au saut suivant. La plage est comprise entre1 et 255. ÉTAPE 4 Cliquez sur Apply. L'acheminement statique IP est enregistré dans le fichier de Configuration d'exécution. RIPv2 Reportez-vous à la section Configuration IP : RIPv2. Liste d'accès Reportez-vous à la section Liste d'accès. VRRP Reportez-vous à la section Configuration IP : VRRP Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 320 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 ARP Le périphérique gère une table ARP (Address Resolution Protocol, protocole de résolution d'adresse) pour tous les périphériques connus résidant sur ses sous-réseaux IP à connexion directe. Un sous-réseau IP à connexion directe désigne un sous-réseau auquel une interface IPv4 du périphérique est connectée. Lorsque le périphérique doit envoyer/acheminer un paquet vers un périphérique local, il effectue une recherche dans la table ARP pour obtenir l'adresse MAC du périphérique en question. La table ARP contient à la fois des adresses statiques et des adresses dynamiques. Les adresses statiques sont configurées manuellement et n'ont pas de limite de validité. Le périphérique crée des adresses dynamiques à partir des paquets ARP qu'il reçoit. Les adresses dynamiques ont une durée de vie limitée, que vous configurez. REMARQUE En mode Couche 2, le mappage adresse IP-adresse MAC de la table ARP permet de transférer le trafic en provenance du périphérique. En mode Couche 3, les informations de mappage servent au routage Couche 3 et au transfert du trafic généré. Pour définir les tables ARP : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > ARP. ÉTAPE 2 Saisissez les paramètres. • Délai d'expiration des entrées ARP : saisissez la durée en secondes pendant laquelle les adresses dynamiques peuvent rester dans la table ARP. Les adresses dynamiques ne sont valides dans la table que pour la durée définie par Délai d'expiration des entrées ARP. Lorsqu'une adresse dynamique arrive à expiration, elle est supprimée de la table et doit être réapprise pour figurer à nouveau dans cette table. • Effacer les entrées de la table ARP : sélectionnez le type des entrées ARP à effacer du système. - Tout : supprime immédiatement toutes les adresses statiques et dynamiques. - Dynamique : supprime immédiatement toutes les adresses dynamiques. - Statique : supprime immédiatement toutes les adresses statiques. - Délai d'expiration normal : supprime les adresses dynamiques en fonction de la durée de vie configurée pour les entrées ARP. ÉTAPE 3 Cliquez sur Appliquer. Les paramètres globaux ARP sont écrits dans le fichier de Configuration d'exécution. La table ARP contient les champs suivants : • Interface : interface IPv4 du sous-réseau IP à connexion directe où réside le périphérique IP. • Adresse IP : adresse IP du périphérique IP. • Adresse MAC : adresse MAC du périphérique IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 321 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) • 19 État : indique si l'entrée a été saisie manuellement ou apprise de manière dynamique. ÉTAPE 4 Cliquez sur Ajouter. ÉTAPE 5 Configurez les paramètres suivants : • Version IP : format d'adresse IP pris en charge par l'hôte. Seul IPv4 est pris en charge. Interface (Couche 3) : vous pouvez configurer une interface IPv4 sur un port, un LAG ou un VLAN. Sélectionnez l'interface voulue dans la liste des interfaces IPv4 configurées sur le périphérique. • Interface (Couche 2) : interface IPv4 sur le périphérique. Pour les périphériques en mode Couche 2, il existe un seul sous-réseau IP à connexion directe, toujours situé sur le VLAN de gestion. Toutes les adresses statiques et dynamiques de la table ARP résident sur le VLAN de gestion. • Adresse IP : saisissez l'adresse IP du périphérique local. • Adresse MAC : saisissez l'adresse MAC du périphérique local. ÉTAPE 6 Cliquez sur Apply. L'entrée ARP est enregistrée dans le fichier de Configuration d'exécution. Proxy ARP La technique de proxy ARP est utilisée par le périphérique situé sur un sous-réseau IP donné pour répondre aux requêtes ARP qui concernent une adresse située hors de ce réseau. REMARQUE La fonction de proxy ARP n'est disponible que lorsque le périphérique est en mode L3. Le proxy ARP reconnaît la destination du trafic et répond en suggérant une autre adresse MAC. Le proxy ARP sert en pratique à rediriger le trafic LAN de l'hôte de destination vers un autre. Le trafic capturé est alors généralement acheminé par le proxy vers la destination prévue via une autre interface ou à l'aide d'un tunnel. Ce processus (une requête ARP demande une adresse IP différente, en vue du proxy, déclenchant une réponse de la part du nœud qui envoie sa propre adresse MAC) est parfois appelé publication. Pour activer le proxy ARP sur toutes les interfaces IP : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Proxy ARP. ÉTAPE 2 Sélectionnez Proxy ARP pour permettre au périphérique de répondre aux requêtes ARP concernant des nœuds distants avec l'adresse MAC du périphérique. ÉTAPE 3 Cliquez sur Apply. Le proxy ARP est activé et le fichier de Configuration d'exécution est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 322 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 UDP Relay/IP Helper (Relais UDP/Assistance IP) La fonction UDP Relay/IP Helper (Relais UDP/Assistance IP) n'est disponible que lorsque le périphérique fonctionne en mode système Couche 3. En général, les commutateurs n'acheminent pas les paquets de diffusion IP d'un sous-réseau IP à un autre. Toutefois, cette fonction permet au périphérique de relayer des paquets de diffusion UDP spécifiques reçus de ses interfaces IPv4 vers des adresses IP de destination spécifiques. Pour configurer le relais des paquets UDP reçus d'une interface IPv4 donnée vers un port UDP de destination particulier, ajoutez un relais UDP : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > UDP Relay/IP Helper (Relais UDP/Assistance IP). ÉTAPE 2 Cliquez sur Ajouter. ÉTAPE 3 Sélectionnez l'Interface IP source vers laquelle le périphérique doit relayer les paquets de diffusion UDP sur la base du port de destination UDP configuré. L'interface choisie doit être l'une des interfaces IPv4 configurées sur le périphérique. ÉTAPE 4 Saisissez le numéro du port UDP de destination des paquets que le périphérique doit relayer. Sélectionnez un port connu dans la liste déroulante ou cliquez sur la case d'option du port pour entrer le numéro manuellement. ÉTAPE 5 Saisissez l'adresse IP de destination qui doit recevoir les paquets UDP relayés. Si ce champ contient 0.0.0.0, les paquets UDP sont éliminés. Si ce champ contient 255.255.255.255, des paquets UDP sont envoyés à toutes les interfaces IP. ÉTAPE 6 Cliquez sur Apply. Les paramètres des relais UDP sont écrits dans le fichier de Configuration d'exécution. Surveillance et relais DHCPv4 Surveillance DHCPv4 La surveillance DHCP est une méthode de sécurité qui empêche la réception de mauvais paquets de réponses DHCP et qui consigne les adresses DHCP. Pour ce faire, elle effectue une distinction entre les ports sécurisés ou non sécurisés du périphérique. Un port sécurisé est un port qui est connecté à un serveur DHCP et qui est autorisé à attribuer des adresses DHCP. Les messages DHCP reçus sur des ports sécurisés peuvent transiter par le périphérique. Un port non sécurisé est un port qui ne peut pas attribuer d'adresses DHCP. Par défaut, tous les ports sont considérés comme étant non sécurisés jusqu'à ce que vous déclariez le contraire (dans la page Paramètres de l'interface de surveillance DHCP). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 323 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Relais DHCPv4 Le relais DHCP relaye les paquets DHCP vers le serveur DHCP. DHCPv4 dans la Couche 2 et la Couche 3 En mode système Couche 2, le périphérique relaye les messages DHCP provenant de VLAN sur lesquels le relais DHCP a été activé. En mode système Couche 3, le périphérique peut également relayer les messages DHCP provenant de VLAN qui ne possèdent pas d'adresses IP. Dès que le relais DHCP est activé sur un VLAN sans adresse IP, l'option 82 est insérée automatiquement. Cette insertion se trouve dans le VLAN en question et n'influence pas la gestion globale de l'insertion de l'option 82. Relais DHCP transparent Si vous utilisez un relais DHCP transparent et un agent de relais DHCP externe, procédez comme suit : • Activez la surveillance DHCP. • Activez l'insertion de l'option 82. • Désactivez le relais DHCP. Dans le cas d'un relais DHCP standard : • Activez le relais DHCP. • Vous n'avez pas besoin d'activer l'insertion de l'option 82. Option 82 L'option 82 (Option des informations sur l'agent de relais DHCP) transfère des informations sur le port et l'agent à un serveur DHCP central, en indiquant où une adresse IP attribuée se connecte physiquement au réseau. L'objectif global de l'option 82 est d'aider le serveur DHCP à choisir le meilleur sous-réseau IP (groupe de réseaux) pour l'obtention d'une adresse IP. Les options suivantes sont disponibles au niveau du périphérique : • Insertion DHCP : ajoute des informations sur l'option 82 aux paquets qui ne disposent pas d'informations étrangères sur l'option 82. • Intercommunication DHCP : transfère ou rejette des paquets DHCP qui contiennent des informations sur l'option 82 et qui proviennent de ports non sécurisés. Sur les ports sécurisés, les paquets DHCP contenant des informations sur l'option 82 sont toujours transférés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 324 19 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) La table suivante affiche le flux de paquets passant par le relais DHCP, la surveillance DHCP et les modules Option 82 : Les cas suivants peuvent se présenter : • Le client DHCP et le serveur DHCP sont connectés au même VLAN. Dans ce cas, un pontage standard transmet les messages DHCP entre le client et le serveur DHCP. • Le client DHCP et le serveur DHCP sont connectés à des VLAN différents. Dans ce cas, seul le relais DHCP est en mesure de diffuser les messages DHCP entre le client et le serveur DHCP. Les messages DHCP de monodiffusion sont transmis par des routeurs standard. Par conséquent, si le relais DHCP est activé sur un VLAN sans adresse IP ou si le périphérique n'est pas un routeur (périphérique Couche 2), vous devrez vous équiper d'un routeur externe. Seul le relais DHCP relaye des messages DHCP vers un serveur DHCP. Interactions entre la surveillance DHCPv4, le relais DHCPv4 et l'option 82 Les tableaux suivants décrivent le comportement du périphérique en fonction des différentes combinaisons entre surveillance DHCP, relais DHCP et option 82. Vous découvrirez comment les paquets de requêtes DHCP sont traités quand la surveillance DHCP n'est pas activée et quand le relais DHCP est activé. Insertion de l'option 82 désactivée Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet est envoyé sans l'option 82 Le paquet est envoyé avec l'option 82 d'origine Relais : insère l'option 82 Relais : ignore le paquet Pont : l'option 82 n'est pas insérée Pont : le paquet est envoyé avec l'option 82 d'origine Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 325 19 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Insertion de l'option 82 activée Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Relais : le paquet est envoyé avec l'option 82 Relais : le paquet est envoyé avec l'option 82 Pont : l'option 82 n'est pas envoyée Le paquet est envoyé avec l'option 82 d'origine Pont : l'option 82 n'est pas envoyée Relais : ignore le paquet Pont : le paquet est envoyé avec l'option 82 d'origine Vous découvrirez comment les paquets de requêtes DHCP sont traités quand la surveillance DHCP et le relais DHCP sont activés : Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Insertion de l'option 82 désactivée Le paquet est envoyé sans l'option 82 Le paquet est envoyé avec l'option 82 d'origine Relais : insère l'option 82 Relais : ignore le paquet Pont : l'option 82 n'est pas insérée Pont : le paquet est envoyé avec l'option 82 d'origine Insertion de l'option 82 activée Relais : le paquet est envoyé avec l'option 82 Le paquet est envoyé avec l'option 82 d'origine Relais : le paquet est envoyé avec l'option 82 Relais : ignore le paquet Pont : l'option 82 est ajoutée (si le port est sécurisé, se comporte comme si la surveillance DHCP n'était pas activée) Pont : l'option 82 est insérée (si le port est sécurisé, se comporte comme si la surveillance DHCP n'était pas activée) Pont : le paquet est envoyé avec l'option 82 d'origine Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 326 19 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Vous découvrirez comment les paquets de réponses DHCP sont traités quand la surveillance DHCP est désactivée : Insertion de l'option 82 désactivée Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet est envoyé sans l'option 82 Le paquet est envoyé avec l'option 82 d'origine Relais : ignore l'option 82 Relais : Pont : le paquet est envoyé sans l'option 82 1. Si la réponse provient du périphérique, le paquet est envoyé sans l'option 82 2. Si la réponse ne provient pas du périphérique, le paquet est ignoré Pont : le paquet est envoyé avec l'option 82 d'origine Insertion de l'option 82 activée Le paquet est envoyé sans l'option 82 Relais : le paquet est envoyé sans l'option 82 Pont : le paquet est envoyé avec l'option 82 Relais : ignore l'option 82 Pont : le paquet est envoyé sans l'option 82 Relais : le paquet est envoyé sans l'option 82 Pont : le paquet est envoyé avec l'option 82 Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 327 19 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Vous découvrirez comment les paquets de réponses DHCP sont traités quand la surveillance DHCP et le relais DHCP sont activés Insertion de l'option 82 désactivée Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet arrive sans l'option 82 Le paquet arrive avec l'option 82 Le paquet est envoyé sans l'option 82 Le paquet est envoyé avec l'option 82 d'origine Relais : ignore l'option 82 Relais Pont : le paquet est envoyé sans l'option 82 1. Si la réponse provient du périphérique, le paquet est envoyé sans l'option 82 2. Si la réponse ne provient pas du périphérique, le paquet est ignoré Pont : le paquet est envoyé avec l'option 82 d'origine Insertion de l'option 82 activée Le paquet est envoyé sans l'option 82 Le paquet est envoyé sans l'option 82 Relais : ignore l'option 82 Pont : le paquet est envoyé sans l'option 82 Le paquet est envoyé sans l'option 82 Base de données de liaison de surveillance DHCP La surveillance DHCP crée une base de données (appelée base de données de liaison de surveillance DHCP) à partir des informations provenant des paquets DHCP entrant dans le périphérique via des ports sécurisés. Cette base de données contient les informations suivantes : port d'entrée, VLAN d'entrée, adresse MAC du client et adresse IP du client le cas échéant. La base de données de liaison de surveillance DHCP est également utilisée par les fonctionnalités de protection de la source IP et d'inspection ARP dynamique pour déterminer les sources légitimes des paquets. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 328 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Ports sécurisés DHCP Les ports DHCP peuvent être sécurisés ou non sécurisés. Par défaut, tous les ports sont non sécurisés. Pour créer un port sécurisé, accédez à la page Paramètres de l'interface de surveillance DHCP. Les paquets transitant par ces ports sont automatiquement transférés. Les paquets passant par des ports sécurisés sont utilisés pour créer la base de données de liaison et sont gérés comme décrit ci-dessous. Si la surveillance DHCP n'est pas activée, tous les ports sont sécurisés par défaut. Création de la base de données de liaison de surveillance DHCP Vous verrez ici comment le périphérique gère les paquets DHCP lorsque le client et le serveur DHCP sont sécurisés. La base de données de liaison de surveillance DHCP est créée dans le cadre de ce processus. Traitement du paquet sécurisé DHCP Voici la liste des actions entreprises : ÉTAPE 1 Le périphérique envoie DHCPDISCOVER pour demander une adresse IP ou DHCPREQUEST pour accepter une adresse IP et la louer. ÉTAPE 2 Le périphérique surveille le paquet et ajoute des informations IP-MAC à la base de données de liaison de surveillance DHCP. ÉTAPE 3 Le périphérique transfère les paquets DHCPDISCOVER ou DHCPREQUEST. ÉTAPE 4 Le serveur DHCP envoie un paquet DHCPOFFER pour proposer une adresse IP, DHCPACK pour en affecter une ou DHCPNAK pour rejeter la demande d'adresse. ÉTAPE 5 Le périphérique surveille le paquet. Si une entrée correspondant au paquet existe dans la table de liaison de surveillance DHCP, le périphérique la remplace par la liaison IP-MAC à la réception de DHCPACK. ÉTAPE 6 Le périphérique transfère DHCPOFFER, DHCPACK ou DHCPNAK. Vous découvrirez ci-dessous comment les paquets DHCP sont traités au niveau des ports sécurisés et non sécurisés. La base de données de liaison de surveillance DHCP est stockée dans la mémoire non volatile. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 329 19 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Traitement des paquets de surveillance DHCP Type de paquet Arrivée via une interface d'entrée non sécurisée Arrivée via une interface d'entrée sécurisée DHCPDISCOVER Transfert vers des interfaces sécurisées uniquement. Transfert vers des interfaces sécurisées uniquement. DHCPOFFER Filtre. Transfert du paquet en fonction des informations DHCP. Si l'adresse de destination est inconnue, le paquet est filtré. DHCPREQUEST Transfert vers des interfaces sécurisées uniquement. Transfert vers des interfaces sécurisées uniquement. DHCPACK Filtre. Identique à DHCPOFFER et une entrée est ajoutée à la base de données de liaison de surveillance DHCP. DHCPNAK Filtre. Identique à DHCPOFFER. Suppression de l'entrée le cas échéant. DHCPDECLINE Confirmation de la présence des informations dans la base de données. Si les informations existent et ne correspondent pas à l'interface sur laquelle le message a été reçu, le paquet est filtré. Sinon, le paquet est transmis aux interfaces sécurisées uniquement et l'entrée est supprimée de la base de données. Transfert vers des interfaces sécurisées uniquement Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 330 19 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) Type de paquet Arrivée via une interface d'entrée non sécurisée Arrivée via une interface d'entrée sécurisée DHCPRELEASE Identique à DHCPDECLINE. Identique à DHCPDECLINE. DHCPINFORM Transfert vers des interfaces sécurisées uniquement. Transfert vers des interfaces sécurisées uniquement. DHCPLEASEQUERY Filtre. Transfert. Surveillance DHCP avec relais DHCP Si la surveillance et le relais DHCP sont activés globalement, alors si la surveillance DHCP est active sur le VLAN du client, les règles de surveillance DHCP stockées dans la base de données de liaison de surveillance DHCP sont appliquées et cette base de données est mise à jour sur le VLAN du serveur DHCP et du client pour les paquets relayés. Configuration DHCP par défaut Vous découvrirez ici les options par défaut de la surveillance et du relais DHCP. Options DHCP par défaut Option État par défaut Surveillance DHCP Activée Insertion de l'option 82 Désactivée Intercommunication de l'option 82 Désactivée Vérifier l'adresse MAC Activée Base de données de liaison de surveillance DHCP de secours Désactivée Relais DHCP Désactivé Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 331 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Configuration du workflow DHCP Pour configurer le relais et la surveillance DHCP : ÉTAPE 1 Activez la surveillance DHCP et/ou le relais DHCP dans la page Configuration IP > DHCP > Propriétés ou dans la page Sécurité > Surveillance DHCP > Propriétés. ÉTAPE 2 Définissez les interfaces sur lesquelles la surveillance DHCP est activée dans la page Configuration IP > DHCP > Paramètres d'interface. ÉTAPE 3 Indiquez si les interfaces sont sécurisées ou non sécurisées dans la page Configuration IP > DHCP > Interface de surveillance DHCP. ÉTAPE 4 Facultatif. Ajoutez des entrées à la base de données de liaison de surveillance DHCP dans la page Configuration IP > DHCP > Base de données de liaison de surveillance DHCP. Surveillance/Relais DHCP Cette section passe en revue l'implémentation des fonctionnalités de relais et de surveillance DHCP via l'interface Web. Propriétés Pour configurer le relais DHCP, la surveillance DHCP et l'option 82 : ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Relais/fureteur DHCP > Propriétés ou cliquez sur Sécurité > Surveillance DHCP. Renseignez les champs suivants : • Option 82 : sélectionnez Option 82 pour insérer des informations sur l'option 82 dans les paquets. • Relais DHCP : sélectionnez cette option pour activer le relais DHCP. • État de la surveillance DHCP : sélectionnez cette option pour activer la surveillance DHCP. En cas d'activation de la surveillance DHCP, les options suivantes sont disponibles : - Option 82 Pass Through : sélectionnez cette option pour conserver des informations étrangères sur l'option 82 lors du transfert de paquets. - Vérifier l'adresse MAC : sélectionnez cette option pour vérifier que l'adresse MAC source de l'entête Couche 2 correspond à l'adresse matérielle du client telle qu'elle apparaît dans l'en-tête DHCP (partie de la charge utile) sur les ports DHCP non sécurisés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 332 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) - 19 Base de données de secours : sélectionnez cette option pour sauvegarder la base de données de liaison de surveillance DHCP sur la mémoire Flash du périphérique. - Intervalle d'actu. de base de données de secours : indiquez la fréquence des sauvegardes de la base de données de liaison de surveillance DHCP (si l'option Base de données de secours est sélectionnée). ÉTAPE 2 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. ÉTAPE 3 Pour définir un serveur DHCP, cliquez sur Ajouter. ÉTAPE 4 Saisissez l'adresse IP du serveur DHCP et cliquez sur Appliquer. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Paramètres d'interface En mode Couche 2, la surveillance et le relais DHCP peuvent uniquement être activés sur des VLAN avec adresses IP. En mode Couche 3, la surveillance et le relais DHCP peuvent être activés sur n'importe quelle interface avec adresse IP et sur des VLAN avec ou sans adresse IP. Pour activer la surveillance ou le relais DHCP sur des interfaces spécifiques : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Surveillance/Relais DHCP > Paramètres d'interface. ÉTAPE 2 Pour activer le relais ou la surveillance DHCP sur une interface, cliquez sur Ajouter. ÉTAPE 3 Sélectionnez l'interface et les fonctionnalités à activer : Relais DHCP ou Surveillance DHCP. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Interfaces sécurisées de surveillance DHCP Les paquets provenant de ports ou LAG non sécurisés sont contrôlés par rapport à la base de données de liaison de surveillance DHCP (voir la page Base de données de liaison de surveillance DHCP). Par défaut, les interfaces sont sécurisées. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 333 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Pour désigner une interface non sécurisée : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Surveillance/Relais DHCP > Interfaces sécurisées de surveillance DHCP. ÉTAPE 2 Sélectionnez l'interface et cliquez sur Modifier. ÉTAPE 3 Sélectionnez Interface sécurisée (Oui ou Non). ÉTAPE 4 Cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de Configuration d'exécution. Base de données de liaison de surveillance DHCP Consultez la section Création de la base de données de liaison de surveillance DHCP pour savoir comment les entrées dynamiques sont ajoutées à la base de données de liaison de surveillance DHCP. Veuillez noter les points suivants au sujet de la maintenance de la base de données de liaison de surveillance DHCP : • Le périphérique ne met pas à jour la base de données de liaison de surveillance DHCP lorsqu'une station est déplacée vers une autre interface. • Si un port est en panne, les entrées de ce port ne sont pas supprimées. • Lorsque la surveillance DHCP est désactivée pour un VLAN, les entrées de liaison recueillies pour ce VLAN sont supprimées. • Si la base de données est pleine, la surveillance DHCP continue de transférer des paquets, mais aucune nouvelle entrée n'est créée. Notez que si la protection de la source IP et/ou l'inspection ARP sont activées, les clients qui ne sont pas inscrits dans la base de données de liaison de surveillance DHCP ne peuvent pas se connecter au réseau. Pour ajouter des entrées à la base de données de liaison de surveillance DHCP : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Surveillance/Relais DHCP > Base de données de liaison de surveillance DHCP. Pour afficher un sous-ensemble des entrées de la base de données de liaison de surveillance DHCP, saisissez les critères de recherche appropriés et cliquez sur OK. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 334 Configuration IP IPv4 Management and Interfaces (Interfaces et gestion IPv4) 19 Les champs de la base de données de liaison de surveillance DHCP sont affichés. Ils sont décrits sur la page Ajouter, à l'exception du champ Protection de la source IP : • • État : - Actif : la fonction Protection de la source IP est active sur le périphérique. - Inactif : la fonction Protection de la source IP n'est pas active sur le périphérique. Motif : - Sans problème - Sans ressource - Sans VLAN de surveillance - Confiance de port ÉTAPE 2 Pour ajouter une entrée, cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • ID VLAN : VLAN sur lequel le paquet est attendu. • Adresse MAC : adresse MAC du paquet. • Adresse IP : adresse IP du paquet. • Interface : l'unité/le logement/l'interface qui doit réceptionner le paquet. • Type : ce champ peut prendre les valeurs suivantes : • - Dynamique : l'entrée a une durée de bail limitée. - Statique : l'entrée a été configurée pour être statique. Durée de bail : si l'entrée est dynamique, saisissez la durée pendant laquelle l'entrée doit être active dans la base de données DHCP. S'il n'y a pas de durée de bail, choisissez Infini. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont définis et le commutateur est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 335 19 Configuration IP Serveur DHCP Serveur DHCP La fonction du serveur DHCPv4 vous permet de configurer le périphérique en tant que serveur DHCPv4. Un serveur DHCPv4 sert à attribuer une adresse IPv4 et d'autres informations à un autre périphérique (client DHCP) Le serveur DHCPv4 attribue des adresses IPv4 à partir d'un groupe d'adresses IPv4 défini par l'utilisateur. Les modes suivants sont possibles : • Static Allocation (Allocation statique) : l'adresse matérielle ou l'identifiant client d'un hôte est mappée manuellement sur une adresse IP. Cette opération s'effectue sur la page Hôtes statiques. • Dynamic Allocation (Allocation dynamique) : un client obtient une adresse IP allouée pour une certaine durée (qui peut être illimitée). Si le client DHCP ne renouvelle pas l'adresse IP allouée, cette adresse IP expire à la fin de cette durée et le client doit faire une nouvelle demande d'adresse IP. Cette opération s'effectue sur la page Groupes de réseaux. Dépendances entre les fonctions • Il est impossible de configurer en même temps le serveur DHCP et le client DHCP sur le système, à savoir : Si le client DHCP est activé sur une interface, il n'est pas possible d'activer le serveur DHCP globalement. • Lorsque le relais DHCPv4 est activé, il est impossible de configurer le périphérique en tant que serveur DHCP. Configurations et paramètres par défaut • Le périphérique n'est pas configuré comme serveur DHCPv4 par défaut. • Lorsque le périphérique est activé comme serveur DHCPv4, aucun groupe d'adresses réseau n'est défini par défaut. Flux de travail d'activation de la fonction serveur DHCP Pour configurer le périphérique en tant que serveur DHCPv4 : ÉTAPE 1 Activez le périphérique comme serveur DHCP via DHCP Server (Serveur DHCP) > page Propriétés. ÉTAPE 2 Si vous ne souhaitez pas affecter certaines adresses IP, configurez-les à l'aide de la page Excluded Addresses (Adresses exclues). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 336 19 Configuration IP Serveur DHCP ÉTAPE 3 Définissez jusqu'à 8 groupes d'adresses IP réseau à l'aide de la page Network Pools (Groupes réseau). ÉTAPE 4 Configurez les clients auxquels attribuer une adresse IP permanente à l'aide de la page Static Hosts (Hôtes statiques). ÉTAPE 5 Configurez les options DHCP requises sur la page Options DHCP. Vous pouvez y définir les valeurs à renvoyer pour chaque option DHCP appropriée. ÉTAPE 6 Ajoutez une interface IP dans la plage de l'un des groupes DHCP sur la page Groupes de réseaux. Le périphérique répond aux requêtes DHCP depuis cette interface IP. Par exemple : si la plage du groupe est 1.1.1.1 -1.1.1.254, ajoutez une adresse IP contenue dans cette plage pour que les clients directement connectés reçoivent une adresse IP du groupe configuré. Effectuez cette opération sur la page Configuration IP > Interface IPv4. ÉTAPE 7 Affichez les adresses IP attribuées à l'aide de la page Address Binding (Liaison d'adresses). Les adresses IP peuvent être supprimées sur cette page. Serveur DHCPv4 Pour configurer le périphérique en tant que serveur DHCPv4 : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Serveur DHCP > Propriétés pour afficher la page Propriétés. ÉTAPE 2 Sélectionnez Activer pour configurer le périphérique comme serveur DHCP. ÉTAPE 3 Cliquez sur Apply. Le périphérique fonctionne immédiatement en tant que serveur DHCP. Toutefois, il n'attribue les adresses IP aux clients qu'une fois un groupe créé. Groupe de réseaux Lorsqu'un périphérique est utilisé comme serveur DHCP, un ou plusieurs groupes d'adresses IP doivent être définis à partir desquels le périphérique attribuera les adresses IP aux clients. Chaque groupe de réseaux comporte une plage d'adresses appartenant à un sous-réseau spécifique. Ces adresses sont attribuées à différents clients dans ce sous-réseau. Lorsqu'un client demande une adresse IP, le périphérique utilisé en tant que serveur DHCP attribue une adresse IP selon les éléments suivants : • Directly-attached Client (Client à connexion directe) : le périphérique attribue une adresse du groupe de réseaux dont le sous-réseau correspond au sous-réseau configuré sur l'interface IP du périphérique à partir duquel la demande DHCP a été reçue. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 337 19 Configuration IP Serveur DHCP • Client distant : le périphérique prend une adresse IP du groupe de réseaux dont le premier sousréseau de relais directement connecté au client correspond au sous-réseau configuré sur l'une des interfaces IP de périphérique. - Si le message est arrivé directement (et non via le relais DHCP), le groupe est un groupe Local qui appartient à l'un des sous-réseaux IP définis sur l'interface d'entrée de couche 2. Dans ce cas, le masque IP du groupe équivaut au masque IP de l'interface IP et les adresses IP minimum et maximum du groupe appartiennent au sous-réseau IP. - Si le message est arrivé via le relais DHCP, l'adresse utilisée appartient au sous-réseau IP spécifié par l'adresse IP minimum et le masque IP du groupe. Il s'agit alors d'un groupe distant. Vous pouvez définir jusqu'à huit groupes de réseaux. Pour créer un groupe d'adresses IP et définir leurs durées de bail : ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Serveur DHCP > Groupe de réseaux pour afficher la page Groupes de réseaux. Les groupes réseau précédemment définis s'affichent. ÉTAPE 2 Cliquez sur Ajouter pour définir un nouveau groupe réseau. Remarque : vous pouvez renseigner soit les champs Subnet IP Address (Adresse IP de sousréseau) et Masque soit les champs Masque, Address Pool Start (Début de groupe d'adresses) et Address Pool End (Fin de groupe d'adresses). ÉTAPE 3 Renseignez les champs suivants : • Pool Name (Nom du groupe) : saisissez le nom du groupe. • Subnet IP Address (Adresse IP de sous-réseau) : saisissez le sous-réseau où réside le groupe réseau. • Masque : saisissez l'une des informations suivantes : - Masque réseau : vérifiez et saisissez le masque réseau du groupe. - Longueur du préfixe : vérifiez et saisissez le nombre de bits compris dans le préfixe de l’adresse. • Address Pool Start (Début de groupe d'adresses) : saisissez la première adresse IP dans la plage du groupe de réseaux. • Address Pool End (Fin de groupe d'adresses) : saisissez la dernière adresse IP dans la plage du groupe réseau. • Durée de bail : saisissez sur quelle durée un client DHCP peut utiliser l'adresse IP de ce groupe. Vous pouvez configurer une durée de bail jusqu'à 49 710 jours ou une durée illimitée. - Infini : la durée du bail n'est pas limitée. - Jours : durée du bail en jours. Ce délai doit être compris entre 0 et 49 710 jours. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 338 Configuration IP Serveur DHCP 19 - Heures : durée du bail en heures. Vous devez tout d'abord remplir le champ Jours avant de pouvoir renseigner les heures. - Minutes : durée du bail en minutes. Vous devez tout d'abord remplir les champs Jours et Heures avant de pouvoir renseigner les minutes. • Default Router IP Address (Option 3) (Adresse IP de routeur par défaut (option 3)) : saisissez le routeur par défaut pour le client DHCP. • Domain Name Server IP Address (Option 6) (Adresse IP de serveur de nom de domaines (option 6)) : sélectionnez l'un des serveurs DNS du périphérique (si déjà configuré) ou sélectionnez Autre et saisissez l'adresse IP du serveur DNS disponible pour le client DHCP. • Domain Name (Option 15) (Nom de domaine (option 15)) : saisissez le nom de domaine pour un client DHCP. • Adresse IP de serveur NetBIOS WINS (option 44) : saisissez le serveur de nom NetBIOS WINS disponible pour un client DHCP. • NetBIOS Node Type (Option 46) (Type de nœud NetBIOS (option 46)) : sélectionnez comment résoudre le nom NetBIOS. Les types de nœud suivants sont valides : - Hybride : une combinaison hybride de nœud frontière et de nœud périphérique est utilisée. Lorsque vous configurez l'utilisation du nœud hybride, un ordinateur tente toujours le nœud périphérique d'abord puis ensuite le nœud frontière, si le nœud périphérique échoue. Il s'agit de la valeur par défaut. - Mixte : une combinaison de communications de nœud frontière et de nœud périphérique est utilisée pour enregistrer et résoudre les noms NetBIOS. Le nœud mixte utilise d'abord le nœud frontière puis ensuite, si nécessaire, le nœud périphérique. Il est préférable de ne pas choisir le nœud mixte pour des réseaux plus grands car sa préférence pour les diffusions de nœud frontière augmente le trafic réseau. - Peer-to-Peer (Homologue) : les communications point à point avec le serveur de nom NetBIOS sont utilisées pour enregistrer et traduire les noms d'ordinateur en adresses IP. - Broadcast (Diffusion) : les messages de diffusion IP Broadcast sont utilisés pour enregistrer et traduire les noms NetBIOS en adresses IP. • SNTP Server IP Address (Option 4) (Adresse IP du serveur SNTP (option 4)) : sélectionnez l'un des serveurs DNS du périphérique (si déjà configuré) ou sélectionnez Autre et saisissez l'adresse IP du serveur horaire pour le client DHCP. • File Server IP Address (siaddr) (Adresse IP du serveur de fichiers (siaddr)) : saisissez l'adresse IP du serveur TFTP/SCP à partir duquel le fichier de configuration est téléchargé. • Nom d'hôte de serveur de fichier (sname/option 66) : saisissez le nom du serveur TFTP/SCP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 339 19 Configuration IP Serveur DHCP • Nom du fichier de configuration (fichier/option 67) : saisissez le nom du fichier utilisé comme fichier de configuration. ÉTAPE 4 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Adresses exclues Par défaut, le serveur DHCP suppose que toutes les adresses du groupe peuvent être attribuées aux clients. Il est possible d'exclure une seule adresse IP ou une plage d'adresses IP. Les adresses exclues sont exclues de tous les groupes DHCP. Pour définir une plage d'adresses exclues : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > DHCP Server (Serveur DHCP) > Excluded Addresses (Adresses exclues) pour afficher la page Excluded Addresses (Adresses exclues). Les adresses IP précédemment définies s'affichent. ÉTAPE 2 Pour ajouter une plage d'adresses IP à exclure, cliquez sur Ajouter et renseignez les champs : • Adresse IP de début : première adresse IP dans la plage des adresses IP exclues. • End IP Address (Adresse IP de fin) : dernière adresse IP dans la plage des adresses IP exclues. ÉTAPE 3 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Hôtes statiques Vous souhaitez peut-être allouer une adresse IP permanente qui ne change jamais à certains clients DHCP. Le client est alors connu en tant qu'hôte statique. Pour attribuer manuellement une adresse IP permanente à un client spécifique : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > DHCP Server (Serveur DCHP) > Static Hosts (Hôtes statiques) pour afficher la page Static Hosts (Hôtes statiques). Les hôtes statiques s'affichent. ÉTAPE2 Pour ajouter un hôte statique, cliquez sur Ajouter et renseignez les champs suivants : • Adresse IP : saisissez l'adresse IP qui a été attribuée de façon statique à l'hôte. • Nom d'hôte : saisissez le nom de l'hôte qui peut être une chaîne de symboles et un entier. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 340 Configuration IP Serveur DHCP • • 19 Masque : saisissez le masque de réseau de l'hôte statique. - Masque réseau : vérifiez et saisissez le masque réseau de l'hôte statique. - Longueur du préfixe : vérifiez et saisissez le nombre de bits compris dans le préfixe de l’adresse. Type d'identifiant : saisissez comment identifier l'hôte statique spécifique. - Identifiant de client : saisissez une identification unique du client spécifié dans une notation hexadécimale, comme : 01b60819681172. ou : - Adresse MAC : saisissez l'adresse MAC du client. • Nom du client : saisissez le nom de l'hôte statique à l'aide d'un jeu de caractères ASCII standard. Le nom du client ne doit pas contenir le nom de domaine. • Default Router IP Address (Option 3) (Adresse IP de routeur par défaut (option 3)) : saisissez le routeur par défaut pour l'hôte statique. • Domain Name Server IP Address (Option 6) (Adresse IP de serveur de nom de domaines (option 6)) : sélectionnez l'un des serveurs DNS du périphérique (si déjà configuré) ou sélectionnez Autre et saisissez l'adresse IP du serveur DNS disponible pour le client DHCP. • Domain Name (Option 15) (Nom de domaine (option 15)) : saisissez le nom de domaine pour l'hôte statique. • Adresse IP de serveur NetBIOS WINS (option 44) : saisissez le serveur de nom NetBIOS WINS disponible pour l'hôte statique. • NetBIOS Node Type (Option 46) (Type de nœud NetBIOS (option 46)) : sélectionnez comment résoudre le nom NetBIOS. Les types de nœud suivants sont valides : - Hybride : une combinaison hybride de nœud frontière et de nœud périphérique est utilisée. Lorsque vous configurez l'utilisation du nœud hybride, un ordinateur tente toujours le nœud périphérique d'abord puis ensuite le nœud frontière, si le nœud périphérique échoue. Il s'agit de la valeur par défaut. - Mixte : une combinaison de communications de nœud frontière et de nœud périphérique est utilisée pour enregistrer et résoudre les noms NetBIOS. Le nœud mixte utilise d'abord le nœud frontière puis ensuite, si nécessaire, le nœud périphérique. Il est préférable de ne pas choisir le nœud mixte pour des réseaux plus grands car sa préférence pour les diffusions de nœud frontière augmente le trafic réseau. - Peer-to-Peer (Homologue) : les communications point à point avec le serveur de nom NetBIOS sont utilisées pour enregistrer et traduire les noms d'ordinateur en adresses IP. - Broadcast (Diffusion) : les messages de diffusion IP Broadcast sont utilisés pour enregistrer et traduire les noms NetBIOS en adresses IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 341 19 Configuration IP Serveur DHCP • SNTP Server IP Address (Option 4) (Adresse IP du serveur SNTP (option 4)) : sélectionnez l'un des serveurs DNS du périphérique (si déjà configuré) ou sélectionnez Autre et saisissez l'adresse IP du serveur horaire pour le client DHCP. • File Server IP Address (siaddr) (Adresse IP du serveur de fichiers (siaddr)) : saisissez l'adresse IP du serveur TFTP/SCP à partir duquel le fichier de configuration est téléchargé. • Nom d'hôte de serveur de fichier (sname/option 66) : saisissez le nom du serveur TFTP/SCP. • Nom du fichier de configuration (fichier/option 67) : saisissez le nom du fichier utilisé comme fichier de configuration. ÉTAPE 3 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Options DHCP Lorsque le périphérique fonctionne en tant que serveur DHCP, les options DHCP peuvent être configurées par l'intermédiaire de l'option HEX. Une description de ces options est disponible dans RFC2131. La configuration de ces options détermine la réponse envoyée aux clients DHCP dont les paquets incluent une demande (via l'option 55) pour les options DHCP configurées. Exemple : l'option DHCP 66 est configurée avec le nom d'un serveur TFTP sur la page Options DHCP. Lorsqu'un paquet DHCP du client est reçu et qu'il contient l'option 66, le serveur TFTP est renvoyé en tant que valeur de l'option 66. Pour configurer une ou plusieurs options DHCP : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > Serveur DHCP > Options DHCP. Les options DHCP précédemment configurées sont affichées. ÉTAPE 2 Pour configurer une option qui n'a pas encore été configurée et renseigner le champ : • DHCP Server Pool Name equals to (Nom de groupe de serveurs DHCP égal à) : sélectionnez l'un des groupes d'adresses réseau définis sur la page Groupes de réseaux. ÉTAPE 3 Cliquez sur Ajouter et renseignez les champs : • Code : entrez le code d'option DHCP. • Type : les cases d'option de ce champ changent en fonction du type du paramètre d'options DHCP. Sélectionnez l'un des codes suivants, puis entrez la valeur du paramètre d'options DHCP : - Hex : sélectionnez cet élément si vous souhaitez entrer la valeur hexadécimale du paramètre pour l'option DHCP. Une valeur hexadécimale peut être fournie à la place de tout autre type de valeur. Par exemple, vous pouvez spécifier une valeur hexadécimale d'une adresse IP au lieu de l'adresse IP elle-même. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 342 19 Configuration IP Serveur DHCP Aucune validation de la valeur hexadécimale n'est effectuée. Par conséquent, si vous entrez une valeur hexadécimale qui représente une valeur incorrecte, aucune erreur n'est fournie et le client est susceptible de ne pas pouvoir traiter le paquet DHCP à partir du serveur. - IP : sélectionnez cette option pour entrer une adresse IP si elle est appropriée à l'option DHCP sélectionnée. - Liste IP : entrez la liste des adresses IP en les séparant par une virgule. - Entier : sélectionnez cette option afin de saisir une valeur entière du paramètre pour l'option DHCP sélectionnée. - Booléen : sélectionnez cette option si le paramètre de l'option DHCP sélectionnée est Booléen. • Valeur booléenne : si le type est Booléen, sélectionnez la valeur à renvoyer : True ou False. • Valeur : si le type n'est pas Booléen, entrez la valeur à envoyer pour ce code. • Description : saisissez une description à des fins de documentation. ÉTAPE 4 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Liaison d'adresse Utilisez la page Address Binding (Liaison d'adresses) pour afficher et supprimer les adresses IP attribuées par le périphérique ainsi que leurs adresses MAC correspondantes. Pour afficher et/ou supprimer les liaisons d'adresses : ÉTAPE 1 Cliquez sur Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion IPv4) > DHCP Server (Serveur DHCP) > Address Binding (Liaison d'adresses) pour afficher la page Address Binding (Liaison d'adresses). Les champs suivants pour les liaisons d'adresses s'affichent : • Adresse IP : adresses IP des clients DHCP. • Type d'adresse : indique si l'adresse du client DHCP apparaît comme une adresse MAC ou à l'aide de l'identificateur de client. • MAC Address/Client Identifier (Adresse MAC/Identificateur de client) : identification unique du client spécifiée comme adresse MAC ou dans une notation hexadécimale ; par exemple : 01b60819681172. • Lease Expiration (Expiration du bail) : date et heure d'expiration du bail de l'adresse IP de l'hôte ou Infini si la durée du bail a été définie ainsi. • Type : manière dont l'adresse IP a été attribuée au client. Les options possibles sont les suivantes : - Statique : l'adresse matérielle de l'hôte a été mappée sur une adresse IP. - Dynamique : l'adresse IP obtenue de façon dynamique du périphérique appartient au client pour une durée spécifiée. L'adresse IP expire à la fin de cette durée et le client doit demander une autre adresse IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 343 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 État : les options disponibles sont les suivantes : - Allocated (Attribuée) : l'adresse IP a été attribuée. Lorsqu'un hôte statique est configuré, sont état est attribué. - Declined (Refusée) : l'adresse IP a été fournie mais pas acceptée. Elle n'est donc pas attribuée. - Expired (Expirée) : le bail de l'adresse IP a expiré. - Pre-Allocated (Préattribuée) : une entrée a l'état Préattribuée entre le moment où elle est fournie et le moment où le ACK (accusé de réception) DHCP est envoyé par le client. Elle devient alors attribuée. ÉTAPE 2 Cliquez sur Supprimer. Le fichier de configuration de fonctionnement est mis à jour. IPv6 Management and Interfaces (Interfaces et gestion IPv6) Internet Protocol version 6 (IPv6) est un protocole de couche réseau utilisé dans les communications entre réseaux à commutation de paquets. IPv6 a été conçu pour remplacer IPv4, le protocole Internet le plus souvent déployé. IPv6 apporte davantage de souplesse dans l'affectation des adresses IP car la taille des adresses passe de 32 à 128 bits. Les adresses IPv6 sont constituées de huit groupes de quatre chiffres hexadécimaux, par exemple FE80:0000:0000:0000:0000:9C00:876A:130B. La forme abrégée, dans laquelle un groupe de zéros peut être ignoré et remplacé par « :: », est également admise. Exemple : ::-FE80::9C00:876A:130B. Les nœuds IPv6 nécessitent un mécanisme de mappage intermédiaire pour communiquer avec d'autres nœuds IPv6 sur un réseau uniquement IPv4. Ce mécanisme, appelé tunnel, permet à des hôtes uniquement IPv6 de contacter des services IPv4, ainsi qu'à des hôtes et réseaux IPv6 isolés de contacter un nœud IPv6 sur une infrastructure IPv4. La fonction de Tunneling utilise un mécanisme ISATAP ou manuel (reportez-vous à Tunnel IPv6). La fonction Tunneling considère le réseau IPv4 comme une liaison locale IPv6 virtuelle, avec des mappages entre chaque adresse IPv4 et une adresse IPv6 de liaison locale. Le périphérique détecte les trames IPv6 d'après le type IPv6 Ethertype. Routage statique IPv6 Comme lors du routage IPv4, les trames adressées à l'adresse MAC du périphérique mais à une adresse IPv6 non connue du périphérique sont transférées au périphérique de saut suivant. Ce périphérique peut être la station finale cible ou un routeur plus près de la destination. Le mécanisme de transfert s'appuie sur la nouvelle création d'une trame L2 autour du paquet L3 reçu (essentiellement) inchangé avec l'adresse MAC du périphérique de saut suivant comme adresse MAC de destination. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 344 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Le système utilise les messages de routage statique et de découverte des voisins (similaires aux messages ARP IPv4) pour créer les tables de transferts et les adresses de saut suivant appropriées. Un acheminement définit le chemin entre deux périphériques en réseau. Les entrées de routage ajoutées par l'utilisateur sont statiques. Elles sont conservées et utilisées par le système jusqu'à suppression explicite de la part de l'utilisateur et elles ne sont pas modifiées par les protocoles de routage. Si les acheminements statiques doivent être actualisés, cette procédure doit être effectuée explicitement par l'utilisateur. La responsabilité d'empêcher les boucles de routage dans le réseau incombe à l'utilisateur. Les acheminements IPv6 statiques peuvent être soit : • À connexion directe : la destination est directement connectée à une interface sur le périphérique et la destination de paquets (l'interface) est ainsi utilisée comme adresse de saut suivant. • Récursifs : où uniquement le saut suivant est spécifié et l'interface sortante est dérivée du saut suivant. De la même manière, les adresses MAC des périphériques de saut suivant (y compris les systèmes finaux à connexion directe) sont automatiquement dérivées à l'aide de la découverte du réseau. Cependant, l'utilisateur peut remplacer et compléter cela en ajoutant manuellement les entrées à la table des voisins. Configuration globale IPv6 Pour définir des paramètres IPv6 globaux et les paramètres de client DHCPv6 : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Configuration globale IPv6. En mode système Couche 3, cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Configuration globale IPv6. ÉTAPE 2 Saisissez les valeurs appropriées dans les champs suivants : • IPv6 Routing (Routage IPv6) : (Couche 3 seulement) sélectionnez cette option pour activer le routage IPv6. Lorsque cette option n'est pas activée, le périphérique agit comme hôte (et non comme routeur) ; il peut ainsi recevoir des paquets de gestion mais il ne peut pas les transférer. Lorsque le routage est activé, le périphérique peut transférer les paquets IPv6. • Intervalle de limites de débit ICMPv6 : saisissez la fréquence à laquelle les messages d'erreur ICMP sont générés. • Taille des cases de limite de débit ICMPv6 : saisissez le nombre maximal de messages d'erreur ICMP que le périphérique peut envoyer dans chaque intervalle. • IPv6 Hop Limit (Limite de saut IPv6) : (Couche 3 uniquement) saisissez le nombre maximal de routeurs intermédiaires qu'un paquet peut traverser pour atteindre sa destination finale. Chaque fois qu'un paquet est transféré à un autre routeur, la limite de saut est réduite. Lorsque la limite de saut devient zéro, le paquet est ignoré. Cela empêche un transfert infini des paquets. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 345 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Paramètres de client DHCPv6 • Unique Identifier (DUID) Format (Format de l'identificateur unique (DUID)) : il s'agit de l'identificateur du client DHCP utilisé par le serveur DHCP pour localiser le client. Les formats suivants sont disponibles : - Link-Couche (Couche de liaison) : (par défaut). Si vous sélectionnez cette option, l'adresse MAC du périphérique est utilisée. - Enterprise Number (Numéro d'entreprise) : lorsque vous sélectionnez cette option, renseignez les champs suivants. • Enterprise Number (Numéro d'entreprise) : numéro d'entreprise privé enregistré par les fournisseurs comme géré par IANA. • Identifier (Identificateur) : chaîne hexadécimale définie par le fournisseur (jusqu'à 64 caractères hexadécimaux). Si le nombre de caractères est impair, un zéro est ajouté à droite. Vous pouvez ajouter un point ou une virgule tous les deux caractères hexadécimaux pour les séparer. • DHCPv6 Unique Identifier (DUID) (Identificateur unique DHCPv6 (DUID)) : affiche l'identificateur sélectionné. ÉTAPE 3 Cliquez sur Apply. Les paramètres globaux IPv6 et les paramètres de client DHCPv6 sont mis à jour. Interface IPv6 Vous pouvez configurer l'interface IPv6 sur un port, un LAG, un VLAN, une interface de bouclage ou un tunnel. Contrairement aux autres types d'interfaces, une interface de tunnel est d'abord créée sur la page Tunnel IPv6, puis l'interface IPv6 est configurée sur le tunnel sur cette page. Pour définir une interface IPv6 : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Interfaces IPv6. En mode système Layer 3, cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Interfaces IPv6. ÉTAPE 2 Saisissez les paramètres (dans la Couche 3). • IPv6 Link Local Default Zone (Zone de liaison locale IPv6 par défaut) : (Couche 3 uniquement) sélectionnez cette option pour activer une zone par défaut. Il s'agit d'une interface à utiliser pour sortir un paquet de liaison locale arrivant sans interface spécifiée ou avec sa zone 0 par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 346 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 IPv6 Link Local Default Zone Interface (Interface de la zone de liaison locale IPv6 par défaut) : (Couche 3 uniquement) sélectionnez une interface à utiliser comme zone par défaut. Il peut s'agir d'un tunnel précédemment défini ou d'une autre interface. ÉTAPE 3 Cliquez sur Appliquer pour configurer la zone par défaut. ÉTAPE 4 Cliquez sur Ajouter pour ajouter une nouvelle interface sur laquelle IPv6 est activé. ÉTAPE 5 Renseignez les champs : • Interface IPv6 : sélectionnez un port, un LAG, une interface de bouclage ou un VLAN spécifique pour l'adresse IPv6. ÉTAPE 6 Pour configurer l'interface comme client DHCPv6, ce qui signifie activer l'interface pour recevoir des informations depuis le serveur DHCPv6, comme la configuration SNTP et des informations DNS, renseignez les champs Client DHCPv6 : • Sans état : sélectionnez cette option pour activer l'interface comme client DHCPv6 sans état. Cela permet la réception des informations de configuration à partir d'un serveur DHCP. • Minimum Information Refresh Time (Intervalle minimal d'actualisation des informations) : cette valeur est utilisée pour mettre une limite sur la valeur de l'intervalle d'actualisation. Lorsque le serveur envoie une option d'intervalle d'actualisation inférieure à cette valeur, cette valeur est utilisée en substitution. Sélectionnez Infini (aucune actualisation sauf si le serveur envoie cette option) ou Défini par l'utilisateur pour définir une valeur. • Information Refresh Time (Intervalle d'actualisation des informations) : cette valeur indique la fréquence d'actualisation par le périphérique des informations reçues du serveur DHCPv6. Si cette option n'est pas reçue du serveur, la valeur entrée ici est utilisée. Sélectionnez Infini (aucune actualisation sauf si le serveur envoie cette option) ou Défini par l'utilisateur pour définir une valeur. ÉTAPE 7 Pour configurer des paramètres IPv6 supplémentaires, renseignez les champs suivants : • Configuration automatique d'adresses IPv6 : sélectionne la configuration automatique des adresses à partir des annonces de routeur envoyées par des voisins. REMARQUE Le périphérique ne prend pas en charge la configuration automatique des adresses avec conservation d'état à partir d'un serveur DHCPv6. • Nombre de tentatives DAD : saisissez le nombre de messages de sollicitation des voisins consécutifs à envoyer lors du processus DAD (Duplicate Address Detection, détection des adresses en double) sur les adresses IPv6 Unicast de l'interface. DAD vérifie l'unicité d'une nouvelle adresse IPv6 Unicast avant de l'attribuer. Les nouvelles adresses restent à l'état provisoire pendant la vérification DAD. Saisissez 0 dans ce champ pour désactiver le traitement de détection des adresses en double sur l'interface indiquée. Saisissez 1 dans ce champ pour indiquer une transmission unique, sans transmission de suivi. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 347 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 • Envoyer des messages ICMPv6 : active la génération de messages concernant les destinations injoignables. • Version MLD : (Couche 3 seulement) version IPv6 MLD. • Redirections IPv6 : (Couche 3 seulement) sélectionnez cette option pour activer l'envoi des messages de redirection ICMP IPv6. Ces messages permettent d'informer les autres périphériques de ne pas envoyer du trafic à ce périphérique, mais plutôt à un autre périphérique. ÉTAPE 8 Cliquez sur Appliquer pour activer le traitement IPv6 sur l'interface sélectionnée. Pour les interfaces IPv6 standard, les adresses suivantes sont configurées automatiquement : • Adresse de liaison locale, à l'aide de l'ID d'interface au format EUI-64, sur la base de l'adresse MAC d'un périphérique • Toutes les adresses de multidiffusion de liaison locale des nœuds (FF02::1) • Adresse de multidiffusion de nœud sollicité (au format FF02::1:FFXX:XXXX) ÉTAPE 9 Cliquez sur Table des adresses IPv6 pour affecter manuellement des adresses IPv6 à l'interface, si nécessaire. Cette page est décrite à la section Définition d'adresses IPv6. ÉTAPE 10 Pour modifier un tunnel, sélectionnez une interface (définie en tant que tunnel sur la page Interfaces IPv6) dans la table des tunnels IPv6 et cliquez sur Table de tunnels IPv6. Reportez-vous à la section Tunnel IPv6 ÉTAPE 11 Appuyez sur le bouton Restart (Redémarrer) pour lancer l'actualisation des informations sans état reçues du serveur DHCPv6. Détails de client DHCPv6 Le bouton Détails affiche les informations reçues sur l'interface à partir d'un serveur DHCPv6. Cette option est activée lorsque l'interface sélectionnée est définie comme client DHCPv6 sans état. Lorsque vous appuyez sur ce bouton, les champs suivants s'affichent (pour les informations reçues du serveur DHCP) : • DHCPv6 Operational Mode (Mode de fonctionnement DHCPv6) : permet d'afficher Enabled (Activé) lorsque les conditions suivantes sont remplies : - L'interface est active. - IPv6 y est activé. - Le client DHCPv6 sans état y est activé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 348 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 • Stateless Service (Service sans état) : configure si le client est défini comme sans état (il reçoit les informations d'un serveur DHCP) ou non. • DHCPv6 Server Address (Adresse du serveur DHCPv6) : adresse du serveur DHCPv6. • DHCPv6 Server DUID (DUID du serveur DHCPv6) : identificateur unique du serveur DHCPv6. • DHCPv6 Server Preference (Préférence du serveur DHCPv6) : priorité de ce serveur DHCPv6. • Délai d'actualisation minimum des informations : voir ci-dessus. • Information Refresh Time (Intervalle d'actualisation des informations) : voir ci-dessus. • Received Information Refresh Time (Intervalle reçu pour l'actualisation des informations) : intervalle d'actualisation reçu du serveur DHCPv6. • Remaining Information Refresh Time (Intervalle restant avant l'actualisation des informations) : temps restant jusqu'à la prochaine actualisation. • DNS Servers (Serveurs DNS) : liste des serveurs DNS reçue du serveur DHCPv6. • DNS Domain Search List (Liste de recherche de domaines DNS) : liste des domaines reçue du serveur DHCPv6. • SNTP Servers (Serveurs SNTP) : liste des serveurs SNTP reçue du serveur DHCPv6. • POSIX Timezone String (Chaîne de fuseau horaire POSIX) : fuseau horaire reçu du serveur DHCPv6. • Configuration Server (Serveur de configuration) : serveur contenant un fichier de configuration reçu du serveur DHCPv6. • Configuration Path Name (Nom du chemin de configuration) : chemin vers le fichier de configuration sur le serveur de configuration reçu du serveur DHCPv6. Tunnel IPv6 Les tunnels permettent la transmission des paquets IPv6 sur des réseaux IPv4. Chaque tunnel a une adresse IPv4 source et s'il s'agit d'un tunnel manuel, il dispose également d'une adresse IPv4 de destination. Le paquet IPv6 est encapsulé entre ces adresses. REMARQUE Seule l'interface de gestion IPv6 peut faire l'objet d'une tunnellisation. Pour créer un tunnel IPv6, définissez une interface IPv6 comme tunnel sur la page Interfaces IPv6 et poursuivez la configuration du tunnel sur la page Tunnel IPv6. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 349 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Types de tunnels Vous pouvez configurer les types de tunnels ci-dessous sur le périphérique, comme suit : • Tunnel ISATAP Le tunnel ISATAP (Intra-Site Automatic Tunnel Addressing Protocol, protocole d'adressage automatique de tunnel intrasite) est un tunnel point à multipoint. L'adresse source est l'adresse IPv4 (ou l'une des adresses IPv4) du périphérique. Lors de la configuration d'un tunnel ISATAP, l'adresse IPv4 de destination est fournie par le routeur. Remarque : • - Une adresse IPv6 de liaison locale est affectée à l'interface ISATAP. L'adresse IP initiale est affectée à l'interface, qui est alors activée. - Si une interface ISATAP est active, l'adresse IPv4 du routeur ISATAP est résolue via DNS à l'aide d'un mappage ISATAP-à-IPv4. Si l'enregistrement DNS ISATAP n'est pas résolu, le mappage nom d'hôte-à-adresse ISATAP est recherché dans la table de mappage des hôtes. - S'il est impossible de résoudre l'adresse IPv4 du routeur ISATAP à l'aide du processus DNS, l'interface IP ISATAP reste active. Le système ne comportera un routeur par défaut pour le trafic ISATAP qu'après résolution du processus DNS. Tunnel manuel Il s'agit d'une définition point à point. Lors de la création d'un tunnel manuel, vous pouvez saisir l'adresse IP source (l'une des adresses IP du périphérique) et l'adresse IPv4 de destination. • Tunnel 6-4 Le type 6to4 est un mécanisme de tunnellisation automatique qui utilise le réseau IPv4 sous-jacent comme couche de liaison multi-accès hors diffusion pour IPv6. Un seul tunnel 6to4 est pris en charge sur un périphérique. Le tunnel 6to4 est seulement pris en charge lorsque le réacheminement IPv6 est pris en charge. La multidiffusion IPv6 n'est pas prise en charge sur l'interface de tunnel 6to4. Le commutateur crée automatiquement un préfixe lié 2002::/16 sur le tunnel 6to4. La route 2002::/16 connectée sur le tunnel est ajoutée à la table de routage suite à la création du préfixe lié. Lorsque le mode tunnel passe de 6to4 à un autre mode, le préfixe lié et les routes connectées sont supprimés. Si l'interface sortante du saut suivant est le tunnel 6to4, l'adresse IPv4 du nœud de saut suivant est extraite du préfixe 2002:WWXX:YYZZ::/48 de l'adresse IPv6 du saut suivant IPv6, s'il s'agit d'une adresse globale, et des 32 derniers bits de l'identifiant d'interface de l'adresse IPv6 du saut suivant IPv6, s'il s'agit d'une adresse de liaison locale. Vous pouvez définir jusqu'à 16 tunnels (dont un tunnel ISATAP). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 350 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Configuration des tunnels REMARQUE Après avoir configuré un tunnel, configurez l'interface IPv6 sur la page Interfaces IPv6. Pour configurer un tunnel IPv6 : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Tunnel IPv6. Le mode Couche 2 est uniquement disponible sur les périphériques Sx500 et sur les périphériques SG500X lorsqu'ils sont en mode Hybrid stack (Pile hybride). ÉTAPE 2 En mode système Couche 3, cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Tunnel IPv6. ÉTAPE 3 Saisissez les paramètres ISATAP. • Intervalle de sollicitation : nombre de secondes entre deux messages de sollicitation de routeur ISATAP, si aucun routeur ISATAP actif n'a été détecté. Il peut s'agir de l'intervalle par défaut ou d'une valeur d'intervalle définie par l'utilisateur. • Robustesse : permet de calculer l'intervalle des requêtes de sollicitation de routeur. Plus la valeur est élevée, plus les requêtes sont fréquentes. REMARQUE Le tunnel ISATAP ne sera pas opérationnel si l'interface IPv4 sous-jacente n'est pas active. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer les paramètres ISATAP dans le fichier de Configuration d'exécution. ÉTAPE 5 Pour ajouter un tunnel, sélectionnez une interface (définie en tant que tunnel sur la page Interfaces IPv6) dans la table des tunnels IPv6 et cliquez sur Ajouter. ÉTAPE 6 Renseignez les champs suivants : • Nom du tunnel : sélectionnez un numéro de tunnel. • Type du tunnel : affiche les types de tunnels : Manuel, ISATAP et 6to4. • Tunnel State (État du tunnel) : sélectionnez cette option pour activer le tunnel. Si ce tunnel est fermé ultérieurement, cette indication figure dans ce champ. • Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la génération d'une interception lorsque l'état du lien d'un port a été changé. Si vous ne souhaitez pas recevoir d'interceptions (traps) sur des ports spécifiques (par exemple, ISP nécessite seulement des interceptions sur les ports connectés à son infrastructure et ne requiert aucune interception pour les ports connectés à l'équipement de l'utilisateur), cette fonction peut être désactivée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 351 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 Source : définissez l'adresse IPv4 locale (source) d'une interface de tunnel. L'adresse IPv4 de l'interface IPv4 sélectionnée sera utilisée pour constituer une partie de l'adresse IPv6 sur l'interface de tunnel ISATAP. L'adresse IPv6 comporte un préfixe réseau de 64 bits, constitué de fe80::, suivi de la concaténation de 0000:5EFE et de l'adresse IPv4. - Auto : sélectionne automatiquement l'adresse IPv4 la plus basse parmi toutes ses interfaces IPv4 configurées comme adresse source pour des paquets envoyés sur l'interface de tunnel. - Adresse IPv4 : spécifie l'adresse IPv4 à utiliser comme adresse source pour des paquets envoyés sur l'interface de tunnel. L'adresse locale de l'interface de tunnel n'est pas modifiée lorsque l'adresse IPv4 est déplacée vers une autre interface. REMARQUE Lorsque l'adresse IPv4 est modifiée, l'adresse locale de l'interface de tunnel est également modifiée. - Interface : sélectionnez l'interface dont l'adresse IPv4 est utilisée comme adresse source du tunnel. Si cette interface contient plusieurs adresses IPv4, l'adresse IPv4 minimale est utilisée comme adresse source. Si cette adresse IPv4 minimale est supprimée de l'interface (effacée ou déplacée vers une autre interface), l'adresse IPv4 minimale suivante est choisie comme adresse IPv4 locale. • • Destination : (pour le tunnel manuel uniquement) sélectionnez l'une des options suivantes pour spécifier l'adresse de destination du tunnel : - Nom d'hôte : nom DNS de l'hôte distant. - Adresse IPv4 : adresse IPv4 de l'hôte distant. ISATAP Router Name (Nom de routeur ISATAP) : (pour tunnels ISATAP uniquement) sélectionnez l'une des options suivantes pour configurer une chaîne globale qui représente un nom de domaine de routeur de tunnel automatique spécifique. - Valeurs par défaut : il s'agit toujours de l'ISATAP. - Défini par l'utilisateur : saisissez le nom de domaine du routeur. ÉTAPE 7 Cliquez sur Apply. Le tunnel est enregistré dans le fichier de Configuration d'exécution. REMARQUE Pour fermer un tunnel, cliquez sur Modifier et désélectionnez État du tunnel. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 352 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Définition d'adresses IPv6 Pour affecter une adresse IPv6 à une interface IPv6 : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Adresses IPv6. En mode système Couche 3, cliquez sur Configuration IP > Interfaces et gestion IPv6 > Adresses IPv6. ÉTAPE 2 Pour filtrer la table, sélectionnez un nom d'interface et cliquez sur OK. L'interface s'affiche dans la table des adresses IPv6. ÉTAPE 3 Cliquez sur Add. ÉTAPE 4 Saisissez les valeurs des champs. • Interface IPv6 : affiche l'interface sur laquelle l'adresse IPv6 doit être définie. Si un astérisque (*) s'affiche, cela signifie que l'interface IPv6 n'est pas activée mais a été configurée. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 à ajouter. - Liaison locale : une adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : une adresse IPv6 qui est de type global IPV6 monodiffusion, visible et joignable à partir d'autres réseaux. - Pluridiffusion : l'adresse IPv6 est une adresse de pluridiffusion. Il s'agit d'une adresse attribuée à un ensemble d'interfaces appartenant généralement à des nœuds différents. Un paquet envoyé à une adresse pluridiffusion est délivré à l'interface la plus proche (comme défini par les protocoles de routage utilisés) identifiée par l'adresse pluridiffusion. REMARQUE La pluridiffusion ne peut pas être utilisée si l'adresse IPv6 se trouve sur une interface ISATAP. • Adresse IPv6 : en mode Couche 2, le périphérique prend en charge une seule interface IPv6. Outre les adresses de liaison locale et de multidiffusion par défaut, le périphérique ajoute aussi automatiquement des adresses globales à l'interface sur la base des annonces de routeur qu'il reçoit. Le périphérique prend en charge un maximum de 128 adresses sur l'interface. Chaque adresse doit correspondre à une adresse IPv6 valide, spécifiée au format hexadécimal au moyen de valeurs de 16 bits séparées par le signe deux-points. Vous pouvez ajouter les types d'adresses suivants aux différents types de tunnels : - Tunnels manuels : adresse globale ou de pluridiffusion - Tunnels ISATAP : adresse globale avec EUI-6 - Tunnels 6to4 : aucune Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 353 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 • Longueur du préfixe : la longueur du préfixe IPv6 global est une valeur comprise entre 0 et 128 qui indique le nombre de bits contigus les plus significatifs de l'adresse dont se compose le préfixe (la partie réseau de l'adresse). • EUI-64 : sélectionnez cette option pour employer le paramètre EUI-64 afin d'identifier la portion de l'adresse IPv6 globale correspondant à l'ID d'interface en utilisant le format EUI-64 sur la base de l'adresse MAC d'un périphérique. ÉTAPE 5 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Configuration du routeur IPv6 Les sections suivantes décrivent comment configurer les routeurs IPv6. Annonce de routeur Les routeurs IPv6 peuvent annoncer leur préfixes aux périphériques voisins. Cette fonction peut être activée ou supprimée par interface, comme suit : ÉTAPE 1 Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > IPv6 Router Configuration (Configuration de routeur IPv6) > Router Advertisement (Annonce de routeur). ÉTAPE 2 Pour configurer une interface présente dans la table des annonces du routeur, sélectionnez l'interface souhaitée et cliquez sur Modifier. ÉTAPE 3 Renseignez les champs suivants : • Suppress Router Advertisement (Supprimer l'annonce du routeur) : sélectionnez Oui pour supprimer les transmissions des annonces du routeur IPv6 sur l'interface. Si cette fonction n'est pas supprimée, saisissez les champs suivants : • Préférence de routeur : sélectionnez Faible, Moyenne ou Élevée comme valeur de préférence pour le routeur. Les messages d'annonce du routeur sont envoyés avec la préférence configurée dans ce champ. Si aucune préférence n'est configurée, ils sont envoyés avec une préférence moyenne. L'association d'une préférence avec un routeur est utile lorsque, par exemple, deux routeurs sur une liaison fournissent un routage équivalent mais à des coûts différents et que la politique prévoit que les hôtes doivent préférer l'un des routeurs. • Include Advertisement Interval Option (Inclure l'option d'intervalle d'annonce) : permet d'indiquer qu'une option d'annonce est utilisée par le système. Cette option indique à un nœud mobile en visite l'intervalle dans lequel il peut s'attendre à recevoir des annonces de routeur. Le nœud peut utiliser ces informations dans son algorithme de détection de mouvement. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 354 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 • Hop Limit (Limite de saut) : valeur annoncée par le routeur. Si la valeur n'est pas de zéro, elle est utilisée comme limite de saut par l'hôte. • Managed Address Configuration Flag (Indication de configuration d'adresses gérées) : cette indication permet d'indiquer aux hôtes connectés qu'ils doivent utiliser la configuration automatique avec conservation d'état pour obtenir des adresses. Les hôtes peuvent utiliser simultanément la configuration automatique avec et sans conservation d'état. • Other Stateful Configuration Flag (Indication de configuration d'autres informations avec conservation d'état) : cette indication permet d'indiquer aux hôtes connectés qu'ils doivent utiliser la configuration automatique avec conservation d'état pour obtenir d'autres informations (outre l'adresse). REMARQUE Si Managed Address Configuration Flag (Indication de configuration d'adresses gérées) est définie, un hôte connecté peut utiliser la configuration automatique avec conservation d'état pour obtenir les autres informations (outre l'adresse), indépendamment de la définition de cette indication. • Neighbor Solicitation Retransmissions Interval (Intervalle de retransmission de sollicitations de voisinage) : spécifiez cet intervalle pour déterminer le temps entre les retransmissions des messages de sollicitation de voisinage lorsque vous traduisez l'adresse ou sondez l'accessibilité d'un voisin. • Maximum Router Advertisement Interval (Intervalle d'annonce maximal de routeur) : saisissez le temps maximal qui peut s'écouler entre deux annonces de routeur. L'intervalle entre deux transmissions doit être inférieur ou égal à la durée de vie de l'annonce de routeur IPv6 si vous configurez l'acheminement en tant que routeur par défaut à l'aide de cette commande. Afin d'éviter la synchronisation avec d'autres nœuds IPv6, l'intervalle réel utilisé est sélectionné de manière aléatoire parmi les valeurs comprises entre les valeurs minimale et maximale. • Minimum Router Advertisement Interval (Intervalle d'annonce minimal de routeur) : saisissez le temps minimal qui peut s'écouler entre deux annonces de routeur (Défini par l'utilisateur) ou sélectionnez Valeurs par défaut afin d'utiliser la valeur par défaut du système. REMARQUE L'intervalle minimal d'annonce de routeur ne peut jamais excéder 75 % de l'intervalle maximal d'annonce de routeur et ne peut pas être inférieur à 3 secondes. • Router Advertisement Lifetime (Durée de vie d'annonce de routeur) : saisissez le temps restant, en secondes, durant lequel ce routeur continue à fonctionner en tant que routeur par défaut. La valeur zéro signifie que le routeur ne fonctionne plus en tant que routeur par défaut. • Délai d'accessibilité : saisissez le temps pendant lequel le nœud IPv6 distant est considéré comme joignable (en millisecondes) (Défini par l'utilisateur) ou sélectionnez l'option Valeurs par défaut afin d'utiliser la valeur par défaut du système. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 355 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Préfixes IPv6 Pour définir des préfixes à annoncer sur les interfaces du périphérique : ÉTAPE 1 Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Configuration du routeur IPv6 > Préfixes IPv6. ÉTAPE 2 Si nécessaire, activez le champ Filtre et cliquez sur OK. Le groupe d'interfaces correspondant au filtre s'affiche. ÉTAPE 3 Pour ajouter une interface, cliquez sur Ajouter. ÉTAPE 4 Sélectionnez l'interface IPv6 requise sur laquelle un préfixe doit être ajouté. ÉTAPE 5 Renseignez les champs suivants : • Prefix Address (Adresse de préfixe) : réseau IPv6. La forme de cet argument doit être celle indiquée dans RFC 4293 où l'adresse est composée de caractères hexadécimaux, utilisant des valeurs de 16 bits entre les caractères deux-points. • Longueur du préfixe : longueur du préfixe IPv6. Une valeur décimale qui indique le nombre de bits contigus les plus significatifs de l'adresse dont se compose le préfixe (la partie réseau de l'adresse). Une barre oblique doit précéder la valeur décimale. • Annonce de préfixe : sélectionnez cette option pour annoncer ce préfixe. • Valid Lifetime (Durée de vie valide) : durée restante, en secondes, de validité de ce préfixe, elle correspond au temps qui précède son annulation. L'adresse générée à partir d'un préfixe annulé ne doit pas apparaître en tant qu'adresse de source ou de destination d'un paquet. • • - Infini : sélectionnez cette valeur pour renseigner ce champ avec la valeur 4 294 967 295, qui représente l'infini. - Défini par l'utilisateur : saisissez une valeur. Durée de vie préférée : la durée restante, en secondes, durant laquelle ce préfixe continue à être prioritaire. Une fois ce temps écoulé, le préfixe ne doit plus être utilisé en tant qu'adresse source dans une nouvelle communication mais, les paquets reçus sur cette interface sont traités comme prévu. La durée de vie préférée ne doit pas être supérieure à la durée de vie valide. - Infini : sélectionnez cette valeur pour renseigner ce champ avec la valeur 4 294 967 295, qui représente l'infini. - Défini par l'utilisateur : saisissez une valeur. Configuration automatique : cette option permet d'activer la configuration automatique des adresses IPv6 à l'aide de la configuration automatique sans conservation d'état sur une interface et d'activer le traitement IPv6 sur cette interface. Les adresses sont configurées en fonction des préfixes reçus dans les messages Annonce de routeur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 356 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 Prefix Status (État de préfixe) : sélectionnez l'une des options suivantes : - On-link : cette option permet de configurer le préfixe spécifié en tant que On-link. Les nœuds qui envoient du trafic aux adresses contenant le préfixe spécifié considèrent la destination comme localement joignable sur la liaison. Un préfixe On-link est inséré dans la table de routage en tant que préfixe connecté (défini par un bit L). - Non lié : cette option permet de configurer le préfixe spécifié comme non lié. Un préfixe Non On-link est inséré dans la table de routage en tant que préfixe connecté mais annoncé avec un bit L vide. - Offlink (Off-link) : cette option permet de configurer le préfixe spécifié en tant que Off-link. Le préfixe est annoncé avec un bit L vide. Le préfixe n'est pas inséré dans la table de routage en tant que préfixe connecté. Si le préfixe existe déjà dans la table de routage en tant que préfixe connecté (par exemple, parce que le préfixe a aussi été configuré en ajoutant une adresse IPv6), il est supprimé. ÉTAPE 6 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration d'exécution. Liste des routeurs par défaut IPv6 La page Liste des routeurs par défaut IPv6 vous permet de configurer et d'afficher les adresses de routeur IPv6 par défaut. Cette liste contient les routeurs susceptibles de devenir le routeur par défaut du périphérique pour le trafic non local (elle peut être vide). Le périphérique sélectionne un routeur au hasard dans la liste. Le périphérique prend en charge un seul routeur IPv6 statique par défaut. Les routeurs dynamiques par défaut sont des routeurs qui ont envoyé des annonces de routeur à l'interface IPv6 du périphérique. Lorsque vous ajoutez ou supprimez des adresses IP, les événements suivants se produisent : • Lorsque vous supprimez une interface IP, toutes les adresses IP de routeur par défaut sont supprimées. Il est impossible de supprimer des adresses IP dynamiques. • Un message d'alerte apparaît lorsque vous tentez d'insérer plusieurs adresses définies par l'utilisateur. • Un message d'alerte apparaît lorsque vous tentez d'insérer une adresse d'un type autre qu'une liaison locale « fe80: ». Pour définir un routeur par défaut : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Liste des routeurs par défaut IPv6. En mode système Layer 3, cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Liste des routeurs par défaut IPv6. Cette page affiche les champs suivants pour chaque routeur par défaut : • Interface : interface IPv6 sortante où réside le routeur par défaut. • Adresse IPv6 du routeur par défaut : adresse IP de liaison locale du routeur par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 357 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 Type : configuration du routeur par défaut qui inclut les options suivantes : - Statique : le routeur par défaut a été ajouté manuellement à cette table à l'aide du bouton Ajouter. - Dynamique : le routeur par défaut a été configuré de manière dynamique. • Paramètre (Couche 3) : coût de ce saut. • État : indique l'état du routeur. Les valeurs disponibles sont les suivantes : - Joignable : le routeur est identifié comme joignable. - Injoignable : le routeur est identifié comme injoignable. ÉTAPE 2 Cliquez sur Ajouter pour ajouter un routeur par défaut statique. ÉTAPE 3 Renseignez les champs suivants : • Interface de liaison locale (Couche 2) : affiche l'interface Liaison locale sortante. • Type du prochain saut : adresse IP de la destination suivante vers laquelle le paquet est envoyé. Vous disposez des possibilités suivantes : - Global : une adresse IPv6 qui est de type global IPV6 monodiffusion, visible et joignable à partir d'autres réseaux. - Liaison locale : une interface IPv6 et une adresse IPv6 qui identifient uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Point-to-Point (Point à point) : un tunnel point à point. • Interface (Couche 3) : affiche l'interface Liaison locale sortante. • Adresse IPv6 du routeur par défaut : adresse IP du routeur statique par défaut. • Paramètre (Couche 3) : saisissez le coût de ce saut. ÉTAPE 4 Cliquez sur Appliquer. Le routeur par défaut est enregistré dans le fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 358 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 Définition des informations sur les voisins IPv6 La page Voisins IPv6 vous permet de configurer et d'afficher la liste des voisins IPv6 sur l'interface IPv6. La table Voisins IPv6, également appelée Cache de détection du voisinage IPv6, affiche les adresses MAC des voisins IPv6 qui font partie du même sous-réseau IPv6 que le périphérique. C'est l'équivalent IPv6 de la table ARP IPv4. Lorsque le périphérique a besoin de communiquer avec ses voisins, il utilise la table de voisinage IPv6 pour déterminer les adresses MAC à partir de leurs adresses IPv6. Cette page affiche les voisins détectés automatiquement ou configurés manuellement. Chaque entrée indique l'interface à laquelle le voisin est connecté, les adresses IPv6 et MAC de ce voisin, son type de configuration (statique ou dynamique) et l'état du voisin. Pour définir des voisins IPv6 : ÉTAPE 1 En mode système Couche 2, cliquez sur Administration > Interface de gestion > Voisins IPv6. En mode système Couche 3, cliquez sur Configuration IP > Interfaces et gestion IPv6 > Voisins IPv6. Vous pouvez sélectionner une option Effacer la table afin d'effacer certaines adresses IPv6 (ou toutes) de la table des voisins IPv6. • Statique uniquement : supprime les entrées d'adresse IPv6 statiques. • Dynamique uniquement : supprime les entrées d'adresse IPv6 dynamiques. • Dynamique et statique : supprime les entrées d'adresse IPv6 statiques et dynamiques. Les champs suivants sont affichés pour les interfaces de voisinage : • Interface : type d'interface de voisinage IPv6. • Adresse IPv6 : adresse IPv6 d'un voisin. • Adresse MAC : adresse MAC mappée sur l'adresse IPv6 spécifiée. • Type : type de saisie des informations de cache de découverte des voisins (statique ou dynamique). • État : indique l'état du voisin IPv6. Les valeurs disponibles sont les suivantes : - Incomplet : résolution d'adresse en cours. Le voisin n'a pas encore répondu. - Atteignable : le voisin est reconnu comme étant accessible. - Périmé : un voisin précédemment connu est inaccessible. Aucune action n'est entreprise pour vérifier son accessibilité tant qu'il n'est pas nécessaire de lui envoyer du trafic. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 359 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) - 19 Retard : un voisin précédemment connu est inaccessible. L'interface reste à l'état Retard pour la durée prédéfinie indiquée par Délai de retard. Si aucune confirmation d'accessibilité n'est reçue, l'état passe à Sonde. - Sonde : le voisin n'est plus reconnu comme inaccessible et des sondes UNS (Unicast Neighbor Solicitation, sollicitation de voisinage Unicast) sont envoyées pour vérifier son accessibilité. • Routeur : spécifie si le voisin est un routeur (Oui ou Non). ÉTAPE 2 Pour ajouter un voisin à la table, cliquez sur Ajouter. ÉTAPE 3 Saisissez les valeurs appropriées dans les champs suivants : • Interface : interface de voisinage IPv6 à ajouter. • Adresse IPv6 : saisissez l'adresse réseau IPv6 affectée à l'interface. Cette adresse doit être une adresse IPv6 valide. • Adresse MAC : saisissez l'adresse MAC mappée sur l'adresse IPv6 spécifiée. ÉTAPE 4 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. ÉTAPE 5 Pour remplacer le type d'une adresse IP Dynamique par Statique, sélectionnez l'adresse, cliquez sur Modifier et utilisez la page Modifier les voisins IPv6. Liste de préfixes IPv6 Lorsque la fonction Sécurité du premier saut est configurée, il est possible de définir des règles de filtrage basées sur les préfixes IPv6. Vous pouvez définir ces listes sur la page Liste de préfixes IPv6. Les listes de préfixes sont configurées avec les mots clés autoriser ou refuser afin d'autoriser ou de refuser un préfixe sur la base d'une condition correspondante. Un refus implicite s'applique au trafic qui ne correspond à aucune entrée de liste de préfixes. Une entrée de liste de préfixes se compose d'une adresse IP et d'un masque de bits. L'adresse IP peut être destinée à la route d'un réseau classful, d'un sous-réseau ou d'un seul hôte. Le masque de bits est un nombre compris entre1 et 32. Les listes de préfixes sont configurées pour filtrer le trafic à partir d'une correspondance de longueur de préfixe exacte ou d'une correspondance au sein d'une plage lorsque les mots clés ge et le sont utilisés. Les paramètres Supérieur à et Inférieur à permettent de spécifier une plage de longueurs de préfixe et d'offrir une configuration plus souple que si vous utilisiez seulement l'argument réseau/longueur. Une liste de préfixes est traitée par le biais d'une correspondance exacte lorsque ni le paramètre Supérieur à ni le paramètre Inférieur à n'est spécifié. Si seul le paramètre Supérieur à est spécifié, la plage va de la valeur Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 360 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 saisie pour Supérieur à à une longueur 32 bits complète. Si seul le paramètre Inférieur à est spécifié, la plage va de la valeur saisie pour l'argument réseau/longueur à la valeur Inférieur à. Si les arguments Inférieur à et Supérieur à sont tous les deux entrés, la plage est comprise entre les valeurs utilisées pour Inférieur à et Supérieur à. Pour créer une liste de préfixes : ÉTAPE 1 (En mode Couche 3) Cliquez sur Configuration IP > IPv6 Management Interfaces (Interfaces et gestion IPv6) > Liste de préfixes IPv6. - ou (En mode Couche 2) Cliquez sur Administration > IPv6 Management Interfaces (Interfaces et gestion IPv6) > Liste de préfixes IPv6. ÉTAPE 2 Cliquez sur Add. ÉTAPE 3 Renseignez les champs suivants : • • • Nom de la liste : sélectionnez l'une des options suivantes : - Utiliser la liste existante : sélectionnez une liste précédemment définie pour lui ajouter un préfixe. - Créer une nouvelle liste : saisissez un nom pour créer une nouvelle liste. Numéro de séquence : spécifie l'emplacement du préfixe dans la liste de préfixes. Sélectionnez une des options suivantes : - Numérotation automatique : place le nouveau préfixe IPV6 après la dernière entrée de la liste de préfixes. Le numéro de séquence équivaut au dernier numéro de séquence plus 5. Si la liste est vide, la première entrée de la liste de préfixes se voit attribuer le numéro 5 et les entrées suivantes de la liste de préfixes sont incrémentées par 5. - Défini par l'utilisateur : insère le nouveau préfixe IPV6 à l'emplacement spécifié par le paramètre. S'il y a une entrée avec ce numéro, elle est remplacée par la nouvelle. Type de la règle : entrez la règle pour la liste de préfixes. - Autoriser : autorise les réseaux qui respectent la condition. - Refuser : refuse les réseaux qui ne respectent pas la condition. - Description : texte. • Préfixe IPv6 : préfixe de route IP. • Longueur du préfixe : longueur du préfixe de route IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 361 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • • • 19 Supérieur à : longueur minimale du préfixe devant être utilisée pour la correspondance. Sélectionnez une des options suivantes : - Aucune limite : aucune longueur minimale du préfixe ne doit être utilisée pour la correspondance. - Défini par l'utilisateur : longueur minimale du préfixe devant être respectée. Inférieur à : longueur maximale du préfixe devant être utilisée pour la correspondance. Sélectionnez une des options suivantes : - Aucune limite : aucune longueur maximale du préfixe ne doit être utilisée pour la correspondance. - Défini par l'utilisateur : longueur maximale du préfixe devant être respectée. Description : entrez une description de la liste de préfixes. ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration d'exécution. Listes d'accès IPv6 REMARQUE Cette page existe uniquement sur les périphériques SG500X/SG500XG. Cette page vous permet de créer des listes d'accès utilisées dans le proxy MLD. Reportez-vous à la section Proxy MLD. Pour créer une liste d'accès SSM en mode Couche 2 : ÉTAPE 1 Cliquez sur Administration > Interface de gestion > Acheminements IPv6. - ou Pour créer une liste d'accès SSM en mode système Couche 3 : Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Routes IPv6. Toutes les listes d'accès SSM sont affichées. ÉTAPE 2 Cliquez sur Ajouter et renseignez les champs suivants : • • Nom de la liste d'accès : sélectionnez l'une des options suivantes : - Utiliser la liste existante : sélectionnez une liste d'accès SSM préalablement définie. - Créer une nouvelle liste : saisissez le nom d'une nouvelle liste. Interface : interface utilisée pour transférer le paquet. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 362 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 Liste d'adresses IPv6 sources : sélectionnez l'une des options suivantes : - Tous : n'importe quelle adresse IPv6 peut être l'adresse source. - Défini par l'utilisateur : seule l'adresse IPv6 indiquée peut être l'adresse source. • Longueur du préfixe : saisissez la longueur du préfixe de l'adresse IPv6 source. • Action : sélectionnez l'une des options suivantes : - Autoriser : autoriser le passage de l'adresse IPv6 source. - Refuser : refuser le passage de l'adresse IPv6 source. ÉTAPE 3 Cliquez sur Apply. Affichage des tables de routage IPv6 L'IPv6 Forwarding Table (Table de redirection IPv6) contient les différents acheminements qui ont été configurés. L'un de ces acheminements est un acheminement par défaut (adresse IPv6:0), qui utilise le routeur par défaut sélectionné dans la liste des routeurs par défaut IPv6 afin d'envoyer des paquets aux périphériques de destination qui ne font pas partie du même sous-réseau IPv6 que le périphérique. Outre l'acheminement par défaut, la table contient aussi des acheminements dynamiques, qui sont des acheminements de redirection ICMP reçues des routeurs IPv6 via des messages de redirection ICMP. Cela peut se produire lorsque le routeur par défaut que le périphérique utilise n'est pas celui défini pour le trafic des sous-réseaux IPv6 avec lesquels le périphérique veut communiquer. Pour visualiser les routeurs IPv6 ou ajouter manuellement une route : Pour visualiser les entrées de routage IPv6 en mode système Couche 2 : ÉTAPE 1 Cliquez sur Administration > Interface de gestion > Acheminements IPv6. - ou Pour visualiser les entrées de routage IPv6 en mode système Couche 3 : Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Routes IPv6. Cette rubrique affiche les champs suivants : • Préfixe IPv6 : préfixe de route IP pour l'adresse de sous-réseau IPv6 de destination. • Longueur du préfixe : longueur du préfixe d'acheminement IP pour l'adresse de sous-réseau IPv6 de destination. Il est précédé d'une barre oblique. • Interface : interface utilisée pour transférer le paquet. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 363 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) • 19 Saut suivant : adresse vers laquelle le paquet est transféré. En général, il s'agit de l'adresse d'un routeur du voisinage. Les types suivants sont disponibles : - Liaison locale : une interface IPv6 et une adresse IPv6 qui identifient uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : une adresse IPv6 qui est de type global IPV6 monodiffusion, visible et joignable à partir d'autres réseaux. - Point-to-Point (Point à point) : un tunnel point à point. • Métrique : valeur utilisée pour comparer cet acheminement à d'autres acheminements vers la même destination dans la table des routeurs IPv6. Tous les acheminements par défaut ont la même valeur. • Durée de vie : laps de temps durant lequel le paquet peut être envoyé et renvoyé, avant sa suppression. • Type d'acheminement : mode de rattachement de la destination et méthode utilisée pour obtenir l'entrée. Les valeurs sont les suivantes : - Local : un réseau connecté directement dont le préfixe est dérivé de l'adresse IPv6 d'un périphérique configuré manuellement. - Dynamique : la destination est une adresse de sous-réseau IPv6 attachée de façon indirecte (à distance). L'entrée a été obtenue de manière dynamique via le protocole ND ou ICMP. - Statique : l'entrée a été configurée manuellement par un utilisateur. Relais DHCPv6 Le relais DHCPv6 est utilisé pour transférer des messages DHCPv6 vers des serveurs DHCPv6. Il est défini dans RFC 3315. Lorsque le client DHCPv6 n'est pas directement connecté au serveur DHCPv6, un agent de relais DHCPv6 (le périphérique) auquel ce client DHCPv6 est directement connecté encapsule les messages reçus du client DHCPv6 directement connecté et les transfère au serveur DHCPv6. Dans le sens inverse, l'agent de relais décapsule les paquets reçus du serveur DHCPv6 et les transfère au client DHCPv6. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 364 Configuration IP IPv6 Management and Interfaces (Interfaces et gestion IPv6) 19 L'utilisateur doit configurer la liste des serveurs DHCP vers lesquels des paquets sont transférés. Vous pouvez configurer deux groupes de serveurs DHCPv6 : • Destinations globales : les paquets sont toujours relayés vers ces serveurs DHCPv6. • Interface List (Liste d'interfaces) : il s'agit d'une liste de serveurs DHCPv6 par interface. Lorsqu'un paquet DHCPv6 est reçu sur une interface, le paquet est relayé vers les serveurs de la liste d'interfaces (si existante) et les serveurs de la liste de destinations globales. Dépendances envers les autres fonctions Les fonctions de client DHCPv6 et de relais DHCPv6 s'excluent mutuellement sur une interface. Global Destinations (Destinations globales) Pour configurer une liste de serveurs DHCPv6 vers laquelle tous les paquets DHCPv6 sont relayés : ÉTAPE 1 Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Relais DHCPv6 > Global Destinations (Destinations globales). ÉTAPE 2 Pour ajouter un serveur DHCPv6 par défaut, cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • Type d'adresse IPv6 : saisissez le type de l'adresse de destination vers laquelle les messages client sont transférés. Le type d'adresse peut être Liaison locale, Global ou Multidiffusion (All_DHCP_Relay_Agents_and_Servers). • DHCPv6 Server IP Address (Adresse IP serveur DHCPv6) : saisissez l'adresse du serveur DHCPv6 vers lequel les paquets sont transférés. • Interface IPv6 (de destination) : saisissez l'interface sur laquelle les paquets sont transmis lorsque le type d'adresse du serveur DHCPv6 est Liaison locale ou Multidiffusion. ÉTAPE 4 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Paramètres d'interface Pour activer la fonction de relais DHCPv6 sur une interface et pour configurer une liste de serveurs DHCPv6 vers lesquels les paquets DHCPv6 sont relayés, lorsque ceux-ci sont reçus sur cette interface. ÉTAPE 1 Cliquez sur Configuration IP > IPv6 Management and Interfaces (Interfaces et gestion IPv6) > Relais DHCPv6 > Paramètres d'interface. ÉTAPE 2 Pour activer DHCPv6 sur une interface et ajouter en option un serveur DHCPv6 pour une interface, cliquez sur Ajouter. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 365 Configuration IP Nom de domaine 19 Renseignez les champs suivants : • Interface source : sélectionnez l'interface (port, LAG, VLAN ou tunnel) pour laquelle le relais DHCPv6 est activé. • Use Global Destinations Only (Utiliser seulement des destinations globales) : sélectionnez cette option pour transférer des paquets uniquement vers les serveurs de destinations globales DHCPv6. • Type d'adresse IPv6 : saisissez le type de l'adresse de destination vers laquelle les messages client sont transférés. Le type d'adresse peut être Liaison locale, Global ou Multidiffusion (All_DHCP_Relay_Agents_and_Servers). • DHCPv6 Server IP Address (Adresse IP serveur DHCPv6) : saisissez l'adresse du serveur DHCPv6 vers lequel les paquets sont transférés. • Interface IPv6 (de destination) : saisissez l'interface sur laquelle les paquets sont transmis lorsque le type d'adresse du serveur DHCPv6 est Liaison locale ou Multidiffusion. ÉTAPE 3 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Nom de domaine Le DNS (Domain Name System, système de noms de domaine) convertit les noms de domaine en adresses IP en vue de localiser et de gérer des hôtes. En tant que client DNS, le périphérique convertit les noms de domaine en adresses IP via un ou plusieurs serveurs DNS configurés. Paramètres DNS Utilisez la page Paramètres DNS pour activer la fonction DNS, configurer les serveurs DNS et définir le domaine par défaut utilisé par le périphérique. ÉTAPE 1 Cliquez sur IP Configuration > Domain Name System > DNS Settings. ÉTAPE 2 Saisissez les paramètres. • DNS : sélectionnez cette option pour désigner le périphérique comme client DNS et lui permettre de convertir les noms DNS en adresses IP via un ou plusieurs serveurs DNS configurés. • Polling Retries (Tentatives d'interrogation) : saisissez le nombre de fois où le périphérique peut envoyer une requête DNS à un serveur DNS avant de conclure que ce serveur DNS n'existe pas. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 366 19 Configuration IP Nom de domaine • Polling Timeout (Délai de l'interrogation) : saisissez la durée en secondes pendant laquelle le périphérique attend une réponse à une requête DNS. • Intervalle d'interrogation : saisissez la fréquence (en secondes) à laquelle le périphérique envoie des paquets de requête DNS lorsque le nombre maximal de tentatives a été atteint. - Valeurs par défaut : cette option permet d'utiliser la valeur par défaut. Cette valeur = 2*(Polling Retries (Tentatives d'interrogation) + 1)* Polling Timeout (Délai de l'interrogation) • Défini par l'utilisateur : cette option permet de saisir une valeur définie par l'utilisateur. Paramètres par défaut : saisissez les paramètres par défaut suivants : - Nom de domaine par défaut : saisissez le nom de domaine DNS utilisé pour compléter des noms d'hôte incomplets. Le périphérique ajoute ces informations à tous les noms de domaine incomplets (NFQDN), afin de les convertir en noms de domaine complets (FQDN). REMARQUE N'incluez pas le point initial qui sépare un nom incomplet du nom de domaine (comme cisco.com). - DHCP Domain Search List (Liste de recherche de domaine DHCP) : cliquez sur Détails pour afficher la liste des serveurs DNS configurés sur le périphérique. ÉTAPE 3 Cliquez sur Apply. Le fichier de configuration de fonctionnement est mis à jour. Table des serveurs DNS : Les champs suivants sont affichés pour chaque serveur DNS configuré : • Serveur DNS : adresse IP du serveur DNS. • Préférence : chaque serveur dispose d'une valeur de préférence ; une valeur plus petite signifie une plus grande probabilité d'être utilisée. • Source : source de l'adresse IP du serveur (statique ou DHCPv4 ou DHCPv6) • Interface : interface de l'adresse IP du serveur. ÉTAPE 4 Vous pouvez définir jusqu'à huit serveurs DNS. Pour ajouter un serveur DNS, cliquez sur Ajouter. Saisissez les paramètres. • Version IP : sélectionnez Version 6 pour IPv6 ou Version 4 pour IPv4. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 367 19 Configuration IP Nom de domaine • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez l'interface de réception. • Adresse IP du serveur DNS : saisissez l'adresse IP du serveur DNS. • Préférence : sélectionnez une valeur déterminant l'ordre dans lequel les domaines sont utilisés (du bas vers le haut). Cette option détermine efficacement l'ordre dans lequel les noms incomplets sont complétés au cours des requêtes DNS. ÉTAPE 5 Cliquez sur Apply. Le serveur DNS est enregistré dans le fichier de Configuration d'exécution. Liste de recherche La liste de recherche peut contenir une entrée statique définie par l'utilisateur sur la page Paramètres DNS et des entrées dynamiques reçues des serveurs DHCPv4 et DHCPv6. Pour afficher les noms de domaine qui ont été configurés sur le périphérique : ÉTAPE 1 Cliquez sur Configuration IP > Système de noms de domaine > Liste de recherche. Les champs suivants sont affichés pour chaque serveur DNS configuré sur le périphérique : • Nom de domaine : nom de domaine qui peut être utilisé sur le périphérique. • Source : source de l'adresse IP du serveur (statique ou DHCPv4 ou DHCPv6) pour ce domaine. • Interface : interface de l'adresse IP du serveur pour ce domaine. • Préférence : ordre dans lequel les domaines sont utilisés (du bas vers le haut). Cette option détermine efficacement l'ordre dans lequel les noms incomplets sont complétés au cours des requêtes DNS. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 368 19 Configuration IP Nom de domaine Mappage d'hôtes Les mappages Nom d'hôte/Adresse IP sont enregistrés dans la zone Table de mappage d'hôtes (cache DNS). Ce cache peut contenir les types d'entrée suivants : • Entrées statiques : paires de mappage qui ont été manuellement ajoutées au cache. Un maximum de 64 entrées statiques est possible. • Entrées dynamiques : paires de mappage qui ont été ajoutées par le système suite à une utilisation par l'utilisateur ou et une entrée pour chaque adresse IP configurée sur le périphérique par DHCP. Un maximum de 256 entrées dynamiques est possible. La résolution des noms commence toujours par la vérification des entrées statiques, se poursuit par la vérification des entrées dynamiques et se termine par l'envoi de demandes au serveur DNS externe. Vous pouvez associer huit adresses IP à chaque serveur DNS pour chaque nom d'hôte. Pour ajouter un nom d'hôte et son adresse IP : ÉTAPE 1 Cliquez sur Configuration IP > Système de noms de domaine > Mappage d'hôtes. ÉTAPE 2 Si nécessaire, sélectionnez l'option Effacer la table afin d'effacer certaines entrées ou toutes les entrées de la Table de mappage d'hôtes. • Statique uniquement : supprime les hôtes statiques. • Dynamique uniquement : supprime les hôtes dynamiques. • Dynamique et statique : supprime les hôtes statiques et dynamiques. La Table de mappage d'hôtes contient les champs suivants : • Nom d'hôte : nom d'hôte défini par l'utilisateur ou nom complet. • IP Address : adresse IP d'hôte. • IP Version : version IP de l'adresse IP de l'hôte. • Type : une entrée dynamique ou statique dans le cache. • État : affiche les résultats des tentatives d'accéder à l'hôte. - OK : tentative réussie. - Negative Cache (Cache négatif) : tentative échouée, ne réessayez pas. - Pas de réponse : pas de réponse mais le système peut effectuer ultérieurement une nouvelle tentative. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 369 19 Configuration IP Nom de domaine • TTL (s) : s'il s'agit d'une entrée dynamique, cette option indique sa durée de conservation dans le cache. • TTL restant (s) : s'il s'agit d'une entrée dynamique, cette option indique combien de temps encore elle va rester dans le cache. ÉTAPE 3 Pour ajouter un mappage d'hôtes, cliquez sur Add. ÉTAPE 4 Saisissez les paramètres. • Version IP : sélectionnez Version 6 pour IPv6 ou Version 4 pour IPv4. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez l'interface de réception. • Host Name : saisissez un nom d'hôte défini par l'utilisateur ou un nom complet. Les noms d'hôte sont limités aux lettres ASCII de A à Z (avec distinction majuscules/minuscules), les chiffres de 0 à 9, le caractère souligné et le tiret. Le point (.) est utilisé pour séparer les étiquettes. • Adresse IP : saisissez une seule adresse ou jusqu'à huit adresses IP associées (IPv4 ou IPv6). ÉTAPE 5 Cliquez sur Apply. Les paramètres sont enregistrés dans le fichier Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 370 20 Configuration IP : RIPv2 Cette section décrit la fonctionnalité RIP (Routing Information Protocol), version 2. Elle couvre les rubriques suivantes : • Présentation • Fonctionnement de RIP sur l'appareil • Configuration de RIP REMARQUE La fonctionnalité RIP est prise en charge sur les appareils suivants : - SG500X/SG500XG en mode de pile autonome. - SG500X/SG500XG en modes de pile hybride avancée en Couche 3. Présentation Routing Information Protocol (RIP) est une implémentation d'un protocole de vecteur de distance pour les réseaux locaux et étendus. Elle définit les routeurs comme actifs ou passifs (silencieux). Les routeurs actifs annoncent leurs routes aux autres ; les routeurs passifs écoutent et mettent à jour leurs routes en fonction des annonces, mais ils n'annoncent rien. Généralement, les routeurs exécutent RIP en mode actif, alors que les hôtes utilisent le mode passif. La passerelle par défaut est une route statique et est annoncée par RIP de la même façon que tous les autres routeurs statiques, si elle est activée par la configuration. Lorsque le routage IP est activé, RIP fonctionne intégralement. Lorsque le routage IP est désactivé, RIP fonctionne en mode passif, à savoir qu'elle n'apprend que les routes à partir des messages RIP reçus et ne les envoie pas. REMARQUE Le contrôle du routage IP est uniquement disponible sur les modèles SG500X/ ESW2-550X. Pour activer le routage IP, accédez à la page Configuration > Interfaces de gestion et IP > Interface IPv4. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 371 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 20 L'appareil prend en charge RIP version 2, qui est basé sur les normes suivantes : • RFC2453 RIP Version 2, Novembre 1998 • RFC2082 RIP-2 MD5 Authentication, Janvier 1997 • RFC1724 RIP Version 2 MIB Extension Les paquets RIPv1 reçus sont supprimés. Fonctionnement de RIP sur l'appareil La section suivante décrit l'activation, la configuration du décalage, le mode passif, l'authentification, les compteurs de statistiques et la base de données des homologues de RIP. Activation de RIP Activation de RIP • La fonction RIP doit être activée globalement et par interface. • RIP peut uniquement être configurée si elle est activée. • La désactivation globale de RIP supprime la configuration de RIP sur le système. • La désactivation de RIP sur une interface supprime la configuration de RIP sur l'interface spécifiée. • Si le routage IP est désactivé, les messages RIP ne sont pas envoyés, mais en cas de réception de messages RIP, ils sont utilisés pour mettre à jour les informations de table de routage. REMARQUE La fonction RIP peut uniquement être définie sur les interfaces IP configurées manuellement. Cela signifie que la fonction RIP ne peut pas être définie sur une interface dont l'adresse IP a été reçue à partir d'un serveur DHCP ou dont l'adresse IP est l'adresse IP par défaut. Configuration du décalage Un message RIP inclut une métrique (nombre de sauts) pour chaque route. Un décalage est un numéro supplémentaire qui est ajouté à une métrique pour affecter le coût des chemins. Le décalage est défini par interface et peut, par exemple, refléter la vitesse, le délai et toute autre qualité de cette interface spécifique. De cette façon, vous pouvez ajuster le coût relatif des interfaces comme vous le souhaitez. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 372 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 20 Il est de votre responsabilité de définir le décalage pour chaque interface (1 par défaut). L'illustration suivante présente la configuration du décalage de métrique pour diverses interfaces, en fonction de la vitesse de port. Configuration du décalage (basé sur la vitesse de port) Le routeur rD peut envoyer les données à rA via rB ou rC. Puisque rC prend uniquement en charge les ports Fast Ethernet (FE) et que rB prend en charge les ports Gigabit Ethernet (GE), le coût du chemin du routeur rD au routeur rA est supérieur via le routeur rC (plus 4 au coût du chemin) par rapport au chemin via le routeur rB (plus 2 au coût du chemin). Par conséquent, il est préférable de transférer le trafic via le routeur rB. Pour ce faire, vous devez configurer un décalage différent (valeur de métrique) sur chaque interface en fonction de sa vitesse de ligne. Pour plus d'informations, reportez-vous à la section Configuration du décalage. Mode passif Il est possible de désactiver la transmission des messages de mise à jour du routage via une interface IP spécifique. Dans ce cas, le routeur est passif et ne reçoit que les informations RIP mises à jour sur cette interface. Par défaut, la transmission des mises à jour du routage sur une interface IP est activée. Pour plus d'informations, reportez-vous à la section Paramètres RIPv2 sur une interface IP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 373 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 20 Filtrage des mises à jour du routage Vous pouvez filtrer les routes entrantes et sortantes pour une interface IP donnée à l'aide de deux listes d'accès standard : une pour les entrées et l'autre pour les sorties. La liste d'accès standard est une liste nommée et ordonnée de paires constituées d'un préfixe IP (adresse IP et longueur du masque IP) et d'une action. L'action peut être « refuser » ou « autoriser ». Si une liste d'accès est définie, chaque route à partir du message RIP est vérifiée dans la liste, en commençant par la première paire : si elle correspond à la première paire et que l'action est « autoriser », la route est transmise ; si l'action est refusée, la route n'est pas transmise. Si la route ne correspond pas, la paire suivante est analysée. Si la route ne correspond à aucune paire, l'action « refuser » est appliquée. Annonce des entrées de route par défaut sur les interfaces IP L'adresse spéciale 0.0.0.0 est utilisée pour décrire une route par défaut. L'utilisation d'une route par défaut évite de devoir répertorier chaque réseau possible dans les mises à jour du routage lorsqu'un ou plusieurs routeurs étroitement connectés dans le système sont préparés à transférer le trafic aux réseaux qui ne sont pas explicitement répertoriés. Ces routeurs créent des entrées RIP pour l'adresse 0.0.0.0, comme s'ils étaient connectés à un réseau. Vous pouvez activer l'annonce de route par défaut et la configurer avec une métrique donnée. Fonctionnalité de redistribution Voici une liste des types de routes pouvant être distribuées par RIP : • Connectée : routes RIP pour lesquelles le protocole RIP n'est pas activé (définition locale) sur les interfaces IP définies correspondantes. La table de routage RIP répertorie uniquement par défaut les routes pour lesquelles le protocole RIP est activé sur les interfaces IP correspondantes. • Statique : routes (distantes) définies manuellement. Pour indiquer si oui ou non les routes statiques ou connectées doivent être redistribuées par RIP, configurez la fonctionnalité Redistribution de la route statique ou la fonctionnalité Redistribution de la route connectée, respectivement. Ces deux fonctionnalités sont désactivées par défaut et peuvent être activées globalement. Lorsque ces fonctionnalités sont activées, les routes refusées sont annoncées par les routes ayant une métrique de 16. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 374 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 20 La configuration de route peut être propagée par l'intermédiaire de l'une des options suivantes : • Paramètre par défaut Si cette option est sélectionnée, RIP utilise la valeur de métrique par défaut prédéfinie pour la configuration de route propagée. • Transparent (par défaut) Si cette option est sélectionnée, RIP utilise la métrique de table de routage comme métrique RIP pour la configuration de route propagée. Il en résulte le comportement suivant : • - Si la valeur de métrique d'une route est égale ou inférieure à 15, cette valeur est utilisée dans le protocole RIP lors de l'annonce de cette route. - Si la valeur de métrique d'une route est supérieure à 15, la route n'est pas annoncée aux autres routeurs via RIP. Paramètre défini par l'utilisateur Si cette option est sélectionnée, RIP utilise la valeur de métrique saisie par l'utilisateur. Utilisation de la fonction RIP dans un réseau dont les appareils ne sont pas RIP La configuration de route statique et les interfaces connectées doivent être prises en compte lorsque la fonction RIP est utilisée. Consultez à ce sujet l'illustration suivante, qui présente un réseau dans lequel certains routeurs prennent en charge RIP et d'autres pas. Réseau comportant des routeurs RIP et non RIP Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 375 Configuration IP : RIPv2 Fonctionnement de RIP sur l'appareil 20 Le routeur rA ne prend pas en charge RIP. Les entrées de routage pourvues d'une métrique appropriée sont donc configurées comme statiques sur ce routeur, alors que sur le routeur rB, la route vers le routeur rA est considérée comme connectée. À l'inverse, les routeurs rB et rC reçoivent et distribuent leurs entrées de routage via RIP. La configuration de route connectée du routeur rB peut être propagée au routeur rC via la métrique par défaut ou le système transparent. Une route statique/connectée est redistribuée soit avec la métrique de la route statique (métrique transparente), soit avec la métrique définie par la commande de métrique par défaut. Pour plus d'informations, reportez-vous à la section Fonctionnalité de redistribution. Authentification RIP Vous pouvez désactiver l'authentification des messages RIP par interface IP ou activer l'un des types suivants d'authentification : • Texte en clair ou mot de passe : utilise un mot de passe de clé (chaîne) qui est envoyé avec la route à un autre routeur. Le routeur de destination compare cette clé avec sa propre clé configurée. Si elles sont identiques, il accepte la route. • MD5 : utilise l'authentification Digest MD5. Chaque routeur est configuré avec un ensemble de clés secrètes. On appelle cet ensemble une chaîne de clé. Chaque chaîne de clé comprend une ou plusieurs clés. Chaque clé a un numéro d'identification (identifiant de la clé), une chaîne de clé et éventuellement une valeur send-lifetime et accept-lifetime. La valeur send-lifetime est la période pendant laquelle une clé d'authentification appartenant à une chaîne de clé peut être envoyée ; la valeur accept-lifetime est la période pendant laquelle une clé d'authentification appartenant à une chaîne de clé peut être reçue. Chaque message RIP transmis contient le Digest MD5 calculé du message (contenant la chaîne de clé), plus l'identifiant de clé de la chaîne de clé utilisée. La chaîne de clé est également configurée sur le récepteur. L'identifiant de clé est utilisé par le récepteur afin de sélectionner la clé pour valider le Digest MD5. Compteurs de statistiques RIP Vous pouvez contrôler le fonctionnement de RIP en consultant les compteurs de statistiques par interface IP. Pour obtenir une description de ces compteurs, reportez-vous à la section Affichage des compteurs de statistiques RIPv2. Base de données des homologues RIP Vous pouvez contrôler la base de données des homologues RIP par interface IP. Pour obtenir une description de ces compteurs, reportez-vous à la section Affichage de la base de données d'homologues RIPv2. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 376 Configuration IP : RIPv2 Configuration de RIP 20 Configuration de RIP Les actions suivantes peuvent être effectuées : • • Actions obligatoires : - Activez/désactivez globalement le protocole RIP, à l'aide de la page Propriétés RIPv2. - Activez/désactivez le protocole RIP sur une interface IP, à l'aide de la page Paramètres RIPv2. Actions facultatives (si elles ne sont pas effectuées, les valeurs par défaut sont utilisées par le système) - Activez/désactivez RIP pour annoncer les routes statiques ou connectées et sa métrique sur l'interface IP, à l'aide de la page Propriétés RIPv2. - Configurez le décalage ajouté à la métrique pour les routes entrantes sur une interface IP, à l'aide de la page Paramètres RIPv2. - Activez le mode passif sur une interface IP, à l'aide de la page Paramètres RIPv2. - Sachez quelles routes sont traitées dans les mises à jour du routage entrant/sortant en spécifiant une liste d'adresses IP sur l'interface IP (reportez-vous à la section Liste d'accès). - Annoncez les entrées de route par défaut sur l'interface IP, à l'aide de la page Paramètres RIPv2. - Activez l'authentification RIP sur une interface IP, à l'aide de la page Paramètres RIPv2. Propriétés RIPv2 Pour activer/désactiver RIP sur l'appareil. ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > RIPv2 > Propriétés RIPv2. ÉTAPE 2 Sélectionnez les options suivantes selon vos besoins : • • RIP : les options ci-après sont disponibles : - Activer : activez RIP. - Désactiver : désactivez RIP. La désactivation de RIP supprime la configuration de RIP sur le système. - Fermer : définissez l'état global de RIP sur « fermer ». Annonce RIP : permet d'activer l'envoi de mises à jour de routage à toutes le interfaces IP RIP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 377 Configuration IP : RIPv2 Configuration de RIP 20 • Annonce de route par défaut : permet d'activer l'envoi de la route par défaut au domaine RIP. Cette route sera utilisée comme routeur par défaut. • Mesure par défaut : saisissez la valeur de la métrique par défaut (reportez-vous à la section Fonctionnalité de redistribution). ÉTAPE 3 Redistribution de la route statique : sélectionnez cette fonction pour l'activer (décrite à la section Fonctionnalité de redistribution). ÉTAPE 4 Si la fonction Redistribution de la route statique est activée, sélectionnez une option pour le champ Redistribuer le paramètre connecté. Les options suivantes sont disponibles : • Mesure par défaut : si cette option est sélectionnée, RIP utilise la valeur de métrique par défaut pour la configuration de route statique propagée (reportez-vous à la section Fonctionnalité de redistribution). • Transparent : si cette option est sélectionnée, RIP utilise la métrique de table de routage comme métrique RIP pour la configuration de route statique propagée. Il en résulte le comportement suivant : • - Si la valeur de métrique d'une route statique est égale ou inférieure à 15, cette valeur est utilisée dans le protocole RIP lors de l'annonce de cette route statique. - Si la valeur de métrique d'une route statique est supérieure à 15, la route statique n'est pas annoncée aux autres routeurs via RIP. Métrique définie par l'utilisateur : saisissez la valeur de la métrique. ÉTAPE 5 Redistribution de la route connectée : sélectionnez cette fonction pour l'activer (décrite à la section Redistribution de la configuration de route statique). ÉTAPE 6 Si la fonction Redistribution de la route connectée est activée, sélectionnez une option pour le champ Redistribution de la mesure statique. Les options suivantes sont disponibles : • Mesure par défaut : si cette option est sélectionnée, RIP utilise la valeur de métrique par défaut pour la configuration de route statique propagée (reportez-vous à la section Fonctionnalité de redistribution). • Transparent : si cette option est sélectionnée, RIP utilise la métrique de table de routage comme métrique RIP pour la configuration de route statique propagée. Il en résulte le comportement suivant : - Si la valeur de métrique d'une route statique est égale ou inférieure à 15, cette valeur est utilisée dans le protocole RIP lors de l'annonce de cette route statique. - Si la valeur de métrique d'une route statique est supérieure à 15, la route statique n'est pas annoncée aux autres routeurs via RIP. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 378 Configuration IP : RIPv2 Configuration de RIP • 20 Métrique définie par l'utilisateur : saisissez la valeur de la métrique. ÉTAPE 7 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Paramètres RIPv2 sur une interface IP Pour configurer RIP sur une interface IP : ÉTAPE 1 Cliquez sur Configuration IP > RIPv2 > Paramètres RIPv2. ÉTAPE 2 Les paramètres RIP s'affichent par interface IP. Afin d'ajouter une nouvelle interface IP, cliquez sur Ajouter pour ouvrir la page Ajouter des paramètres RIPv2 et renseignez les champs suivants : • Adresse IP : sélectionnez une interface IP définie sur l'interface Couche 2. • Arrêter : permet d'activer RIP sur l'interface même à l'état Arrêt. • Passif : indique si l'envoi des messages de mise à jour de route RIP est autorisé sur l'interface IP spécifiée. Si ce champ n'est pas activé, les mises à jour RIP ne sont pas envoyées (passives). • Décalage : indique le numéro métrique de l'interface IP spécifiée. Il reflète le coût supplémentaire d'utilisation de cette interface, en fonction de la vitesse de celle-ci. • Annonce de route par défaut : cette option est définie de manière globale à la page Propriétés RIPv2. Vous pouvez utiliser la définition globale ou définir ce champ pour cette interface spécifique. Les options suivantes sont disponibles : - Global : permet d'utiliser les paramètres globaux définis sur l'écran Propriétés RIPv2. - Désactiver : permet de désactiver l'annonce de route par défaut sur cette interface RIP. - Activer : permet d'activer l'annonce de route par défaut sur cette interface RIP. • Mesure d'annonce de route par défaut : permet d'indiquer la métrique de la route par défaut pour cette interface. • Mode d'authentification : état d'authentification de RIP (activer/désactiver) sur une interface IP spécifiée. Les options suivantes sont disponibles : - Aucun : aucune authentification n'est effectuée. - Texte : le mot de passe de clé entré dessous est utilisé pour l'authentification. - MD5 : le Digest MD5 de la chaîne de clé sélectionnée ci-dessous est utilisé pour l'authentification. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 379 Configuration IP : RIPv2 Configuration de RIP 20 • Mot de passe de la clé : si le type d'authentification Texte a été sélectionné, saisissez le mot de passe à utiliser. • Chaîne de la clé : si le mode d'authentification MD5 a été sélectionné, saisissez la chaîne de clé à assimiler. Cette chaîne de clé est créée comme indiqué à la section Gestion de la clé. • Liste de distribution entrante : permet de configurer le filtrage sur les routes RIP entrantes pour la ou les adresses IP spécifiées dans le Nom de la liste d'accès. Si ce champ est activé, sélectionnez dessous le Nom de la liste d'accès : • Nom de la liste d'accès : permet d'indiquer le nom de la liste d'accès (qui inclut une liste d'adresses IP) du filtrage des routes entrantes RIP pour une interface IP spécifiée. Pour obtenir une description des listes d'accès, reportez-vous à la section Création d'une liste d'accès. • Liste de distribution sortante : permet de configurer le filtrage sur les routes RIP sortantes pour la ou les adresses IP spécifiées dans le Nom de la liste d'accès. Si ce champ est activé, sélectionnez dessous le Nom de la liste d'accès : • Nom de la liste d'accès : permet d'indiquer le Nom de la liste d'accès (qui inclut une liste d'adresses IP) du filtrage des routes sortantes RIP pour une interface IP spécifiée. Pour obtenir une description des listes d'accès, reportez-vous à la section Création d'une liste d'accès. ÉTAPE 3 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Affichage des compteurs de statistiques RIPv2 Pour afficher les compteurs de statistiques RIP de chaque adresse IP : ÉTAPE 1 Cliquez sur Configuration IP > RIPv2 > Statistiques RIPv2. Les champs suivants s'affichent : • Interface IP : interface IP définie sur l'interface Couche 2. • Paquets incorrects reçus : spécifie le nombre de paquets incorrects identifiés par RIP sur l'interface IP. • Routes incorrectes reçues : spécifie le nombre de routes incorrectes reçues et identifiées par RIP sur l'interface IP. Les routes incorrectes sont des routes dont les paramètres de route sont incorrects. Par exemple, la destination IP est une adresse de diffusion, ou la métrique est 0 ou supérieure à 16. • Mise à jour envoyée : indique le nombre de paquets envoyés par RIP sur l'interface IP. ÉTAPE 2 Pour effacer tous les compteurs de l'interface, cliquez sur Effacer tous les compteurs de l'interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 380 Configuration IP : RIPv2 Configuration de RIP 20 Affichage de la base de données d'homologues RIPv2 Pour afficher la base de données des homologues RIP (voisins) : ÉTAPE 1 Cliquez sur Configuration IP > RIPv2 > Base de données de routeur homologue RIPv2. Les champs suivants sont affichés pour la base de données de routeur homologue : • Adresse IP du routeur: interface IP définie sur l'interface Couche 2. • Paquets incorrects reçus : spécifie le nombre de paquets incorrects identifiés par RIP sur l'interface IP. • Routes incorrectes reçues : spécifie le nombre de routes incorrectes reçues et identifiées par RIP sur l'interface IP. Les routes incorrectes sont des routes dont les paramètres de route sont incorrects. Par exemple, la destination IP est une adresse de diffusion, ou la métrique est 0 ou supérieure à 16. • Date de dernière màj : indique quand RIP a reçu pour la dernière fois des routes RIP depuis l'adresse IP distante. ÉTAPE 2 Pour effacer tous les compteurs, cliquez sur Effacer tous les compteurs de l'interface. Liste d'accès Pour obtenir une description des listes d'accès, reportez-vous à la section Filtrage des mises à jour du routage. Pour créer des listes d'accès, procédez comme suit : 1. Créez une liste d'accès avec une seule adresse IP, à l'aide de la page Paramètres de la liste d'accès. 2. Ajoutez si nécessaire des adresses IP supplémentaires, à l'aide de la page Liste d'adresses IPv4 source. Création d'une liste d'accès Pour définir la configuration globale d'une liste d'accès. ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Liste d'accès > Paramètres de la liste d'accès. ÉTAPE 2 Afin d'ajouter une nouvelle liste d'accès, cliquez sur Ajouter pour ouvrir la page Ajouter une liste d'accès, puis renseignez les champs suivants : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 381 Configuration IP : RIPv2 Configuration de RIP 20 • Nom : définissez un nom pour la liste d'accès. • Adresse IPv4 source : entrez l'adresse IPv4 source. Les options suivantes sont disponibles : • • - Tous : toutes les adresses IP sont incluses. - Défini par l'utilisateur : saisissez une adresse IP. Masque de la source IPv4 : entrez le type et la valeur du masque d'adresse IPv4 source. Les options suivantes sont disponibles : - Masque de réseau : saisissez le masque de réseau. - Longueur du préfixe : saisissez la longueur du préfixe. Action : sélectionnez une action pour la liste d'accès. Les options suivantes sont disponibles : - Autoriser : permet d'autoriser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès. - Refuser : permet de refuser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès. ÉTAPE 3 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Remplissage d'une liste d'accès Pour peupler une liste d'accès avec des adresses IP. ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Liste d'accès > Liste d'adresses IPv4 source. ÉTAPE 2 Afin de modifier les paramètres d'une liste d'accès, cliquez sur Ajouter pour ouvrir la page Modifier la liste d'accès, puis modifiez l'un des champs suivants : • Nom de la liste d'accès : nom de la liste d'accès. • Adresse IPv4 source : adresse IPv4 source. Les options suivantes sont disponibles : • - Tous : toutes les adresses IP sont incluses. - Défini par l'utilisateur : saisissez une adresse IP. Masque de la source IPv4 : type et valeur du masque d'adresse IPv4 source. Les options suivantes sont disponibles : - Masque de réseau : saisissez le masque de réseau (par exemple, 255.255.0.0). - Longueur du préfixe : saisissez la longueur du préfixe. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 382 Configuration IP : RIPv2 Configuration de RIP • 20 Action : action pour la liste d'accès. Les options suivantes sont disponibles : - Autoriser : permet d'autoriser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès. - Refuser : permet de refuser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 383 21 Configuration IP : VRRP Ce chapitre décrit le fonctionnement du protocole VRRP (Virtual Router Redundancy Protocol) et la configuration des routeurs virtuels exécutant VRRP via une interface utilisateur graphique Web. REMARQUE Les modèles SF500 ne prennent pas en charge la fonctionnalité VRRP. Elle couvre les rubriques suivantes : • Présentation • Éléments configurables de VRRP • Configuration de VRRP Présentation VRRP est un protocole d'élection et de redondance qui attribue dynamiquement la responsabilité d'un routeur virtuel à l'un des routeurs physiques d'un LAN. Cette méthode joue en faveur de la disponibilité et de la fiabilité des voies de routage du réseau. Avec VRRP, un routeur physique d'un routeur virtuel est désigné comme unité principale, tandis qu'un autre routeur physique du même routeur virtuel prend le relais si le routeur principal rencontre un problème. Les routeurs physiques sont appelés des routeurs VRRP. La passerelle par défaut d'un hôte participant est attribuée au routeur virtuel, et non à un routeur physique. Si le routeur physique qui procède au routage des paquets au nom du routeur virtuel est défaillant, un autre routeur physique est choisi automatiquement pour le remplacer. Le routeur physique qui transfère des paquets à tout moment est appelé le routeur principal. Le protocole VRRP permet également de répartir la charge du trafic. Il est possible de partager équitablement le trafic entre les routeurs disponibles en configurant VRRP de sorte à ce que plusieurs routeurs se partagent le trafic vers et depuis des clients LAN. Contraintes VRRP n'est pris en charge que par les commutateurs SG500X/ESW2-550X. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 384 21 Configuration IP : VRRP Présentation Topologie VRRP Vous allez découvrir la topologie d'un LAN sur lequel VRRP est configuré. Dans cet exemple, les routeurs A, B et C sont des routeurs VRRP et englobent un routeur virtuel. L'adresse IP du routeur virtuel est la même que celle configurée pour l'interface Ethernet du routeur A (198.168.2.1). Topologie VRRP de base Le routeur virtuel utilise l'adresse IP de l'interface Ethernet physique du routeur A, ce dernier joue donc le rôle de routeur virtuel principal et est également propriétaire de l'adresse IP. En tant que routeur virtuel principal, le routeur A contrôle l'adresse IP du routeur virtuel et se charge d'acheminer les paquets au nom du routeur virtuel. Les clients1 à 3 sont configurés avec l'adresse IP de la passerelle par défaut : 198.168.2.1. Le client 4 est configuré avec l'adresse IP de la passerelle par défaut : 198.168.2.2. REMARQUE Le routeur VRRP, propriétaire de l'adresse IP, répond/traite les paquets à destination de l'adresse IP. Le routeur VRRP, routeur virtuel principal, mais pas propriétaire de l'adresse IP, ne répond/traite pas ces paquets. Les routeurs B et C font office de routeurs virtuels de secours. Si le routeur virtuel principal est défaillant, le routeur affichant la priorité la plus élevée prend sa place et propose ses services aux hôtes LAN tout en minimisant les interruptions. REMARQUE La priorité du routeur VRRP dépend des éléments suivants : si le routeur VRRP est le propriétaire, sa priorité est de 255 (la plus élevée) ; s'il n'est pas propriétaire, sa priorité est configurée manuellement (toujours inférieure à 255). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 385 Configuration IP : VRRP Présentation 21 Lorsque le routeur A est à nouveau opérationnel, il reprend son rôle de routeur virtuel principal. Pendant toute la durée de l'indisponibilité, les deux routeurs principaux transfèrent des paquets, ce qui peut engendrer certains doublons (comportement normal), mais aucune interruption. Pour en savoir plus sur les rôles joués par les routeurs VRRP et sur les conséquences d'une défaillance du routeur virtuel principal, consultez la section Priorité et devancement du routeur VRRP. Vous allez découvrir la topologie d'un LAN sur lequel VRRP est configuré. Les routeurs A et B se partagent le trafic vers et depuis les clients1 à 4. Ces routeurs sont les routeurs virtuels de secours l'un de l'autre en cas de panne. Topologie VRRP du partage de charge Dans cette topologie, deux routeurs virtuels sont configurés. Pour le routeur virtuel 1, rA est le propriétaire de l'adresse IP 192.168.2.1 et joue le rôle de routeur virtuel principal, et rB est le routeur virtuel de secours de rA. Les clients1 et 2 sont configurés avec l'adresse IP de la passerelle par défaut : 198.168.2.1. Pour le routeur virtuel 2, rB est le propriétaire de l'adresse IP 192.168.2.2 et joue le rôle de routeur virtuel principal, et rA est le routeur virtuel de secours de rB. Les clients 3 et 4 sont configurés avec l'adresse IP de la passerelle par défaut : 198.168.2.2. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 386 Configuration IP : VRRP Éléments configurables de VRRP 21 Éléments configurables de VRRP Chaque routeur virtuel du même LAN doit posséder un identifiant unique de routeur virtuel (VRID). Tous les routeurs VRRP prenant en charge le même routeur virtuel doivent être configurés à l'aide de toutes les informations relatives au routeur virtuel, y compris son VRID. Les routeurs virtuels doivent être activés sur le périphérique seulement si le routage IP est également activé. Vous pouvez configurer un routeur VRRP de sorte à ce qu'il fasse partie d'un ou plusieurs routeurs virtuels, en utilisant soit l'interface de ligne de commande, soit l'interface utilisateur graphique Web, comme décrit dans la section Configuration de VRRP. Pour configurer un routeur virtuel, vous renseignez toutes les informations utiles, telles que l'ID et les adresses IP du routeur virtuel, sur chaque routeur VRRP qui prend en charge le routeur virtuel. Vous pouvez configurer et personnaliser les éléments suivants. Identification du routeur virtuel Le routeur virtuel doit se voir attribuer un identifiant (VRID) et éventuellement une description. Les sections suivantes décrivent les différents attributs du routeur virtuel. VRRP prend en charge jusqu'à 255 routeurs virtuels (groupes VRRP). Versions VRRP Le périphérique prend en charge les types de versions VRRP suivants : • VRRPv3 IPv4 basé sur RFC5798. Des messages VRRPv3 sont envoyés. • VRRPv3 et VRRPv2 IPv4 basés sur RFC5798. Des messages VRRPv3 et VRRPv2 sont envoyés. • VRRPv2 IPv4 basé sur RC3768. Des messages VRRPv2 sont envoyés. La version VRRP est configurée sur chaque routeur virtuel. VRRPv2 est la version par défaut. Vous pouvez être confronté aux situations suivantes lors de la configuration d'un routeur virtuel : • Tous les routeurs VRRP existants du routeur virtuel sont exécutés en mode VRRPv3. Dans ce cas, choisissez également VRRPv3 pour votre nouveau routeur VRRP. • Tous les routeurs VRRP existants du routeur virtuel sont exécutés en mode VRRPv2. Dans ce cas, choisissez également VRRPv2 pour votre nouveau routeur VRRP. • Si au moins un routeur VRRP du routeur virtuel est exécuté en mode VRRPv2 et VRRPv3. Dans ce cas, choisissez VRRPv3 pour votre routeur VRRP, même si VRRPv2 est également compatible. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 387 Configuration IP : VRRP Éléments configurables de VRRP 21 REMARQUE Si le routeur virtuel comporte des routeurs uniquement compatibles avec VRRPv2 et d'autres uniquement compatibles avec VRRPv3, vous devez configurer au moins un routeur VRRPv2 et VRRPv3. REMARQUE Lorsque les modes VRRPv2 et VRRPv3 sont activés sur un routeur VRRP, ce dernier transmet des paquets VRRPv2 et VRRPv3. Conformément aux normes VRRPv3, l'activation des modes VRRPv2 et VRRPv3 doit être réalisée lors de la mise à niveau depuis v2 vers v3. Vous pouvez disposer des deux versions uniquement de manière temporaire. Veuillez consulter la norme VRRPv3 pour en savoir plus sur l'interconnexion entre VRRPv2 et VRRPv3. Adresses IP du routeur virtuel Chaque routeur virtuel se voit attribuer une ou plusieurs adresses IP dont le routeur principal actuel est en charge. Un routeur VRRP prenant en charge un routeur virtuel doit posséder une interface IP sur le même sousréseau IP incluant les adresses IP configurées sur le routeur virtuel. Vous devez respecter les règles suivantes lorsque vous attribuez des adresses IP à un routeur virtuel : • Tous les routeurs VRRP prenant en charge le routeur virtuel doivent être configurés avec les mêmes adresses IP que celles du routeur virtuel. • Vous ne pouvez pas utiliser l'une des adresses IP pour un autre routeur virtuel ou pour des routeurs VRRP qui ne prennent pas en charge le routeur virtuel. • L'un des routeurs VRRP prenant en charge le routeur virtuel doit être propriétaire de toutes les adresses IP du routeur virtuel. Un routeur VRRP est le propriétaire des adresses IP si ces dernières sont de véritables adresses configurées sur son interface IP. • Si un routeur VRRP (le routeur physique) est propriétaire des adresses IP du routeur virtuel, l'adresse IP du routeur virtuel doit être configurée manuellement sur le routeur VRRP ; elle ne doit pas être attribuée via DHCP. • Si un routeur VRRP n'est pas propriétaire des adresses IP du routeur virtuel : - Les routeurs VRRP non propriétaires doivent être configurés à l'aide d'une interface IP sur le même sous-réseau IP que les adresses IP du routeur virtuel. - Les sous-réseaux IP correspondants doivent être configurés manuellement au niveau du routeur VRRP ; ils ne doivent pas être attribués via DHCP. Tous les routeurs VRRP prenant en charge le même routeur virtuel doivent être configurés de manière identique. Si les configurations sont différentes, la configuration du routeur principal sera utilisée. Un routeur VRRP de secours envoie un message SYSLOG lorsque sa configuration est différente de celle du routeur principal. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 388 Configuration IP : VRRP Éléments configurables de VRRP 21 Adresse IP source d'un routeur VRRP Chaque routeur VRRP prenant en charge un routeur virtuel utilise sa propre adresse IP comme adresse IP source dans ses messages VRRP sortants pour le routeur virtuel. Les routeurs VRRP du même routeur virtuel communiquent les uns avec les autres via des messages VRRP. Si un routeur VRRP est propriétaire de l'adresse IP du routeur virtuel, alors l'adresse IP correspond à l'une des adresses IP du routeur virtuel. Si un routeur VRRP n'est pas propriétaire de l'adresse IP du routeur virtuel, alors l'adresse IP correspond à l'adresse IP de l'interface du routeur VRRP sur le même sous-réseau IP que le routeur virtuel. Si l'adresse IP source a été configurée manuellement, la configuration est supprimée et l'adresse IP source par défaut est utilisée (l'adresse IP la plus faible du routeur VRRP définie sur l'interface). Si l'adresse IP source correspond à celle par défaut, une nouvelle adresse IP source par défaut est utilisée. Priorité et devancement du routeur VRRP Un aspect essentiel du schéma de redondance VRRP consiste à attribuer une priorité VRRP à chaque routeur VRRP. Cette priorité VRRP doit faire référence à l'efficacité démontrée par un routeur VRRP qui remplacerait un routeur virtuel défini dans le routeur VRRP. Si plusieurs routeurs VRRP de secours se tiennent à disposition du routeur virtuel, la priorité détermine celui qui remplacera le routeur principal actuel en cas de défaillance. Si un routeur virtuel est propriétaire de l'adresse IP, sa priorité VRRP est automatiquement attribuée par le système (255) et le routeur VRRP (sur lequel ce routeur virtuel est attribué) est automatiquement exécuté comme routeur virtuel principal s'il est actif. Dans la Figure, si le routeur A, étant le routeur virtuel principal, est en panne, un processus de sélection est lancé pour déterminer si les routeurs de secours B ou C doivent le remplacer. Si les routeurs B et C disposent des priorités101 et 100, respectivement, le routeur B deviendra le routeur virtuel principal en raison de sa priorité plus élevée. Si les deux routeurs ont la même priorité, celui affichant l'adresse IP la plus élevée sera choisi pour remplacer le routeur virtuel principal. Par défaut, une fonction de devancement est activée, qui fonctionne comme suit : • Activé : quand un routeur VRRP ayant une priorité plus élevée que le routeur principal actuel est actif, il remplace le routeur principal actuel. • Désactivé : même si un routeur VRRP ayant une priorité plus élevée que le routeur principal actuel est actif, il ne remplace pas le routeur principal actuel. Seul le routeur principal d'origine (lorsqu'il est disponible) remplace le routeur de secours. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 389 21 Configuration IP : VRRP Configuration de VRRP Annonces VRRP Le routeur virtuel principal envoie des annonces VRRP aux routeurs du même groupe (disposant de la même identification de routeur virtuel). Ces annonces sont encapsulées dans des paquets IP et envoyées à l'adresse IPv4 de multidiffusion attribuée au groupe VRRP. Les annonces sont envoyées chaque seconde par défaut ; vous pouvez définir l'intervalle d'annonce. Cet intervalle est exprimé en ms (Plage : 50 à 40950, valeur par défaut : 1000). Une non-valeur n'est pas valide. • Dans la version 3 du VRRP, l'intervalle d'annonce opérationnel est arrondi aux 10 ms inférieures les plus proches. • Dans la version 2 du VRRP, l'intervalle d'annonce opérationnel est arrondi à la seconde inférieure la plus proche. La valeur opérationnelle minimale est de 1 s. Configuration de VRRP Cette fonction peut être configurée dans les pages suivantes. Routeurs virtuels Les propriétés VRRP peuvent être configurées et personnalisées sur la page Routeurs virtuels VRRP. ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > VRRP > Routeurs virtuels. ÉTAPE 2 Pour ajouter un routeur virtuel, cliquez sur AJOUTER. ÉTAPE 3 Renseignez les champs suivants : • Interface : interface sur laquelle le routeur virtuel est défini. • Identifiant du routeur virtuel : numéro défini par l'utilisateur identifiant le routeur virtuel. • Description : chaîne définie par l'utilisateur identifiant le routeur virtuel. • État : sélectionnez cette option pour activer VRRP sur le périphérique. • Version : sélectionnez la version de VRRP à utiliser sur ce routeur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 390 Configuration IP : VRRP Configuration de VRRP 21 • Propriétaire de l'adresse IP : si Oui est sélectionné, vous savez que l'adresse IP du périphérique correspond à l'adresse IP du routeur virtuel. Sélectionnez les adresses IP propriétaires dans la liste Adresse IP disponible et déplacez-les vers la liste Adresse IP propriétaire. • Si Non est sélectionné, vous devez saisir la ou les adresses du routeur virtuel dans le champ Adresse IP du routeur virtuel. Si vous ajoutez plusieurs adresses IP, séparez-les comme suit : 1.1.1.1, 2.2.2.2. • Adresse IP source : sélectionnez l'adresse IP à utiliser dans les messages VRRP. L'adresse IP source par défaut est l'adresse IP la plus faible définie sur l'interface. • Priorité : si ce périphérique est le propriétaire, ce champ indique la valeur 255 et vous ne pouvez pas la modifier. Dans le cas contraire, saisissez la priorité de ce périphérique en fonction de sa capacité à remplacer le routeur principal. 100 est la valeur par défaut d'un périphérique non propriétaire. • Mode devancement : sélectionnez Vrai ou Faux pour activer ou désactiver le mode de devancement, comme décrit dans la section Priorité et devancement du routeur VRRP. • Intervalle d'annonce : saisissez un intervalle, comme décrit dans la section Annonces VRRP. REMARQUE Si ces paramètres sont modifiés (Modifier), le routeur virtuel est modifié et un nouveau message est envoyé en suivant les nouveaux paramètres. ÉTAPE 4 Pour en savoir plus sur un routeur virtuel, cliquez sur Détails. ÉTAPE 5 Les champs suivants sont affichés pour le routeur virtuel sélectionné : • Interface : l'interface Couche 2 (port, LAG ou VLAN) sur laquelle le routeur virtuel est défini • Identifiant du routeur virtuel : numéro d'identification du routeur virtuel. • Adresse MAC du routeur virtuel : adresse MAC virtuelle du routeur virtuel. • Table d'adresse IP du routeur virtuel : adresses IP associées à ce routeur virtuel. • Description : nom du routeur virtuel. • Version : version du routeur virtuel. • État : activé pour le protocole VRRP. • Propriétaire de l'adresse IP : propriétaire de l'adresse IP du routeur virtuel. • État de l'unité principale/de secours : indique si le routeur virtuel est l'unité principale ou l'unité de secours. • Temps de déphasage : temps utilisé dans le calcul de l'intervalle d'arrêt de l'unité principale. • Intervalle d'arrêt de l'unité principale : intervalle de temps pendant lequel l'unité de secours peut déclarer l'arrêt de l'unité principale. • Mode devancement : indique si le mode devancement est activé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 391 21 Configuration IP : VRRP Configuration de VRRP • • Mes paramètres du routeur virtuel sélectionné : - Priorité : priorité de ce périphérique de routeur virtuel, selon sa capacité à fonctionner comme unité principale. - Intervalle d'annonce : intervalle de temps décrit à la section Annonces VRRP. - Adresse IP source : adresse IP à utiliser dans les messages VRRP. Paramètres principaux de l'unité principale : - Priorité : 255 - Intervalle d'annonce : intervalle de temps décrit à la section Annonces VRRP. - Adresse IP source : adresse IP à utiliser dans les messages VRRP. Statistiques VRRP Pour afficher les statistiques VRRP et effacer les compteurs de l'interface : ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > VRRP > Statistiques VRRP. Les champs suivants sont affichés pour chaque interface sur laquelle VRRP est activé : • Interface : affiche l'interface sur laquelle VRRP est activé. • Somme de contrôle non valide : affiche le nombre de paquets ayant des sommes de contrôle non valides. • Longueur de paquet non valide : affiche le nombre de paquets ayant des longueurs de paquet non valides. • TTL incorrect : affiche le nombre de paquets ayant des valeurs TTL (Time-to-Live) non valides. • Type de paquet VRRP non valide : affiche le nombre de paquets ayant des types de paquet VRRP non valides. • ID VRRP non valide : affiche le nombre de paquets ayant des ID VRRP non valides. • Numéro de protocole non valide : affiche le nombre de paquets ayant des numéros de protocole non valides. • Liste IP non valide : affiche le nombre de paquets ayant des listes IP non valides. • Intervalle non valide : affiche le nombre de paquets ayant des intervalles non valides. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 392 21 Configuration IP : VRRP Configuration de VRRP • Authentification non valide : affiche le nombre de paquets dont l'authentification a échoué. ÉTAPE 2 Sélectionnez une Interface. ÉTAPE 3 Cliquez sur Effacer les compteurs de l'interface pour effacer les compteurs de cette interface. ÉTAPE 4 Cliquez sur Effacer tous les compteurs de l'interface pour effacer tous les compteurs. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 393 22 Sécurité Cette section décrit le contrôle d'accès et la sécurité du périphérique. Le système gère différents types de sécurité. La liste de rubriques suivante décrit les différents types de fonctions de sécurité présentées dans cette section. Certaines fonctionnalités sont utilisées pour plusieurs types de sécurité ou de contrôle et s'affichent donc à plusieurs reprises dans la liste des rubriques présentée ci-dessous. L'autorisation d'administrer le périphérique est décrite dans les sections suivantes : • Définition d'utilisateurs • Configuration de TACACS+ • Configuration de RADIUS • Méthode d'accès de gestion • Authentification de l'accès de gestion • Gestion de la clé • Gestion sécurisée des données confidentielles • Serveur SSL La protection contre les attaques visant le CPU du périphérique est décrite dans les sections suivantes : • Configuration des services TCP/UDP • Définition du contrôle des tempêtes • Contrôle d'accès Le contrôle d'accès au réseau des utilisateurs finaux par l'intermédiaire du périphérique est décrit dans les sections suivantes : • Méthode d'accès de gestion • Méthode d'accès de gestion • Configuration de TACACS+ Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 394 22 Sécurité Définition d'utilisateurs • Configuration de RADIUS • Configuration de la sécurité des ports • 802.1X • Période La protection contre les autres utilisateurs du réseau est décrite dans les sections suivantes. Il s'agit d'attaques qui transitent par le périphérique, mais qui ne sont pas dirigées vers ce dernier. • Prévention du déni de service • Surveillance DHCP • Serveur SSL • Définition du contrôle des tempêtes • Configuration de la sécurité des ports • Protection de la source IP • Inspection ARP • Contrôle d'accès • Sécurité du premier saut Définition d'utilisateurs Le nom d'utilisateur/mot de passe par défaut est cisco/cisco. Lors de votre première ouverture de session avec le nom d'utilisateur et le mot de passe par défaut, vous devez saisir un nouveau mot de passe. La complexité des mots de passe est activée par défaut. Si le mot de passe que vous choisissez n'est pas suffisamment complexe (les Paramètres de complexité du mot de passe peuvent être activés sur la page Sécurité du mot de passe), le système vous invite à créer un autre mot de passe. Définition de comptes d'utilisateurs La page Comptes d'utilisateur vous permet de saisir des utilisateurs supplémentaires autorisés à accéder au périphérique (en lecture seule ou en lecture/écriture) ou de modifier les mots de passe d'utilisateurs existants. Après l'ajout d'un utilisateur de niveau 15 (comme décrit ci-dessous), l'utilisateur par défaut est supprimé du système. REMARQUE Il est impossible de supprimer tous les utilisateurs. Si tous les utilisateurs sont sélectionnés, le bouton Supprimer est désactivé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 395 22 Sécurité Définition d'utilisateurs Pour ajouter un nouvel utilisateur : ÉTAPE 1 Cliquez sur Administration > User Accounts. Cette page affiche les utilisateurs définis dans le système ainsi que leur niveau de privilèges. ÉTAPE 2 Sélectionnez Service de récupération du mot de passe pour activer cette fonction. Lorsque cette fonction est activée, un utilisateur final disposant d'un accès physique au port de console du périphérique peut accéder au menu de démarrage et déclencher le processus de récupération du mot de passe. Lorsque le processus de démarrage du système est terminé, vous êtes autorisé à vous connecter au périphérique sans authentification de mot de passe. L'accès au périphérique est autorisé uniquement par le biais de la console et exclusivement lorsque la console est connectée au périphérique avec accès physique. Lorsque le mécanisme de récupération du mot de passe est désactivé, l'accès au menu de démarrage est toujours autorisé et vous pouvez déclencher le processus de récupération du mot de passe. La différence est que dans ce cas, tous les fichiers de configuration et les fichiers des utilisateurs sont supprimés durant le processus de démarrage du système et un message de journal approprié est généré sur le terminal. ÉTAPE 3 Cliquez sur Add pour ajouter un nouvel utilisateur ou sur Edit pour en modifier un. ÉTAPE 4 Saisissez les paramètres. • Nom d'utilisateur : saisissez un nouveau nom d'utilisateur comportant 20 caractères maximum. Les caractères UTF-8 sont interdits. • Mot de passe : saisissez un mot de passe (les caractères UTF-8 sont interdits). Si la fiabilité et la complexité du mot de passe sont définies, le mot de passe utilisateur doit être conforme à la stratégie configurée dans Définition de règles de complexité des mots de passe. • Confirm Password : saisissez à nouveau le mot de passe. • Password Strength Meter : affiche le niveau de sécurité du mot de passe. Vous pouvez définir la stratégie de sécurité et de complexité du mot de passe sur la page Sécurité du mot de passe. • Niveau d'utilisateur : sélectionnez le niveau de privilèges de l'utilisateur que vous ajoutez/modifiez. - Accès CLI en Lecture seule (1) : l'utilisateur ne peut pas accéder à l'interface utilisateur graphique et peut uniquement accéder aux commandes d'interface de ligne de commande qui ne modifient pas la configuration du périphérique. - Accès CLI en Lecture/Écriture limitée (7) : l'utilisateur ne peut pas accéder à l'interface utilisateur graphique et peut uniquement accéder aux commandes d'interface de ligne de commande qui modifient la configuration du périphérique. Pour plus d'informations, reportez-vous au Guide de référence de l'interface de ligne de commande (CLI). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 396 22 Sécurité Définition d'utilisateurs - Accès de gestion en lecture/écriture (15) : l'utilisateur peut accéder à l'interface utilisateur graphique et configurer le périphérique. ÉTAPE 5 Cliquez sur Appliquer. L'utilisateur est ajouté au fichier de Configuration d'exécution du périphérique. Définition de règles de complexité des mots de passe Les mots de passe permettent d'authentifier les utilisateurs qui accèdent au périphérique. Les mots de passe simples constituent des risques de sécurité potentiels. Par conséquent, les exigences de complexité du mot de passe sont appliquées par défaut et peuvent être configurées si nécessaire. Vous pouvez configurer les exigences de complexité du mot de passe sur la page Sécurité du mot de passe accessible via le menu déroulant Sécurité. En outre, le délai d'expiration du mot de passe peut être configuré sur cette page. Pour définir les règles de complexité des mots de passe : ÉTAPE 1 Cliquez sur Security > Password Strength. ÉTAPE 2 Saisissez les paramètres d'expiration suivants pour les mots de passe : • Expiration du mot de passe : si cette option est sélectionnée, l'utilisateur sera invité à modifier le mot de passe une fois le Délai d'expiration du mot de passe atteint. • Délai d'expiration du mot de passe : saisissez la durée en jours à l'issue de laquelle le système invite l'utilisateur à changer de mot de passe. REMARQUE L'expiration du mot de passe s'applique aussi aux mots de passe de longueur nulle (pas de mot de passe). ÉTAPE 3 Sélectionnez Paramètres de complexité du mot de passe afin d'activer les règles de complexité pour les mots de passe. Si la complexité du mot de passe est activée, les nouveaux mots de passe doivent être conformes aux paramètres par défaut suivants : • Avoir une longueur minimale de huit caractères. • Contenir des caractères appartenant à au moins trois classes de caractères (caractères majuscules, minuscules, numériques et spéciaux disponibles sur un clavier standard). • Être différents du mot de passe actuel. • Ne pas contenir de caractère répété plus de trois fois consécutivement. • Ne pas répéter ou inverser le nom d'utilisateur ou toute variante obtenue en changeant la casse des caractères. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 397 22 Sécurité Configuration de TACACS+ • Ne pas répéter ou inverser le nom du fabricant ou toute variante obtenue en changeant la casse des caractères. ÉTAPE 4 Si les Paramètres de complexité du mot de passe sont activés, les paramètres suivants peuvent être configurés : • Minimal Password Length : saisissez le nombre minimum de caractères requis pour les mots de passe. REMARQUE Un mot de passe de longueur nulle (pas de mot de passe) est autorisé, et un délai d'expiration du mot de passe peut lui être attribué. • Allowed Character Repetition : saisissez le nombre de fois qu'un caractère peut être répété. • Minimal Number of Character Classes : saisissez le nombre de classes de caractères qui doivent être présentes dans un mot de passe. Les classes de caractères sont minuscules (1), majuscules (2), chiffres (3) et symboles ou caractères spéciaux (4). • The New Password Must Be Different than the Current One : si cette option est sélectionnée, lors de la modification du mot de passe, le nouveau mot de passe ne peut pas être identique au mot de passe actuel. ÉTAPE 5 Cliquez sur Apply. Les paramètres de mot de passe sont écrits dans le fichier de Configuration d'exécution. REMARQUE Il est possible de configurer l'équivalence nom d'utilisateur-mot de passe et l'équivalence fabricant-mot de passe via l'interface de ligne de commande (CLI). Pour des instructions supplémentaires, reportez-vous au Guide de référence de l'interface de ligne de commande (CLI). Configuration de TACACS+ Une entreprise peut établir un serveur Système de contrôle d'accès au contrôleur d'accès des terminaux (TACACS+) pour fournir une sécurité centralisée à tous les périphériques. Ainsi, les stratégies d'authentification et d'autorisation peuvent être traitées sur un seul serveur pour tous les périphériques de l'entreprise. Le périphérique peut servir de client TACACS+ utilisant le serveur TACACS+ pour les services suivants : • Authentification : assure l'authentification des utilisateurs se connectant au périphérique en utilisant des noms d'utilisateur et des mots de passe définis par l'utilisateur. • Autorisation : effectuée au moment de la connexion. Une fois la session d'authentification terminée, une session d'autorisation commence en utilisant le nom d'utilisateur authentifié. Le serveur TACACS+ vérifie ensuite les privilèges de l'utilisateur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 398 22 Sécurité Configuration de TACACS+ • Comptabilité : activez la gestion de comptes des sessions de connexion à l'aide du serveur TACACS+. Cela permet à l'administrateur système de générer des rapports de gestion de comptes depuis le serveur TACACS+. Outre le fait de fournir des services d'authentification et d'autorisation, le protocole TACACS+ permet de garantir la protection du message TACACS grâce à un corps de message TACACS chiffré. TACACS+ est uniquement pris en charge sur IPv4. Certains serveurs TACACS+ prennent en charge une connexion unique qui permet à l'appareil de recevoir toutes les informations sur une même connexion. Si le serveur TACACS+ ne prend pas en charge cette fonction, l'appareil revient à des connexions multiples. Gestion de comptes utilisant un serveur TACACS+ L'utilisateur peut activer la gestion de comptes des sessions de connexion à l'aide d'un serveur RADIUS ou TACACS+. Le port TCP configurable par l'utilisateur utilisé pour la gestion de comptes du serveur TACACS+ est le même port TCP utilisé pour l'authentification et l'autorisation du serveur TACACS+. Les informations suivantes sont envoyées au serveur TACACS+ par le périphérique lorsque l'utilisateur se connecte ou se déconnecte : Table 6: Argument Description Dans le message de démar-rage Dans le message d'arrêt task_id Identificateur unique de session de gestion de comptes. Oui Oui utilisateur Nom d'utilisateur saisi pour l'authentification de la connexion. Oui Oui rem-addr Adresse IP de l'utilisateur. Oui Oui elapsed-time Indique la durée de connexion de l'utilisateur. Non Oui reason Rapports indiquant la raison de l'arrêt de la session. Non Oui Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 399 22 Sécurité Configuration de TACACS+ Valeurs par défaut Les valeurs par défaut suivantes concernent cette fonction : • Aucun serveur TACACS+ n'est défini par défaut. • Si vous configurez un serveur TACACS+, la fonction de gestion de comptes est désactivée par défaut. Interactions avec les autres fonctions Vous ne pouvez pas activer la gestion de comptes sur un serveur RADIUS et un serveur TACACS+. Flux de travail Pour utiliser un serveur TACACS+, procédez comme suit : ÉTAPE 1 Ouvrez un compte utilisateur sur le serveur TACACS+. ÉTAPE 2 Configurez ce serveur et les autres paramètres sur les pages TACACS+ et Ajouter un serveur TACACS+. ÉTAPE 3 Sélectionnez TACACS+ sur la page Gestion de l'authentification d'accès. Ainsi, lorsqu'un utilisateur se connecte au périphérique, l'authentification est effectuée sur le serveur TACACS+ au lieu de sur la base de données locale. REMARQUE Si plusieurs serveurs TACACS+ ont été configurés, le périphérique utilise les priorités configurées des serveurs TACACS+ disponibles pour sélectionner le serveur TACACS+ à utiliser par le périphérique. Configuration d'un serveur TACACS+ La page TACACS+ permet de configurer les serveurs TACACS+. Seuls les utilisateurs qui ont le niveau de privilèges 15 sur le serveur TACACS+ peuvent administrer le périphérique. Le niveau de privilèges15 est attribué à un utilisateur ou à un groupe d'utilisateurs sur le serveur TACACS+ par le biais de la chaîne suivante dans la définition de l'utilisateur ou du groupe : service = exec { priv-lvl = 15 } Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 400 22 Sécurité Configuration de TACACS+ Pour configurer les paramètres du serveur TACACS+ : ÉTAPE 1 Cliquez sur Security > TACACS+. ÉTAPE 2 Activez Gestion de comptes TACACS+ si nécessaire. Consultez l'explication fournie à la section Gestion de comptes utilisant un serveur TACACS+. ÉTAPE 3 Configurez les paramètres par défaut suivants : • Chaîne de clé : entrez la Chaîne de clé par défaut utilisée pour la communication avec tous les serveurs TACACS+ en mode Chiffré ou Texte en clair. Le périphérique peut être configuré pour utiliser cette clé ou pour utiliser une clé saisie pour un serveur spécifique (saisie sur la page Ajouter un serveur TACACS+). Si vous n'entrez pas de chaîne de clé dans ce champ, la clé de serveur saisie sur la page Ajouter un serveur TACACS+ doit correspondre à la clé de cryptage utilisée par le serveur TACACS+. Si vous entrez ici une chaîne de clé et une chaîne de clé pour un seul serveur TACACS+, la chaîne de clé configurée pour le serveur TACACS+ est prioritaire. • Délai de réponse : saisissez la durée qui s'écoule avant l'expiration de la connexion entre le périphérique et le serveur TACACS+. Si aucune valeur n'est entrée sur la page Ajouter un serveur TACACS+ pour un serveur spécifique, la valeur appliquée est celle figurant dans ce champ. • Interface IPv4 source : sélectionnez l'interface source IPv4 du périphérique à utiliser dans les messages envoyés pour les communications avec le serveur TACACS+. • Interface IPv6 source : sélectionnez l'interface source IPv6 du périphérique à utiliser dans les messages envoyés pour les communications avec le serveur TACACS+. REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. ÉTAPE 4 Cliquez sur Apply. Les paramètres TACACS+ par défaut sont ajoutés au fichier de Configuration d'exécution. Ces paramètres sont utilisés si les paramètres équivalents ne sont pas définis sur la page Ajouter. ÉTAPE 5 Pour ajouter un serveur TACACS+, cliquez sur Ajouter. ÉTAPE 6 Saisissez les paramètres. • • Définition du serveur : sélectionnez l'une des méthodes d'identification du serveur TACACS+ ciaprès : - Par adresse IP : si vous avez sélectionné cette option, entrez l'adresse IP du serveur dans le champ Nom/Adresse IP du serveur. - Par nom : si vous avez sélectionné cette option, entrez le nom du serveur dans le champ Nom/ Adresse IP du serveur. Version IP : sélectionnez la version IP prise en charge pour l'adresse source : IPv6 ou IPv4. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 401 22 Sécurité Configuration de TACACS+ • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée). • Nom/Adresse IP du serveur : saisissez l'adresse IP ou le nom du serveur TACACS+. • Priorité : saisissez l'ordre dans lequel ce serveur TACACS+ est utilisé. Zéro correspond au serveur TACACS disposant de la priorité la plus élevée : il s'agit du serveur qui sera utilisé en premier. Si le périphérique ne parvient pas à établir de session avec le serveur possédant la priorité la plus élevée, il essaie avec le serveur disposant du niveau de priorité suivant. • Chaîne de clé : saisissez la chaîne de clé par défaut utilisée pour l'authentification et le cryptage entre le périphérique et le serveur TACACS+. La clé doit correspondre à celle configurée sur le serveur TACACS+. Une chaîne de clé est utilisée pour crypter les communications à l'aide de MD5. Vous pouvez sélectionner la clé par défaut du périphérique ou saisir une clé dans le formulaire Crypté ou Texte en clair. Si vous ne disposez pas de chaîne de clé cryptée (à partir d'un autre périphérique), saisissez la chaîne de clé en texte en clair et cliquez sur Apply. La chaîne de clé cryptée est générée et affichée. Si vous entrez une clé, la chaîne de clé par défaut est remplacée si une autre chaîne de clé est définie pour le périphérique sur la page principale. • Délai de réponse : sélectionnez Défini par l'utilisateur et saisissez le laps de temps qui s'écoule avant l'expiration de la connexion entre le périphérique et le serveur TACACS+. Sélectionnez Valeurs par défaut pour utiliser la valeur par défaut affichée sur la page. • Authentication IP Port : saisissez le numéro de port via lequel s'opère la session TACACS+. • Connexion unique : sélectionnez cette option afin de permettre la réception de toutes les informations à l'aide d'une seule connexion. Si le serveur TACACS+ ne prend pas en charge cette fonction, l'appareil revient à des connexions multiples. ÉTAPE 7 Cliquez sur Apply. Le serveur TACACS+ est ajouté au fichier de Configuration d'exécution du périphérique. ÉTAPE 8 Pour afficher les données sensibles sous forme de texte en clair sur cette page, cliquez sur Afficher les données sensibles sous forme de texte clair. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 402 Sécurité Configuration de RADIUS 22 Configuration de RADIUS Les serveurs RADIUS (Remote Authorization Dial-In User Service) offrent un contrôle d'accès réseau basé sur MAC ou 802.1X centralisé. Le périphérique est un client RADIUS pouvant utiliser un serveur RADIUS pour fournir une sécurité centralisée. Une société peut établir un serveur RADIUS (Remote Authorization Dial-In User Service, service d'authentification à distance des utilisateurs) pour fournir un contrôle d'accès réseau basé MAC ou 802.1X centralisé à tous ses périphériques. Ainsi, les stratégies d'authentification et d'autorisation peuvent être traitées sur un seul serveur pour tous les périphériques de l'entreprise. Le périphérique peut servir de client RADIUS utilisant le serveur RADIUS pour les services suivants : • Authentification : assure l'authentification des utilisateurs normaux et 802.1X se connectant au périphérique en utilisant des noms d'utilisateur et des mots de passe définis par l'utilisateur. • Autorisation : effectuée au moment de la connexion. Une fois la session d'authentification terminée, une session d'autorisation commence en utilisant le nom d'utilisateur authentifié. Le serveur RADIUS vérifie ensuite les privilèges de l'utilisateur. • Comptabilité : activez la gestion de comptes des sessions de connexion à l'aide du serveur RADIUS. Cela permet à l'administrateur système de générer des rapports de gestion de comptes depuis le serveur RADIUS. Gestion de comptes utilisant un serveur RADIUS L'utilisateur peut activer la gestion de comptes des sessions de connexion à l'aide d'un serveur RADIUS. Le port TCP configurable par l'utilisateur utilisé pour la gestion de comptes du serveur RADIUS est le même port TCP utilisé pour l'authentification et l'autorisation du serveur RADIUS. Valeurs par défaut Les valeurs par défaut suivantes concernent cette fonction : • Aucun serveur RADIUS n'est défini par défaut. • Si vous configurez un serveur RADIUS, la fonction de gestion de comptes est désactivée par défaut. Interactions avec les autres fonctions Vous ne pouvez pas activer la gestion de comptes à la fois sur un serveur RADIUS et un serveur TACACS+. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 403 22 Sécurité Configuration de RADIUS Flux de travail du serveur RADIUS Pour utiliser un serveur RADIUS, procédez comme suit : ÉTAPE 1 Ouvrez un compte pour le périphérique sur le serveur RADIUS. ÉTAPE 2 Configurez ce serveur et les autres paramètres sur les pages RADIUS et Ajouter un serveur RADIUS. REMARQUE Si plusieurs serveurs RADIUS ont été configurés, le périphérique utilise les priorités configurées des serveurs RADIUS disponibles pour sélectionner le serveur RADIUS à utiliser par le périphérique. Pour définir les paramètres du serveur RADIUS : ÉTAPE 1 Cliquez sur Security > RADIUS. ÉTAPE 2 Saisissez l'option Gestion de comptes RADIUS. Les options suivantes sont disponibles : • Contrôle d'accès basé sur les ports (802.1X, MAC, Authentification Web) : spécifie que le serveur RADIUS est utilisé pour la gestion de comptes des ports 802.1x. L'authentification Web est seulement prise en charge en mode Couche 2 sur les périphériques Sx300 et SG500. Sur les périphériques SG500XG et SG500X, elle est prise en charge en mode natif ou hybride avancé XG. • Accès de gestion : spécifie que le serveur RADIUS est utilisé pour la gestion de comptes des connexions utilisateur. • Contrôle d'accès basé sur les ports et accès de gestion : spécifie que le serveur RADIUS est utilisé à la fois pour la gestion de comptes des connexions utilisateur et la gestion de comptes des ports 802.1x. • Aucun : spécifie que le serveur RADIUS n'est pas utilisé pour la gestion de comptes. ÉTAPE 3 Saisissez les paramètres RADIUS par défaut, si nécessaire. Les valeurs entrées dans les Paramètres par défaut sont appliquées à tous les serveurs. Si une valeur n'est pas entrée pour un serveur spécifique (sur la page Ajouter un serveur RADIUS), le périphérique utilise les valeurs contenues dans ces champs. • Retries : saisissez le nombre de demandes transmises qui sont envoyées au serveur RADIUS avant que le système considère qu'une défaillance s'est produite. • Délai de réponse : saisissez le nombre de secondes pendant lesquelles le périphérique attend une réponse du serveur RADIUS avant de relancer la demande ou de passer au serveur suivant. • Délai d'inactivité : saisissez le nombre de minutes qui s'écoulent avant qu'un serveur RADIUS non réactif soit contourné pour les demandes de services. Si la valeur est égale à 0, le serveur n'est pas contourné. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 404 22 Sécurité Configuration de RADIUS • Chaîne de clé : saisissez la chaîne de clé par défaut utilisée pour l'authentification et le cryptage entre le périphérique et le serveur RADIUS. Cette clé doit correspondre à la clé configurée sur le serveur RADIUS. Une chaîne de clé est utilisée pour crypter les communications à l'aide de MD5. Vous pouvez saisir la clé en mode Chiffré ou Texte en clair. Si vous ne disposez pas de chaîne de clé cryptée (à partir d'un autre périphérique), saisissez la chaîne de clé en texte en clair et cliquez sur Apply. La chaîne de clé cryptée est générée et affichée. Cette clé remplace la chaîne de clé par défaut, si une telle clé a été définie. • Interface IPv4 source : sélectionnez l'interface source IPv4 du périphérique à utiliser dans les messages pour les communications avec le serveur RADIUS. • Interface IPv6 source : sélectionnez l'interface source IPv6 du périphérique à utiliser dans les messages pour les communications avec le serveur RADIUS. REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source de l'adresse IP définie dans l'interface sortante. ÉTAPE 4 Cliquez sur Apply. Les paramètres RADIUS par défaut du périphérique sont mis à jour dans le fichier de Configuration d'exécution. Pour ajouter un serveur RADIUS, cliquez sur Ajouter. ÉTAPE 5 Entrez les valeurs dans les champs pour chaque serveur RADIUS. Pour utiliser les valeurs par défaut entrées sur la page RADIUS, sélectionnez Valeurs par défaut. • Définition de serveur : indiquez si vous souhaitez spécifier le serveur RADIUS par son adresse IP ou son nom. • Version IP : sélectionnez la version de l'adresse IP du serveur RADIUS. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : - Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse locale de liaison possède le préfixe FE80, ne peut routée et ne peut servir à la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration. - Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la liaison locale du type d'adresse IPv6 est sélectionnée). • Nom/Adresse IP du serveur : spécifiez le serveur RADIUS par son adresse IP ou son nom. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 405 22 Sécurité Configuration de RADIUS • Priority : saisissez la priorité du serveur. La priorité détermine l'ordre dans lequel le périphérique essaie de contacter les serveurs pour authentifier un utilisateur. Le périphérique commence par le serveur RADIUS ayant la priorité la plus élevée (priorité zéro). Chaîne de clé : saisissez la chaîne de clé utilisée pour l'authentification et le cryptage des communications entre le périphérique et le serveur RADIUS. Cette clé doit correspondre à la clé configurée sur le serveur RADIUS. Vous pouvez la saisir en mode Chiffré ou Texte en clair. Si l'option Valeurs par défaut est sélectionnée, le périphérique essaie de s'authentifier sur le serveur RADIUS en utilisant la chaîne de clé par défaut. • Délai de réponse : sélectionnez Défini par l'utilisateur et saisissez le nombre de secondes pendant lesquelles le périphérique attend une réponse du serveur RADIUS avant de relancer la demande ou de passer au serveur suivant si le nombre maximal de tentatives a été atteint. Si l'option Valeurs par défaut est sélectionnée, le périphérique utilise la valeur de délai par défaut. • Port d'authentification : saisissez le numéro de port UDP du port du serveur RADIUS pour les demandes d'authentification. • Port de gestion de comptes : saisissez le numéro de port UDP du port du serveur RADIUS pour les demandes de gestion de comptes. • Tentatives : sélectionnez Défini par l'utilisateur et entrez le nombre de demandes envoyées au serveur RADIUS avant qu'un échec soit réputé être survenu. Si l'option Valeurs par défaut est sélectionnée, le périphérique utilise la valeur par défaut du nombre de tentatives. • Délai d'inactivité : sélectionnez Défini par l'utilisateur et saisissez le nombre de minutes qui doivent s'écouler avant qu'un serveur RADIUS non réactif soit contourné pour les demandes de services. Si l'option Valeurs par défaut est sélectionnée, le périphérique utilise la valeur par défaut du délai d'inactivité. Si vous saisissez 0 minute, aucun délai d'inactivité ne sera appliqué. • Type d'utilisation : saisissez le type d'authentification du serveur RADIUS. Les options sont les suivantes : - Connexion : le serveur RADIUS est utilisé pour l'authentification des utilisateurs qui demandent à administrer le périphérique. - 802.1X : le serveur RADIUS est utilisé pour l'authentification 802.1x. - Tous : le serveur RADIUS est utilisé pour l'authentification des utilisateurs qui demandent à administrer le périphérique et pour l'authentification 802.1X. ÉTAPE 6 Cliquez sur Apply. La définition du serveur RADIUS est ajoutée au fichier de Configuration d'exécution du périphérique. ÉTAPE 7 Pour afficher les données sensibles sous forme de texte en clair sur la page, cliquez sur Afficher les données sensibles sous forme de texte clair. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 406 22 Sécurité Gestion de la clé Gestion de la clé Gestion de la clé REMARQUE Cette fonction ne s'applique qu'aux périphériques SG500X/ESW2-550X/500X. Cette section vous indique comment configurer des chaînes de clé pour les applications et les protocoles, tels que RIP. Pour obtenir une description de la façon dont RIP utilise une chaîne de clé pour l'authentification, reportez-vous à la section Authentification RIP. Pour créer une chaîne de clé, procédez comme suit : ÉTAPE 1 Créez une chaîne de clé contenant une seule clé, à l'aide de la page Paramètres de chaîne de la clé. ÉTAPE 2 Ajoutez des clés supplémentaires, à l'aide de la page Paramètres de la clé. Création d'une chaîne de clé Utilisez la page Paramètres de chaîne de la clé pour créer une nouvelle chaîne de clé. ÉTAPE 1 Cliquez sur Sécurité > Gestion de la clé > Paramètres de chaîne de la clé. ÉTAPE 2 Afin d'ajouter une nouvelle chaîne de clé, cliquez sur Ajouter pour ouvrir la page Ajouter chaîne de la clé et renseignez les champs suivants : • Chaîne de la clé : nom de la chaîne de clé. • Identifiant de la clé : identifiant entier de la chaîne de clé. • Chaîne de clé : valeur de la chaîne de clé. Entrez l'une des options suivantes : - Défini par l'utilisateur (chiffré) : saisissez une version sous forme chiffrée. - Défini par l'utilisateur (texte en clair) : saisissez une version sous forme de texte en clair. REMARQUE Vous pouvez entrer les valeurs Accepter la durée de service et Envoyer la durée de service. La valeur Accepter la durée de service indique quand l'identifiant de la clé est valide pour la réception des paquets. La valeur Envoyer la durée de service indique quand l'identifiant de la clé est valide pour l'envoi des paquets. • Accepter la durée de service/Envoyer la durée de service : indique quand les paquets disposant de cette clé sont acceptés. Sélectionnez une des options suivantes : - Toujours valable : aucune limite de durée de service n'est définie pour l'identifiant de la clé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 407 22 Sécurité Gestion de la clé - Défini par l'utilisateur : la durée de service de la chaîne de clé est limitée. Si cette option est sélectionnée, renseignez les champs suivants : REMARQUE Si vous sélectionnez Défini par l'utilisateur, l'heure système doit être réglée manuellement ou depuis SNTP. Sinon, Accepter la durée de service et Envoyer la durée de service échouent systématiquement. Les champs suivants sont pertinents pour les champs Accepter la durée de service et Envoyer la durée de service : • Date de début : entrez la date de début de validité de l'identifiant de la clé. • Heure de début : entrez l'heure de début de validité de l'identifiant de la clé à la date de début spécifiée. • Heure de fin : spécifie la date de fin de validité de l'identifiant de la clé. Sélectionnez une des options suivantes : • - Infini : aucune limite de durée de service n'est définie pour l'identifiant de la clé. - Durée : la durée de service de l'identifiant de la clé est limitée. Si cette option est sélectionnée, renseignez les champs suivants : Durée : durée de validité de l'identifiant de la clé. Renseignez les champs suivants : - Jours : nombre de jours pendant lequel l'identifiant de la clé est valide. - Heures : nombre d'heures pendant lequel l'identifiant de la clé est valide. - Minutes : nombre de minutes pendant lequel l'identifiant de la clé est valide. - Secondes : nombre de secondes pendant lequel l'identifiant de la clé est valide. ÉTAPE 3 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Paramètres de création d'une clé Utilisez la page Paramètres de chaîne de la clé pour ajouter une clé à une chaîne de clé existante. ÉTAPE 1 Cliquez sur Sécurité > Gestion de la clé > Paramètres de la clé. ÉTAPE 2 Pour ajouter une nouvelle chaîne de clé, cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • Chaîne de la clé : nom de la chaîne de clé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 408 22 Sécurité Gestion de la clé • Identifiant de la clé : identifiant entier de la chaîne de clé. • Chaîne de clé : valeur de la chaîne de clé. Entrez l'une des options suivantes : - Défini par l'utilisateur (chiffré) : saisissez une version sous forme chiffrée. - Défini par l'utilisateur (texte en clair) : saisissez une version sous forme de texte en clair. REMARQUE Vous pouvez entrer les valeurs Accepter la durée de service et Envoyer la durée de service. La valeur Accepter la durée de service indique quand l'identifiant de la clé est valide pour la réception des paquets. La valeur Envoyer la durée de service indique quand l'identifiant de la clé est valide pour l'envoi des paquets. Les champs sont uniquement décrits pour Accepter la durée de service. Ils sont identiques pour Envoyer la durée de service. • Accepter la durée de service : indique quand les paquets disposant de cette clé sont acceptés. Sélectionnez une des options suivantes : - Toujours valable : aucune limite de durée de service n'est définie pour l'identifiant de la clé. - Défini par l'utilisateur : la durée de service de la chaîne de clé est limitée. Si cette option est sélectionnée, renseignez les champs suivants : • Date de début : entrez la date de début de validité de l'identifiant de la clé. • Heure de début : entrez l'heure de début de validité de l'identifiant de la clé à la date de début spécifiée. • Heure de fin : spécifie la date de fin de validité de l'identifiant de la clé. Sélectionnez une des options suivantes : • - Infini : aucune limite de durée de service n'est définie pour l'identifiant de la clé. - Durée : la durée de service de l'identifiant de la clé est limitée. Si cette option est sélectionnée, renseignez les champs suivants : Durée : durée de validité de l'identifiant de la clé. Renseignez les champs suivants : - Jours : nombre de jours pendant lequel l'identifiant de la clé est valide. - Heures : nombre d'heures pendant lequel l'identifiant de la clé est valide. - Minutes : nombre de minutes pendant lequel l'identifiant de la clé est valide. - Secondes : nombre de secondes pendant lequel l'identifiant de la clé est valide. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. ÉTAPE 5 Pour toujours afficher les données confidentielles sous forme de texte en clair (et non sous forme chiffrée), cliquez sur Afficher les données sensibles en texte clair. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 409 Sécurité Méthode d'accès de gestion 22 Méthode d'accès de gestion Les profils d'accès déterminent la façon d'authentifier les utilisateurs et de les autoriser à accéder au périphérique via différentes méthodes d'accès. Les profils d'accès peuvent limiter l'accès de gestion à partir de sources spécifiques. Seuls les utilisateurs qui passent le profil d'accès actif et les méthodes d'authentification de l'accès de gestion peuvent accéder au périphérique. Un seul profil d'accès à la fois peut être actif sur le périphérique. Les profils d'accès contiennent une ou plusieurs règles. Les règles sont exécutées dans l'ordre c'est-à-dire en fonction de leur priorité dans le profil d'accès (de haut en bas). Les règles sont composées de filtres qui incluent les éléments suivants : • Méthodes d'accès : méthodes permettant l'accès au périphérique et sa gestion : - Telnet - Secure Telnet (SSH) - Hypertext Transfer Protocol (HTTP) - Secure HTTP (HTTPS) - Simple Network Management Protocol (SNMP) - Tous les éléments ci-dessus • Action : permet d'autoriser ou de refuser l'accès à une interface ou à une adresse source. • Interface : ports, LAG ou VLAN, autorisés à accéder à l'utilitaire de configuration Web ou interdits d'accès à celui-ci. • Adresse IP source : adresses IP ou sous-réseaux. L'accès aux méthodes de gestion peut différer selon les groupes d'utilisateurs. Par exemple, un groupe d'utilisateurs pourrait être en mesure d'accéder au module du périphérique uniquement via une session HTTPS tandis qu'un autre serait en mesure d'y accéder en utilisant des sessions HTTPS et Telnet. Profil d'accès actif La page Access Profiles affiche les profils d'accès définis et permet de sélectionner un profil d'accès en tant que profil actif. Lorsqu'un utilisateur tente d'accéder au périphérique par le biais d'une méthode d'accès, le périphérique vérifie si le profil d'accès actif autorise explicitement l'accès de gestion au périphérique via cette méthode. Si aucune correspondance n'est trouvée, l'accès est refusé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 410 Sécurité Méthode d'accès de gestion 22 Lorsqu'une tentative d'accès au périphérique s'effectue en violation du profil d'accès actif, le périphérique génère un message SYSLOG pour en avertir l'administrateur système. Si un profil d'accès Console uniquement a été activé, la seule façon de le désactiver est d'établir une connexion directe entre la station de gestion et le port de console physique sur le périphérique. Pour plus d'informations, reportez-vous à la section Définition de règles de profils. Utilisez la page Access Profiles pour créer un profil d'accès et ajouter sa première règle. Si le profil d'accès ne contient qu'une seule règle, vous avez terminé. Pour ajouter des règles supplémentaires au profil, utilisez la page Profile Rules. ÉTAPE 1 Cliquez sur Sécurité > Méthode d'accès de gestion > Profils d'accès. Cette page affiche tous les profils d'accès, qu'ils soient actifs ou non. ÉTAPE 2 Pour modifier le profil d'accès actif, sélectionnez un profil dans le menu déroulant Profil d'accès actif et cliquez sur Appliquer. Le profil choisi devient alors le profil d'accès actif. REMARQUE Un message d'avertissement s'affiche si vous avez sélectionné Console uniquement. Si vous poursuivez, vous serez immédiatement déconnecté de l'utilitaire de configuration Web et ne pourrez plus accéder au périphérique que via le port console. Cela s'applique uniquement aux types d'appareils qui comportent un port de console. Si vous sélectionnez un autre profil d'accès, un message s'affiche pour vous avertir que, selon le profil d'accès sélectionné, vous pourriez être déconnecté de l'utilitaire de configuration Web. ÉTAPE 3 Cliquez sur OK pour sélectionner le profil d'accès actif ou sur Annuler pour abandonner cette action. ÉTAPE 4 Cliquez sur Ajouter pour ouvrir la page Ajouter un profil d'accès. Cette page vous permet de configurer un nouveau profil ainsi qu'une règle. ÉTAPE 5 Saisissez le Nom du profil d'accès. Ce nom peut comporter jusqu’à 32 caractères. ÉTAPE 6 Saisissez les paramètres. • Rule Priority : saisissez la priorité des règles. Lorsque le paquet est mis en correspondance avec une règle, les groupes d'utilisateurs se voient accorder ou refuser l'accès au périphérique. La priorité des règles est indispensable pour faire correspondre les paquets aux règles, la correspondance des paquets étant établie sur une base de première correspondance. Le 1 correspond à la priorité la plus élevée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 411 Sécurité Méthode d'accès de gestion • • • 22 Management Method : sélectionnez la méthode de gestion pour laquelle la règle est définie. Les options sont les suivantes : - All : affecte toutes les méthodes de gestion à la règle. - Telnet : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès Telnet se voient autoriser ou refuser l'accès. - Telnet sécurisé (SSH) : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès SSH se voient autoriser ou refuser l'accès. - HTTP : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès HTTP se voient autoriser ou refuser l'accès. - HTTP sécurisé (HTTPS) : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès HTTPS se voient autoriser ou refuser l'accès. - SNMP : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès SNMP se voient autoriser ou refuser l'accès. Action : sélectionnez l'action rattachée à la règle. Les options sont les suivantes : - Autoriser : autorise l'accès au périphérique dans la mesure où l'utilisateur correspond aux paramètres du profil. - Refuser : refuse l'accès au périphérique dans la mesure où l'utilisateur correspond aux paramètres du profil. Applies to Interface : sélectionnez l'interface rattachée à la règle. Les options sont les suivantes : - All : s'applique à tous les ports, VLAN et LAG. - Défini par l'utilisateur : s'applique à l'interface sélectionnée. • Interface : entrez le numéro d'interface si l'option Défini par l'utilisateur a été sélectionnée. • Applies to Source IP Address : sélectionnez le type d'adresse IP source auquel le profil d'accès s'applique. Le champ Adresse IP source est valide pour un sous-réseau. Sélectionnez l'une des valeurs suivantes : - Tout : s'applique à tous les types d'adresses IP. - User Defined : s'applique uniquement aux types d'adresses IP définis dans les champs. • Version IP : entrez la version de l'adresse IP source : Version 6 ou Version 4. • IP Address : saisissez l'adresse IP source. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 412 Sécurité Méthode d'accès de gestion • 22 Mask : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : - Network Mask : sélectionnez le sous-réseau auquel l'adresse IP source appartient et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des points. - Prefix Length : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source. ÉTAPE 7 Cliquez sur Apply. Le profil d'accès est écrit dans le fichier de Configuration d'exécution. Vous pouvez à présent sélectionner ce profil d'accès en tant que profil d'accès actif. Définition de règles de profils Les profils d'accès peuvent comporter jusqu'à 128 règles afin de déterminer qui est autorisé à gérer le périphérique ainsi qu'à y accéder et les méthodes d'accès pouvant être utilisées. Chaque règle d'un profil d'accès comporte une action et des critères (un ou plusieurs paramètres) à faire correspondre. Une priorité est affectée à chaque règle. Les règles ayant la priorité la plus basse sont vérifiées en premier. Si le paquet entrant correspond à une règle, l'action associée à cette dernière est appliquée. Si aucune règle correspondante n'est trouvée dans le profil d'accès actif, le paquet est abandonné. Par exemple, vous pouvez limiter l'accès au périphérique depuis toutes les adresses IP à l'exception de celles qui sont attribuées au centre de gestion informatique. Le périphérique peut ainsi continuer à être géré tout en bénéficiant d'un autre niveau de sécurité. Pour ajouter des règles de profil à un profil d'accès : ÉTAPE 1 Cliquez sur Sécurité > Méthode d'accès de gestion > Règles de profils. ÉTAPE 2 Sélectionnez le champ Filtre et un profil d'accès. Cliquez sur Go. Le profil d'accès sélectionné apparaît dans la Table des règles de profil. ÉTAPE 3 Cliquez sur Ajouter pour ajouter une règle. ÉTAPE 4 Saisissez les paramètres. • Nom du profil d'accès : sélectionnez un profil d'accès. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 413 Sécurité Méthode d'accès de gestion 22 • Rule Priority : saisissez la priorité des règles. Lorsque le paquet est mis en correspondance avec une règle, les groupes d'utilisateurs se voient accorder ou refuser l'accès au périphérique. La priorité des règles est indispensable pour faire correspondre les paquets aux règles, la correspondance des paquets étant établie sur une base de première correspondance. • Management Method : sélectionnez la méthode de gestion pour laquelle la règle est définie. Les options sont les suivantes : - All : affecte toutes les méthodes de gestion à la règle. - Telnet : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès Telnet se voient autoriser ou refuser l'accès. - Telnet sécurisé (SSH) : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès Telnet se voient autoriser ou refuser l'accès. - HTTP : affecte un accès HTTP à la règle. Les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès HTTP se voient autoriser ou refuser l'accès. - HTTP sécurisé (HTTPS) : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès HTTPS se voient autoriser ou refuser l'accès. - SNMP : les utilisateurs demandant l'accès au périphérique répondant aux critères du profil d'accès SNMP se voient autoriser ou refuser l'accès. • Action : sélectionnez Autoriser pour autoriser les utilisateurs qui essaient d'accéder au périphérique en utilisant la méthode d'accès configurée depuis l'interface et la source IP définies dans cette règle. Ou sélectionnez Refuser pour refuser l'accès. • Applies to Interface : sélectionnez l'interface rattachée à la règle. Les options sont les suivantes : - All : s'applique à tous les ports, VLAN et LAG. - Défini par l'utilisateur : s'applique uniquement au port, VLAN ou LAG sélectionné. • Interface : entrez le numéro d'interface. • Applies to Source IP Address : sélectionnez le type d'adresse IP source auquel le profil d'accès s'applique. Le champ Adresse IP source est valide pour un sous-réseau. Sélectionnez l'une des valeurs suivantes : - Tout : s'applique à tous les types d'adresses IP. - User Defined : s'applique uniquement aux types d'adresses IP définis dans les champs. • Version IP : sélectionnez la version IP prise en charge pour l'adresse source : IPv6 ou IPv4. • IP Address : saisissez l'adresse IP source. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 414 Sécurité Authentification de l'accès de gestion • 22 Masque : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et saisissez une valeur dans l'un des champs : - Masque de réseau : sélectionnez le sous-réseau auquel l'adresse IP source appartient et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des points. - Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source. ÉTAPE 5 Cliquez sur Appliquer. La règle est ajoutée au profil d'accès. Authentification de l'accès de gestion Vous pouvez attribuer des méthodes d'autorisation et d'authentification aux différentes méthodes d'accès de gestion, telles que SSH, console, Telnet, HTTP et HTTPS. L'authentification peut être effectuée localement ou sur un serveur TACACS+ ou RADIUS. Si l'autorisation est activée, l'identité et les privilèges de lecture/écriture de l'utilisateur font l'objet d'une vérification. Si l'autorisation n'est pas activée, seule l'identité de l'utilisateur est vérifiée. La méthode d'autorisation/authentification utilisée est déterminée par l'ordre de sélection des méthodes d'authentification. Si la première méthode d'authentification n'est pas disponible, la méthode suivante sera utilisée. Par exemple, si les méthodes d'authentification sélectionnées sont RADIUS et Local, et que tous les serveurs RADIUS configurés sont interrogés en vertu de leur ordre de priorité et qu'ils ne répondent pas, l'utilisateur est autorisé/authentifié au niveau local. Si l'autorisation est activée et si une méthode d'authentification échoue ou si le niveau de privilège de l'utilisateur est insuffisant, ce dernier se voit refuser l'accès au périphérique. En d'autres termes, si l'authentification échoue pour une méthode d'authentification, le périphérique n'essaie pas d'utiliser la méthode d'authentification suivante et s'arrête. De la même façon, si l'autorisation n'est pas activée et que l'authentification échoue pour une méthode, le périphérique arrête la tentative d'authentification. Pour définir les méthodes d'authentification d'une méthode d'accès : ÉTAPE 1 Cliquez sur Security > Management Access Authentication. ÉTAPE 2 Renseignez le champ Application (type) de la méthode d'accès de gestion. ÉTAPE 3 Sélectionnez Autorisation pour activer l'authentification et l'autorisation de l'utilisateur selon la liste des méthodes décrites ci-dessous. Si vous ne sélectionnez pas le champ, seule l'authentification est exécutée. Si l'autorisation est activée, les privilèges de lecture/écriture des utilisateurs font l'objet d'une vérification. Le niveau de privilège est défini sur la page Comptes d'utilisateur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 415 Sécurité Gestion sécurisée des données confidentielles 22 ÉTAPE 4 Utilisez les flèches pour déplacer la méthode d'autorisation/authentification entre la colonne Méthodes facultatives et la colonne Méthodes sélectionnées. Les méthodes sont essayées dans l'ordre de leur apparition. ÉTAPE 5 Utilisez les flèches pour déplacer la méthode d'authentification entre la colonne Méthodes facultatives et la colonne Méthodes sélectionnées. La première méthode sélectionnée correspond à celle qui sera utilisée en premier. • RADIUS : l'utilisateur est autorisé/authentifié sur un serveur RADIUS. Vous devez avoir configuré un ou plusieurs serveurs RADIUS. Pour que le serveur RADIUS accorde l'accès à l'utilitaire de configuration Web, ce serveur doit renvoyer cisco-avpair = shell:priv-lvl=15. • TACACS+ : l'utilisateur est autorisé/authentifié sur le serveur TACACS+. Vous devez avoir configuré un ou plusieurs serveurs TACACS+. • Aucun : l'utilisateur est autorisé à accéder au périphérique sans autorisation/authentification. • Locale : le nom d'utilisateur et le mot de passe sont comparés aux données stockées sur le périphérique local. Ces paires de nom d'utilisateur et mot de passe sont définies sur la page Comptes d'utilisateur. REMARQUE La méthode d'authentification Local ou None doit toujours être sélectionnée en dernier. Toutes les méthodes d'authentification sélectionnées après Local ou None sont ignorées. ÉTAPE 6 Cliquez sur Apply. Les méthodes d'authentification sélectionnées sont associées à la méthode d'accès. Gestion sécurisée des données confidentielles Reportez-vous à la section Sécurité : Gestion sécurisée des données confidentielles. Serveur SSL Cette section décrit la fonctionnalité SSL (Secure Socket Layer). Présentation de SSL La fonctionnalité SSL (Secure Socket Layer) permet d'ouvrir une session HTTPS sur l'appareil. Une session HTTPS peut être ouverte avec le certificat par défaut qui est présent sur l'appareil. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 416 22 Sécurité Serveur SSL Certains navigateurs génèrent des avertissements lors de l'utilisation d'un certificat par défaut, car ce certificat n'est pas signé par une autorité de certification (CA, Certification Authority). Il est recommandé d'utiliser un certificat signé par une CA de confiance. Pour ouvrir une session HTTPS avec un certificat créé par l'utilisateur, procédez comme suit : 1. Générez un certificat. 2. Demandez que le certificat soit certifié par une CA. 3. Importez le certificat signé dans l'appareil. Configuration et paramètres par défaut Par défaut, le périphérique contient un certificat qui peut être modifié. HTTPS est activé par défaut. Paramètres d'authentification de serveur SSL Il peut être nécessaire de générer un nouveau certificat pour remplacer le certificat par défaut présent sur l'appareil. Pour créer un certificat : ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL. Les informations concernant les certificats 1 et 2 apparaissent dans la Table de clés de serveur SSL. Ces champs sont définis sur la page Modifier, excepté pour les champs suivants : • Valide du : spécifie la date à partir de laquelle le certificat est valide. • Valide jusqu'au : spécifie la date jusqu'à laquelle le certificat est valide. • Source du certificat : spécifie si le certificat a été généré par le système (Autogénéré) ou l'utilisateur (Défini par l'utilisateur). ÉTAPE 2 Sélectionnez un certificat actif. ÉTAPE 3 Cliquez sur Générer une demande de certificat. ÉTAPE 4 Renseignez les champs suivants : • ID de certificat : sélectionnez le certificat actif. • Nom courant : spécifie l'adresse IP ou l'URL complète de l'appareil. Si elle n'est pas indiquée, le système utilisera l'adresse IP la plus basse de l'appareil (lors de la génération du certificat). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 417 22 Sécurité Serveur SSL • Unité organisationnelle : spécifie l'unité organisationnelle ou le nom du service. • Nom de l'organisation : spécifie le nom de l'organisation. • Lieu : spécifie l'emplacement ou le nom de la ville. • État : spécifie le nom de l'état ou de la province. • Pays : spécifie le nom du pays. • Demande de certificat : affiche la clé créée lorsque vous cliquez sur le bouton Demande de génération d'un certificat. ÉTAPE 5 Cliquez sur Générer une demande de certificat. Le système crée alors une clé qui doit être entrée dans l'autorité de certification (Certification Authority, CA). Copiez-la du champ Demande de certificat. Pour importer un certificat : ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL. ÉTAPE 2 Cliquez sur Importer le certificat. ÉTAPE 3 Renseignez les champs suivants : • ID de certificat : sélectionnez le certificat actif. • Source du certificat : indique que le certificat est défini par l'utilisateur. • Certificat : copiez dans le certificat reçu. • Importer une paire de clés RSA : sélectionnez cette option pour autoriser la copie dans la nouvelle paire de clés RSA. • Clé publique : copiez dans la clé publique RSA. • Clé privée (chiffrée) : sélectionnez et copiez dans la clé privée RSA sous forme chiffrée. • Clé privée (texte en clair) : sélectionnez et copiez dans la clé privée RSA sous forme de texte en clair. ÉTAPE 4 Cliquez sur Appliquer pour appliquer les modifications dans la Configuration d'exécution. ÉTAPE 5 Cliquez sur Afficher les données sensibles sous forme chiffrée pour afficher cette clé sous forme chiffrée. Une fois que vous avez cliqué sur ce bouton, les clés privées sont écrites dans le fichier de configuration sous forme chiffrée (dès que vous cliquez sur Appliquer). Lorsque le texte s'affiche sous forme chiffrée, le bouton devient Afficher les données sensibles sous forme de texte clair, ce qui vous permet de réafficher le texte en clair. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 418 22 Sécurité Serveur SSH Le bouton Détails affiche le certificat et la paire de clés RSA. Cela vous permet de copier le certificat et la paire de clés RSA vers un autre appareil (via la fonction copier/coller). Lorsque vous cliquez sur Afficher les données sensibles sous forme chiffrée, les clés privées apparaissent sous forme chiffrée. Serveur SSH Reportez-vous à la section Sécurité : Serveur SSH. Client SSH Reportez-vous à la section Sécurité : Client SSH. Configuration des services TCP/UDP La page Services TCP/UDP active les services TCP ou UDP sur le périphérique, généralement pour des raisons de sécurité. Le périphérique fournit les services TCP/UDP suivants : • HTTP : activé par défaut • HTTPS : activé par défaut en usine • SNMP : désactivé par défaut en usine • Telnet : désactivé par défaut en usine • SSH : désactivé par défaut en usine Les connexions TCP actives sont également affichées dans cette fenêtre. Pour configurer les services TCP/UDP : ÉTAPE 1 Cliquez sur Security > TCP/UDP Services. ÉTAPE 2 Activez ou désactivez les services TCP/UDP suivants sur les services affichés. • Service HTTP : indique si le service HTTP est activé ou désactivé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 419 Sécurité Définition du contrôle des tempêtes • Service HTTPS : indique si le service HTTPS est activé ou désactivé. • Service SNMP : indique si le service SNMP est activé ou désactivé. • Service Telnet : indique si le service Telnet est activé ou désactivé. • Service SSH : indique si le service serveur SSH est activé ou désactivé. 22 ÉTAPE 3 Cliquez sur Appliquer. Les services sont écrits dans le fichier de Configuration d'exécution. La table des services TCP contient les champs suivants pour chaque service : • Nom de service : méthode d'accès utilisée par le périphérique pour fournir le service TCP. • Type : protocole IP utilisé par le service. • Adresse IP locale : adresse IP locale via laquelle le périphérique propose le service. • Port local : port TCP local via lequel le périphérique propose le service. • Remote IP Address : adresse IP de l'appareil distant qui demande le service. • Remote Port : port TCP de l'appareil distant qui demande le service. • État : état du service. La table des services UDP affiche les informations suivantes : • Nom de service : méthode d'accès utilisée par le périphérique pour fournir le service UDP. • Type : protocole IP utilisé par le service. • Adresse IP locale : adresse IP locale via laquelle le périphérique propose le service. • Port local : port UDP local via lequel le périphérique propose le service. • Instance d'application : instance de service du service UDP (Par exemple, lorsque deux expéditeurs envoient des données vers la même destination.) Définition du contrôle des tempêtes Lorsque des trames de Diffusion (Broadcast), Multidiffusion (Multicast) ou Monodiffusion inconnue (Unknown Unicast) sont reçues, elles sont dupliquées et une copie est envoyée à tous les ports de sortie possibles. Cela signifie dans la pratique qu'elles sont envoyées à tous les ports appartenant au VLAN approprié. De cette manière, une seule trame d'entrée est convertie en plusieurs trames, ce qui peut potentiellement occasionner une tempête de trafic. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 420 Sécurité Définition du contrôle des tempêtes 22 La protection contre les tempêtes vous permet de limiter le nombre de trames entrant dans le périphérique et de définir les types de trames pris en compte dans le calcul de cette limite. Lorsque la fréquence d'images de Diffusion, Multidiffusion ou Monodiffusion inconnue est supérieure au seuil défini par l'utilisateur, les images reçues au-delà du seuil sont rejetées. Pour définir le contrôle des tempêtes : ÉTAPE 1 Cliquez sur Security > Storm Control. Tous les champs de cette page sont décrits sur la page Modifier le contrôle des tempêtes, excepté pour le Seuil de débit de contrôle des tempêtes (%). Il affiche le pourcentage de la bande passante totale disponible pour les paquets de Monodiffusion inconnue (Unknown Unicast), Multidiffusion (Multicast) et Diffusion (Broadcast) avant que le contrôle des tempêtes ne soit appliqué sur le port. La valeur par défaut est 10 % du débit maximal du port. Vous pouvez la définir sur la page Modifier le contrôle des tempêtes. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez le port pour lequel activer le contrôle des tempêtes. • Contrôle des tempêtes : sélectionnez cette option pour activer le contrôle des tempêtes. • Seuil de débit de contrôle des tempêtes : saisissez le débit maximum auquel les paquets inconnus peuvent être transmis. La valeur par défaut de ce seuil est 10 000 pour les appareils FE et 100 000 pour les appareils GE. • Mode de contrôle des tempêtes : sélectionnez l'un des modes suivants. - Monodiffusion inconnue, multidiffusion et diffusion : intègre le trafic de Monodiffusion inconnue (Unknown Unicast), Diffusion (Broadcast) et Multidiffusion (Multicast) au sein du seuil de la bande passante. - Multidiffusion et diffusion : intègre le trafic de Diffusion (Broadcast) et Multidiffusion (Multicast) au sein du seuil de la bande passante. - Diffusion uniquement : intègre uniquement le trafic de diffusion au sein du seuil de la bande passante. ÉTAPE 4 Cliquez sur Apply. Le contrôle des tempêtes est modifié et le fichier de Configuration d'exécution est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 421 Sécurité Configuration de la sécurité des ports 22 Configuration de la sécurité des ports Vous pouvez accroître la sécurité réseau en limitant l'accès à un port pour des utilisateurs disposant d'adresses MAC spécifiques. Les adresses MAC peuvent être apprises de façon dynamique ou configurées de manière statique. La sécurité des ports surveille les paquets reçus et appris. L'accès aux ports verrouillés est limité aux utilisateurs disposant d'adresses MAC spécifiques. La sécurité des ports dispose de quatre modes : • Verrouillage classique : toutes les adresses MAC apprises sur le port sont verrouillées et le port n'apprend aucune nouvelle adresse MAC. Les adresses apprises ne sont pas soumises à un délai d'expiration ni à un réapprentissage. • Verrouillage dynamique limité : le périphérique apprend des adresses MAC jusqu'à la limite configurée des adresses autorisées. Une fois la limite atteinte, le périphérique n'apprend pas d'adresses supplémentaires. Dans ce mode, les adresses sont soumises à un délai d'expiration ainsi qu'à un réapprentissage. • Sécurisé en permanence : conserve les adresses MAC dynamiques actuellement associées au port et apprend au maximum le nombre d'adresses autorisées sur le port (défini par l'option Nombre max. d'adresses autorisées). Les opérations de réapprentissage et de délai d'expiration sont désactivées. • Suppression sécur. à la réinitialisation : supprime les adresses MAC dynamiques actuellement associées au port après la réinitialisation. Les nouvelles adresses MAC peuvent être apprises en tant qu'adresses supprimées à la réinitialisation (Delete-On-Reset) jusqu'au nombre d'adresses autorisées sur le port. Les opérations de réapprentissage et de délai d'expiration sont désactivées. Lorsqu'une trame d'une nouvelle adresse MAC est détectée sur un port sur lequel elle n'est pas autorisée (le port est verrouillé de façon classique et une nouvelle adresse MAC est détectée ou bien le port est verrouillé de façon dynamique et le nombre maximal des adresses autorisées a été dépassé), il est fait appel au mécanisme de protection et l'une des actions suivantes peut s'appliquer : • La trame est rejetée. • La trame est transmise. • Le port est fermé. Lorsque l'adresse MAC sécurisée est détectée sur un autre port, la trame est transmise mais l'adresse MAC n'est pas apprise sur ce port. Outre l'une de ces actions, vous pouvez également générer des interceptions ainsi qu'en limiter la fréquence ou le nombre afin d'éviter de surcharger les appareils. REMARQUE Pour utiliser 802.1X sur un port, il doit être en mode Hôtes multiples ou Sessions multiples. La sécurité des ports ne peut pas être définie sur un port si ce dernier est un mode unique (reportez-vous à la page 802.1x, Authentification hôtes et sessions). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 422 Sécurité Configuration de la sécurité des ports 22 Pour configurer la sécurité des ports : ÉTAPE 1 Cliquez sur Security > Port Security. ÉTAPE 2 Sélectionnez une interface à modifier et cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez le nom de l'interface. • État de l'interface : sélectionnez l'état de verrouillage du port. • Learning Mode : sélectionnez le type de verrouillage du port. L'État de l'interface doit être déverrouillé pour que ce champ puisse être configuré. Le champ Mode d'apprentissage est uniquement activé si le champ État de l'interface est verrouillé. Pour modifier le Mode d'apprentissage, État de l'interface doit être désactivé. Une fois ce mode modifié, vous pouvez rétablir l'état de l'interface. Les options sont les suivantes : - Verrouillage classique : verrouille immédiatement le port, quel que soit le nombre d'adresses ayant déjà été apprises. - Verrouillage dynamique limité : verrouille le port en supprimant les adresses MAC dynamiques actuellement associées au port. Le port apprend au maximum le nombre d'adresses autorisées sur le port. Le réapprentissage et le délai d'expiration des adresses MAC sont activés. - Sécurisé en permanence : conserve les adresses MAC dynamiques actuellement associées au port et apprend au maximum le nombre d'adresses autorisées sur le port (défini par l'option Nombre max. d'adresses autorisées). Les opérations de réapprentissage et de délai d'expiration sont activées. - Suppression sécur. à la réinitialisation : supprime les adresses MAC dynamiques actuellement associées au port après la réinitialisation. Les nouvelles adresses MAC peuvent être apprises en tant qu'adresses supprimées à la réinitialisation (Delete-On-Reset) jusqu'au nombre d'adresses autorisées sur le port. Les opérations de réapprentissage et de délai d'expiration sont désactivées. • Nombre max. d'adresses autorisées : saisissez le nombre maximum d'adresses MAC pouvant être apprises sur le port dans la mesure où le mode d'apprentissage Verrouillage dynamique limité est sélectionné. Le chiffre 0 indique que seules les adresses statiques sont prises en charge dans l'interface. • Action en cas de violation : sélectionnez l'action à appliquer aux paquets qui arrivent sur un port verrouillé. Les options sont les suivantes : - Abandonner : supprime les paquets en provenance d'une source non apprise. - Transférer : transfère les paquets en provenance d'une source inconnue sans apprendre l'adresse MAC. - Arrêter : abandonne les paquets en provenance d'une source non apprise et ferme le port. Le port reste fermé jusqu'à ce qu'il soit réactivé ou jusqu'à ce que le périphérique soit réinitialisé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 423 22 Sécurité 802.1X • « Trap » : sélectionnez cette option pour activer les messages « trap » lorsqu'un paquet est reçu sur un port verrouillé. Ceci est approprié pour les violations de verrouillage. Pour le Verrouillage classique, ceci correspondra à toute nouvelle adresse reçue. Pour le Verrouillage dynamique limité, cela correspondra à toute nouvelle adresse qui dépassera le nombre des adresses autorisées. • Fréquence du/des message(s) « trap » : saisissez la durée minimale qui s'écoulera entre deux messages « trap ». ÉTAPE 4 Cliquez sur Apply. La sécurité des ports est modifiée et le fichier de Configuration d'exécution est mis à jour. 802.1X Reportez-vous au chapitre Sécurité : Authentification 802.1X pour obtenir de plus amples informations sur l'authentification 802.1x. Il traite également de l'authentification MAC et Web. Prévention du déni de service Le déni de service (DoS) est une tentative de piratage visant à rendre le périphérique indisponible pour les utilisateurs. Les attaques DoS saturent le périphérique avec des demandes de communication externes, de telle manière que le périphérique ne peut pas répondre au trafic légitime. Ces attaques provoquent souvent la surcharge du processeur du périphérique. Secure Core Technology (SCT) Une méthode pour contrer les dénis de service (DoS) employée par le périphérique est la fonction SCT. La fonction SCT est activée par défaut sur l'appareil et ne peut pas être désactivée. Le périphérique Cisco est un périphérique avancé qui gère le trafic de gestion, de protocole et de surveillance, outre le trafic de l'utilisateur final (TCP). La fonction SCT garantit que le périphérique reçoive et traite le trafic de gestion et de protocole, quel qu'il soit le trafic reçu. Ceci est possible en limitant le débit du trafic TCP sur le processeur. Il n'y a pas d'interactions avec les autres fonctions. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 424 Sécurité Prévention du déni de service 22 La fonction SCT peut être contrôlée sur la page Déni de service > Prévention du déni de service > Paramètres de la suite de sécurité (bouton Détails). Types de dénis de service (DoS) Les types de paquets suivants, ou d'autres stratégies, peuvent être impliqués dans un déni de service : • Paquets TCP SYN : ces paquets ont souvent été envoyés par une adresse d'expéditeur fausse. Chaque paquet est géré comme une requête de connexion, ce qui provoque une connexion semiouverte du serveur en renvoyant un paquet TCP/SYN-ACK (confirmation) et en attendant un paquet de réponse en provenance de l'adresse de l'expéditeur (réponse au paquet ACK). Cependant, étant donné que l'adresse de l'expéditeur est fausse, la réponse n'arrive jamais. Ces connexions semiouvertes saturent le nombre de connexions disponibles que le périphérique peut effectuer, l'empêchant ainsi de répondre aux requêtes légitimes. • Paquets TCP SYN-FIN : les paquets SYN sont envoyés pour créer une nouvelle connexion TCP. Les paquets TCP FIN sont envoyés pour fermer une connexion. Un paquet où les indicateurs SYN et FIN sont définis ne devrait jamais exister. En conséquence, ces paquets peuvent constituer une attaque au périphérique et doivent être bloqués. • Adresses martiennes : les adresses martiennes sont incorrectes du point de vue du protocole IP. Pour plus d'informations, reportez-vous à la section Adresses martiennes. • Attaque ICMP : l'envoi de paquets ICMP mal-formés ou la révélation du nombre de paquets ICMP à la victime risque de provoquer une défaillance système. • Fragmentation IP : des fragments IP endommagés avec des charges utiles surdimensionnées et se chevauchant sont envoyés au périphérique. Ceci risque de provoquer une défaillance dans plusieurs systèmes d'exploitation en raison d'un bogue dans leur code de réassemblage de fragmentation TCP/IP. Les systèmes d'exploitation Windows 3.1x, Windows 95 et Windows NT, ainsi que les versions Linux antérieures aux versions 2.0.32 et 2.1.63 sont vulnérables à ce type d'attaque. • Distribution Stacheldraht : le pirate utilise un programme client pour se connecter aux modules de traitement (des systèmes compromis qui envoient des instructions aux agents zombies), ce qui facilite le déni de service. Les agents sont compromis via les modules de traitement attaqués par le pirate. Utilisation de routines automatiques pour exploiter des failles dans les programmes qui acceptent des connexions distantes sur le hôtes distants ciblés. Chaque module de traitement peut contrôler jusqu'un millier d'agents. • Cheval de Troie Invasor : un cheval de Troie permet au pirate de télécharger un agent zombie (si le cheval de Troie n'en contient pas un). Les pirates peuvent également entrer dans les systèmes à l'aide d'outils automatiques qui exploitent les failles des programmes écoutant les connexions des hôtes distants. Ce scénario concerne principalement le périphérique lorsqu'il est utilisé comme serveur sur le Web. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 425 Sécurité Prévention du déni de service • 22 Cheval de Troie Back Orifice : ce cheval de Troie est une variante qui utilise le logiciel Back Orifice pour déposer le cheval de Troie. Défense contre les dénis de service (DoS) La fonctionnalité Prévention du déni de service (DoS) permet à l'administrateur système de résister à ces attaques en suivant l'une des méthodes ci-dessous : • Activer la protection TCP SYN. Si cette fonctionnalité est activée, des rapports sont émis lorsqu'une attaque de paquet SYN est identifiée. Le port attaqué peut être temporairement désactivé. Une attaque SYN est identifiée lorsque le nombre de paquets SYN par seconde dépasse le seuil défini par l'utilisateur. • Bloquer les paquets SYN-FIN. • Blocage de paquets contenant des adresses martiennes (page Adresses martiennes) • Empêcher les connexions TCP à partir d'une interface spécifique (page Filtrage SYN) et limiter le débit des paquets (page Protection du débit SYN) • Configuration du blocage de certains paquets ICMP (page Filtrage ICMP) • Abandon des paquets IP fragmentés issus d'une interface spécifique (page Filtrage de fragments IP) • Empêchez les attaques de Distribution Stacheldraht, du cheval de Troie Invasor et du cheval de Troie Back Orifice (page Paramètres de la suite de sécurité). Dépendances entre les fonctions Les ACL et les stratégies de QoS avancées ne sont pas actives lorsque la protection contre le déni de service est activée sur un port. Un message d'erreur apparaît si vous essayez d'activer la prévention du déni de service (DoS) lorsqu'un ACL est défini sur l'interface ou si vous essayez de définir un ACL sur une interface où la prévention du déni de service (DoS) est activée. Une attaque SYN ne peut pas être bloquée s'il y a un ACL actif sur une interface. Configuration par défaut La fonctionnalité Prévention du déni de service (DoS) est configurée par défaut comme suit : • La fonctionnalité Prévention du déni de service (DoS) est désactivée par défaut. • La protection SYN-FIN est activée par défaut (même si la fonctionnalité Prévention du déni de service (DoS) est désactivée). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 426 Sécurité Prévention du déni de service 22 • Si la protection SYN est activée, le mode de protection par défaut est Bloquer et rapporter. Le seuil par défaut est 30 paquets SYN par seconde. • Toutes les autres fonctionnalités de prévention du déni de service (DoS) sont désactivées par défaut. Configuration de la prévention du déni de service (DoS) Les pages suivantes sont utilisées pour configurer cette fonctionnalité. Paramètres de la suite de sécurité REMARQUE Avant d'activer la prévention du déni de service (DoS), vous devez supprimer les liaisons de toutes les listes de contrôle d'accès (ACL, Access Control Lists) et stratégies de QoS avancées qui sont liées à un port. Les ACL et les stratégies de QoS avancées ne sont pas actives lorsque la protection contre le déni de service est activée sur un port. Pour configurer les paramètres globaux de prévention du déni de service et contrôler la fonction SCT : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Paramètres de suite de sécurité. La page Paramètres de la suite de sécurité s'affiche. Mécanisme de protection CPU : Activé indique que la fonction SCT est activée. ÉTAPE 2 Cliquez sur Détails en regard de Utilisation du CPU pour accéder à la page Utilisation du CPU et afficher les informations d'utilisation des ressources du CPU. ÉTAPE 3 Cliquez sur Modifier en regard de Protection TCP SYN pour accéder à la page Protection SYN et activer cette fonctionnalité. ÉTAPE 4 Sélectionnez Protection contre les DoS pour activer la fonctionnalité. • Désactiver : désactive la fonctionnalité. • Protection de niveau système : active la partie de la fonction qui empêche les attaques de Distribution Stacheldraht, du cheval de Troie Invasor et du cheval de Troie Back Orifice. • Protection de niveau système et de niveau interface : active la partie de la fonction qui empêche les attaques de Distribution Stacheldraht, du cheval de Troie Invasor et du cheval de Troie Back Orifice. ÉTAPE 5 Si vous sélectionnez la Protection de niveau système ou la Protection de niveau système et de niveau interface, activez une ou plusieurs des options de Protection contre les DoS suivantes : • Distribution Stacheldraht : abandonne les paquets TCP dont le port TCP source est 16660. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 427 Sécurité Prévention du déni de service 22 • Cheval de Troie Invasor : abandonne les paquets TCP dont le port TCP de destination est 2140 et le port TCP source 1024. • Cheval de Troie Back Orifice : abandonne les paquets UDP dont le port UDP de destination est 31337 et le port UDP source est 1024. ÉTAPE 6 Cliquez sur les options suivantes selon vos besoins : • Adresses martiennes : cliquez sur Modifier pour accéder à la page Adresses martiennes. • Filtrage SYN : cliquez sur Modifier pour accéder à la page Filtrage SYN. • Protection du débit SYN : (Couche 2 uniquement) cliquez sur Modifier pour accéder à la page Protection du débit SYN. • Filtrage ICMP : cliquez sur Modifier pour accéder à la page Filtrage ICMP. • IP fragmenté : cliquez sur Modifier pour accéder à la page Filtrage de fragments IP. Protection SYN Les ports du réseau risquent d'être utilisés par les pirates pour attaquer le périphérique lors d'une attaque SYN, ce qui utilise des ressources TCP (tampons) et de l'énergie du CPU. Étant donné que le CPU est protégé à l'aide de la fonction SCT, le trafic TCP vers le CPU est limité. Cependant, si un ou plusieurs ports sont attaqués par un grand nombre de paquets SYN, le CPU reçoit uniquement les paquets du pirate, ce qui crée un déni de service. Lors de l'utilisation de la fonctionnalité de protection SYN, le processeur compte les paquets SYN entrants par seconde par chaque port de réseau vers le processeur. Si le nombre est supérieur au nombre spécifique, le seuil défini par l'utilisateur, un SYN de déni avec une règle MAC-to-me est appliqué sur le port. Cette règle est supprimée de l'intervalle défini par l'utilisateur du port (période de protection SYN). Pour configurer la protection SYN : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Protection SYN. ÉTAPE 2 Saisissez les paramètres. • Bloquer les paquets SYN-FIN : sélectionnez cette option pour activer la fonctionnalité. Tous les paquets TCP avec les indicateurs SYN et FIN sont rejetés sur tous les ports. • Mode de protection SYN : sélectionnez l'un des trois modes ci-dessous : - Désactiver : la fonctionnalité est désactivée sur une interface spécifique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 428 Sécurité Prévention du déni de service 22 - Rapport : génère un message SYSLOG. L'état du port bascule vers Attaqué lorsque le seuil est dépassé. - Bloquer et rapporter : lorsqu'une attaque TCP SYN est identifiée, les paquets TCP SYN destinés au système sont rejetés et l'état du port bascule sur Bloqué. • Seuil de protection SYN : nombre de paquets SYN par seconde avant de bloquer les paquets SYN (un SYN de déni avec une règle MAC-to-me sera appliqué sur le port). • Période de protection SYN : délai en secondes avant le déblocage des paquets SYN (le SYN de déni avec la règle MAC-to-me est supprimé du port). ÉTAPE 3 Cliquez sur Appliquer. La protection SYN est défini et le fichier de Configuration d'exécution est mis à jour. La Table des interfaces de protection SYN affiche les champs suivants pour chaque port ou LAG (en fonction des besoins de l'utilisateur) • • État actuel : état de l'interface. Ce champ peut prendre les valeurs suivantes : - Normal : aucune attaque n'a été identifiée sur cette interface. - Bloqué : le trafic n'est pas transmis sur cette interface. - Attaqué : une attaque a été identifiée sur cette interface. Dernière attaque : date de la dernière attaque SYN-FIN identifiée par le système et action du système (Rapporté ou Bloqué et rapporté). Adresses martiennes La page Adresses martiennes permet de saisir les adresses IP qui indiquent une attaque si elles sont détectées sur le réseau. Les paquets provenant de ces adresses sont abandonnés. Le périphérique prend en charge un ensemble d'adresses martiennes réservées qui sont incorrectes du point de vue du protocole IP. Les adresses martiennes réservées prises en charge regroupent les éléments suivants : • Les adresses définies comme étant incorrectes sur la page Adresses martiennes. • Les adresses qui sont incorrectes du point de vue du protocole (comme les adresses de bouclage), et notamment les adresses contenues dans les plages suivantes : - 0.0.0.0/8 (à l'exception de 0.0.0.0/32 en tant qu'adresse source) : les adresses situées dans ce bloc font référence aux hôtes source de ce réseau. - 127.0.0.0/8 : utilisée en tant qu'adresse de bouclage d'hôte Internet. - 192.0.2.0/24 : utilisée en tant que réseau de test TEST-NET dans la documentation et les exemples de codes. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 429 Sécurité Prévention du déni de service 22 - 224.0.0.0/4 (en tant qu'adresse IP source) : utilisée dans les affectations d'adresses de multidiffusion IPv4, anciennement connue sous le nom d'espace d'adressage de classe D. - 240.0.0.0/4 (à l'exception de 255.255.255.255/32 en tant qu'adresse de destination) : plage d'adresses réservées, anciennement connue sous le nom d'espace d'adressage de classe E. Vous pouvez également ajouter de nouvelles adresses martiennes pour la protection contre les DoS. Les paquets présentant une adresse martienne sont abandonnés. Pour définir des adresses martiennes : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Adresses martiennes. ÉTAPE 2 Sélectionnez Adresses martiennes réservées et cliquez sur Appliquer pour inclure les adresses martiennes réservées dans la liste Protection de niveau système. ÉTAPE 3 Pour ajouter une adresse martienne, cliquez sur Ajouter. ÉTAPE 4 Saisissez les paramètres. • Version IP : indique la version IP prise en charge. À l'heure actuelle, la prise en charge n'est proposée que pour IPv4. • Adresse IP : saisissez une adresse IP à rejeter. Ce champ peut prendre les valeurs suivantes : • - De la liste réservée : sélectionnez une adresse IP bien connue dans la liste réservée. - Nouvelle adresse IP : saisissez une adresse IP. Masque : saisissez le masque de l'adresse IP pour définir une plage d'adresses IP à rejeter. Les valeurs disponibles sont les suivantes : - Masque de réseau : le masque de réseau est présenté dans un format décimal séparé par des points. - Longueur du préfixe : saisissez le préfixe de l'adresse IP afin de définir la plage des adresses IP pour laquelle la Prévention du déni de service sera activée. ÉTAPE 5 Cliquez sur Apply. Les adresses martiennes sont écrites dans le fichier de Configuration d'exécution. Filtrage SYN La page Filtrage SYN permet de filtrer les paquets TCP qui comportent un indicateur SYN et qui sont destinés à un ou plusieurs ports. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 430 Sécurité Prévention du déni de service 22 Pour définir un filtre SYN : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage SYN. ÉTAPE 2 clique sur Add. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez l'interface sur laquelle le filtre est défini. • Adresse IPv4 : saisissez l'adresse IP pour laquelle le filtre est défini ou sélectionnez Toutes les adresses. • Masque de réseau : saisissez le masque de réseau pour lequel le filtre est activé au format d'adresse IP. • Port TCP : sélectionnez le port TCP de destination filtré : - Ports connus : sélectionnez un port dans la liste. - Défini par l'utilisateur : saisissez un numéro de port. - Tous les ports : sélectionnez cette option pour indiquer que tous les ports seront filtrés. ÉTAPE 4 Cliquez sur Apply. Le filtre SYN est défini et le fichier de Configuration d'exécution est mis à jour. Protection du débit SYN La page Protection du débit SYN permet de limiter le nombre de paquets SYN reçus sur le port d'entrée. Cela permet d'atténuer l'effet d'une saturation SYN sur les serveurs en limitant, au niveau du débit, le nombre de nouvelles connexions ouvertes pour gérer les paquets. Cette fonction est uniquement disponible en mode système Couche 2 sur les périphériques Sx300 et SG500 et en mode natif sur les périphériques SG500X et SG500XG. Pour définir la protection du débit SYN : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Protection du débit SYN. Cette page affiche la protection du débit SYN actuellement définie par interface. ÉTAPE 2 Cliquez sur Add. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez l'interface à partir de laquelle la protection du débit sera définie. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 431 Sécurité Prévention du déni de service 22 • Adresse IP : saisissez l'adresse IP pour laquelle la protection du débit SYN est définie ou sélectionnez Toutes les adresses. Si vous saisissez l'adresse IP, saisissez également le masque ou la longueur du préfixe. • Masque de réseau : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : • - Masque : sélectionnez le sous-réseau auquel l'adresse IP source appartient et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des points. - Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source. Limite du débit SYN : saisissez le nombre des paquets SYN pouvant être reçus. ÉTAPE 4 Cliquez sur Apply. La protection du débit SYN est définie et le fichier de Configuration d'exécution est mis à jour. Filtrage ICMP La page Filtrage ICMP permet de bloquer les paquets ICMP en provenance de certaines sources. Cela peut permettre de réduire la charge du réseau en cas d'attaque ICMP. Pour définir le filtrage ICMP : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage ICMP. ÉTAPE 2 Cliquez sur Add. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez l'interface sur laquelle le filtrage ICMP est défini. • Adresse IP : saisissez l'adresse IPv4 pour laquelle le filtrage des paquets ICMP est activé ou sélectionnez Toutes les adresses pour bloquer les paquets ICMP en provenance de toutes les adresses source. Si vous saisissez l'adresse IP, saisissez également le masque ou la longueur du préfixe. • Masque de réseau : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : - Masque : sélectionnez le sous-réseau auquel l'adresse IP source appartient et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des points. - Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 432 22 Sécurité Surveillance DHCP ÉTAPE 4 Cliquez sur Apply. Le filtrage ICMP est défini et le fichier de Configuration d'exécution est mis à jour. Filtrage de fragments IP La page IP fragmenté permet de bloquer les paquets IP fragmentés. Pour configurer le blocage IP fragmenté : ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage de fragments IP. ÉTAPE 2 Cliquez sur Add. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez l'interface sur laquelle la fragmentation IP est définie. • Adresse IP : saisissez un réseau IP à partir duquel les paquets IP fragmentés sont filtrés ou sélectionnez Toutes les adresses pour bloquer les paquets IP fragmentés en provenance de toutes les adresses. Si vous saisissez l'adresse IP, saisissez également le masque ou la longueur du préfixe. • Masque de réseau : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et saisissez une valeur dans l'un des champs suivants : - Masque : sélectionnez le sous-réseau auquel l'adresse IP source appartient et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des points. - Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre d'octets compris dans le préfixe de l’adresse IP source. ÉTAPE 4 Cliquez sur Apply. La fragmentation IP est définie et le fichier de Configuration d'exécution est mis à jour. Surveillance DHCP Reportez-vous à la section UDP Relay/IP Helper (Relais UDP/Assistance IP). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 433 Sécurité Protection de la source IP 22 Protection de la source IP La protection de la source IP est une fonction de sécurité qui peut être utilisée pour empêcher les attaques de trafic provoquées lorsqu'un hôte essaie d'utiliser l'adresse IP de son voisin. Lorsque la protection de la source IP est activée, le périphérique transmet uniquement le trafic IP client vers les adresses IP contenues dans la base de données de liaison de surveillance DHCP. Cela inclut à la fois les adresses ajoutées par la surveillance DHCP et les entrées ajoutées manuellement. Si le paquet correspond à une entrée contenue dans la base de données, le périphérique le transfère. Sinon, le paquet est supprimé. Interactions avec les autres fonctions Les points suivants sont importants pour la protection de la source IP : • La surveillance DHCP doit être activée au niveau global afin de permettre la protection de la source IP sur une interface. • La protection de la source IP peut être active sur une interface uniquement si : - La surveillance DHCP est activée sur au moins un des VLAN du port. - L'interface est non sécurisée DHCP. Tous les paquets présents sur des ports sécurisés sont transférés. • Si un port est sécurisé DHCP, il est possible de configurer le filtrage des adresses IP statiques, même si la protection de la source IP n'est pas active, à la condition que la protection de la source IP soit activée sur le port. • Lorsque l'état du port passe de non sécurisé DHCP à sécurisé DHCP, les entrées du filtrage des adresses IP statiques restent dans la base de données de liaison, mais elles deviennent inactives. • La sécurité des ports ne peut pas être activée si le filtrage des adresses IP et MAC source est configuré sur un port. • La protection de la source IP utilise des ressources TCAM et ne nécessite qu'une seule règle TCAM par entrée d'adresse de protection de source IP. Si le nombre d'entrées de protection de source IP est supérieur au nombre de règles TCAM disponibles, les adresses supplémentaires sont inactives. Filtrage Si la protection de la source IP est activée sur un port : • Les paquets DHCP autorisés par la surveillance DHCP sont autorisés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 434 22 Sécurité Protection de la source IP • Si le filtrage des adresses IP sources est activé : - Trafic IPv4 : seul le trafic avec une adresse IP source associée au port est autorisé. - Trafic non IPv4 : autorisé (y compris les paquets ARP). Configuration du flux de travail de la protection de la source IP Pour configurer la protection de la source IP : ÉTAPE 1 Activez la surveillance DHCP à la page > Configuration IP > DHCP Propriétés ou à la page Sécurité > Surveillance DHCP > Propriétés. ÉTAPE 2 Définissez les VLAN sur lesquels la surveillance DHCP est activée à la page Configuration IP > DHCP > Paramètres d'interface. ÉTAPE 3 Indiquez si les interfaces sont sécurisées ou non sécurisées dans la page Configuration IP > DHCP > Interface de surveillance DHCP. ÉTAPE 4 Activez la protection de la source IP à la page > Sécurité > Protection de la source IP Propriétés. ÉTAPE 5 Activez la protection de la source IP sur les interfaces non sécurisées, comme requis, à la page Sécurité > Protection de la source IP > Paramètres d'interface. ÉTAPE 6 Affichez les entrées de la base de données de liaison à la page Sécurité > Protection de la source IP > Base de données de liaison. Activation de la protection de la source IP Pour activer la protection de la source IP globalement : ÉTAPE 1 Cliquez sur Sécurité > Protection de la source IP > Propriétés. ÉTAPE 2 Sélectionnez Activer pour activer la protection de la source IP globalement. ÉTAPE 3 Sélectionnez Appliquer pour activer la protection de la source IP. Configuration de la protection de la source IP sur des interfaces Si la protection de la source IP est activée sur un port/LAG non sécurisé, les paquets DHCP autorisés par la surveillance DHCP sont transmis. Si le filtrage des adresses IP sources est activé, la transmission des paquets est autorisée comme suit : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 435 22 Sécurité Protection de la source IP • Trafic IPv4 : seul le trafic IPv4 avec une adresse IP source associée au port spécifique est autorisé. • Trafic non IPv4 : tout le trafic non IPv4 est autorisé. Reportez-vous à la section Interactions avec les autres fonctions pour plus d'informations sur l'activation de la protection de la source IP sur des interfaces. Pour configurer la protection de la source IP sur des interfaces : ÉTAPE 1 Cliquez sur Sécurité > Protection de la source IP > Paramètres d'interface. ÉTAPE 2 Sélectionnez un port/LAG dans le champ Filtre et cliquez sur OK. Les ports/LAG de cette unité sont affichés avec les informations suivantes : • Protection de la source IP : indique si la protection de la source IP est activée sur le port. • Interface sécurisée de surveillance DHCP : indique s'il s'agit d'une interface sécurisée DHCP. ÉTAPE 3 Sélectionnez le port/LAG et cliquez sur Modifier. Sélectionnez Activer dans le champ Protection de la source IP pour activer la protection de la source IP sur l'interface. ÉTAPE 4 Cliquez sur Appliquer pour copier le paramètre dans le fichier de Configuration d'exécution. Base de données de liaison La protection de source IP utilise la base de données de liaison de surveillance DHCP pour vérifier les paquets issus de ports non sécurisés. Si le périphérique tente d'écrire un trop grand nombre d'entrées dans la base de données de liaison de surveillance DHCP, les entrées en excès sont maintenues dans un état inactif. Les entrées sont supprimées lors de l'expiration de leur durée de bail, des entrées inactives pouvant alors être rendues actives. Reportez-vous à la section UDP Relay/IP Helper (Relais UDP/Assistance IP). REMARQUE La page Base de données de liaison n'affiche que les entrées de la base de données de liaison de surveillance DHCP qui sont définies sur des ports pour lesquels la protection de source IP est activée. Pour afficher la base de données de liaison de surveillance DHCP et connaître l'utilisation de TCAM, définissez l'option Insertion inactive : ÉTAPE 1 Cliquez sur Sécurité > Protection de la source IP > Base de données de liaison. ÉTAPE 2 La base de données de liaison de surveillance DHCP utilise des ressources TCAM pour gérer la base de données. Remplissez le champ Insertion inactive pour Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 436 22 Sécurité Inspection ARP sélectionner la fréquence à laquelle le périphérique doit tenter d'activer les entrées inactives. Les options suivantes sont disponibles : • Fréquence des tentatives : fréquence à laquelle les ressources TCAM sont vérifiées. • Jamais : il ne faut jamais tenter de réactiver les adresses inactives. ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les modifications ci-dessus dans la Configuration d'exécution et/ou sur Recommencer maintenant pour vérifier les ressources TCAM. Les entrées de la base de données de liaison sont affichées : • ID VLAN : VLAN sur lequel le paquet est attendu. • Adresse MAC : adresse MAC à mettre en correspondance. • Adresse IP : adresse IP à mettre en correspondance. • Interface : interface sur laquelle le paquet est attendu. • État : indique si l'interface est active. • Type : indique si l'entrée est dynamique ou statique. • Motif : si l'interface n'est pas active, indique le motif. Les motifs suivants sont possibles : - Sans problème : l'interface est active. - Sans VLAN de surveillance : la surveillance DHCP n'est pas activée sur le VLAN. - Confiance de port : le port est maintenant sécurisé. - Sans ressource : les ressources TCAM sont épuisées. Pour afficher un sous-ensemble de ces entrées, saisissez les critères de recherche appropriés et cliquez sur OK. Inspection ARP ARP permet la communication IP au sein d'un domaine de diffusion de couche 2 (Layer 2) en mappant les adresses IP à des adresses MAC. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 437 Sécurité Inspection ARP 22 Un utilisateur malveillant peut attaquer les hôtes, les commutateurs et les routeurs connectés à un réseau en mode de couche 2 en empoisonnant les caches ARP des systèmes connectés au sous-réseau et en interceptant le trafic destiné aux autres hôtes du sous-réseau. Cela s'avère possible parce qu'ARP permet une réponse gratuite à partir d'un hôte, même si aucune requête ARP n'a été reçue. Après l'attaque, tout le trafic issu du périphérique attaqué se dirige vers l'ordinateur de la personne malveillante, puis vers le routeur, le commutateur ou l'hôte. Vous trouverez ci-dessous un exemple d'empoisonnement de cache ARP. Empoisonnement de cache ARP Les hôtes A, B et C sont connectés à un commutateur sur les interfaces A, B et C, toutes se trouvant sur le même sous-réseau. Leurs adresses IP et MAC sont indiquées entre parenthèses ; par exemple, l'hôte A utilise l'adresse IP IA et l'adresse MAC MA. Lorsque l'hôte A a besoin de communiquer avec l'hôte B au niveau de la couche IP, il diffuse une requête ARP relative à l'adresse MAC associée à l'adresse IP IB. L'hôte B répond ensuite à l'aide d'une réponse ARP. Le commutateur et l'hôte A mettent à jour leur cache ARP avec les adresses MAC et IP de l'hôte B. L'hôte C peut empoisonner les caches ARP du commutateur, de l'hôte A et de l'hôte B en diffusant des réponses ARP falsifiées avec des liaisons vers un hôte possédant une adresse IP égale à IA (ou IB) et une adresse MAC égale à MC. Les hôtes dont les caches ARP ont été empoisonnés utilisent alors l'adresse MAC MC en tant qu'adresse MAC de destination pour le trafic destiné à IA ou IB, permettant ainsi à l'hôte C d'intercepter ce trafic. L'hôte C connaissant les véritables adresses MAC associées à IA et IB, il peut réacheminer le trafic intercepté vers ces hôtes en utilisant l'adresse MAC correcte en guise de destination. L'hôte C s'est par conséquent inséré dans le flux de trafic situé entre l'hôte A et l'hôte B, exécutant ainsi une attaque classique dite de l'homme du milieu. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 438 Sécurité Inspection ARP 22 Comment ARP peut empêcher l'empoisonnement de cache La fonction d'inspection ARP s'applique aux interfaces sécurisées ou non (reportez-vous à la page Sécurité > Inspection ARP > Paramètres d'interface). Les interfaces sont classées par l'utilisateur comme suit : • Interfaces sécurisées : les paquets ne sont pas inspectés. • Interfaces non sécurisées : les paquets sont inspectés comme décrit ci-dessus. L'inspection ARP est effectuée uniquement sur les interfaces non validées. Les paquets ARP qui sont reçus sur une interface validée sont simplement réacheminés. La logique suivante est appliquée lors de l'arrivée de paquets sur des interfaces non validées : • Le système recherche les règles de contrôle d'accès ARP relatives aux adresses IP/MAC du paquet. Si l'adresse IP est trouvée et si l'adresse MAC figurant dans la liste correspond à l'adresse MAC du paquet, alors le paquet est valide ; sinon, il ne l'est pas. • Si l'adresse IP du paquet est introuvable et si le DHCP Snooping est activé pour le VLAN du paquet, le système recherche la paire <VLAN - adresse IP> du paquet dans la base de données de liaison de DHCP Snooping. Si la paire <VLAN - adresse IP> a été trouvée et si l'adresse MAC ainsi que l'interface dans la base de données correspondent à l'adresse MAC et à l'interface d'entrée du paquet, alors le paquet est valide. • Si l'adresse IP du paquet est introuvable dans les règles de contrôle d'accès ARP ou dans la base de données de liaison de DHCP Snooping, le paquet n'est pas valide et il est supprimé. Un message SYSLOG est alors généré. • Lorsqu'un paquet est valide, il est réacheminé et le cache ARP est mis à jour. Si l'option Validation de paquet ARP est sélectionnée (page Propriétés), les vérifications de validation supplémentaires suivantes sont effectuées : • Adresse MAC source : compare l'adresse MAC source du paquet figurant dans l'en-tête Ethernet à l'adresse MAC de l'expéditeur présente dans la requête ARP. Cette vérification est effectuée à la fois sur les requêtes et les réponses ARP. • Adresse MAC de destination : compare l'adresse MAC de destination du paquet figurant dans l'entête Ethernet à l'adresse MAC de l'interface de destination. Cette vérification est effectuée sur les réponses ARP. • Adresses IP : recherche les adresses IP non valides et inattendues dans le corps ARP. Ces adresses incluent 0.0.0.0, 255.255.255.255 ainsi que toutes les adresses de multidestination IP. Les paquets contenant des liaisons d'inspection ARP non valides sont enregistrés dans le journal et supprimés. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 439 22 Sécurité Inspection ARP Il est possible de définir un maximum de 1 024 entrées dans la table de contrôle d'accès ARP. Interaction entre l'inspection ARP et la surveillance DHCP Si le DHCP Snooping est activé, l'inspection ARP utilise la base de données de liaison de DHCP Snooping en plus des règles de contrôle d'accès ARP. Si le DHCP Snooping n'est pas activé, seules les règles de contrôle d'accès ARP sont utilisées. Valeurs ARP par défaut Le tableau suivant décrit les valeurs ARP par défaut : Option État par défaut Inspection ARP dynamique Non activée Validation de paquet ARP Désactivée Inspection ARP activée sur VLAN Désactivée Intervalle du tampon du journal La génération d'un message SYSLOG pour les paquets supprimés est activée avec un intervalle de 5 secondes. Workflow de l'inspection ARP Pour configurer l'inspection ARP : ÉTAPE 1 Activez l'inspection ARP et configurez diverses options à la page Sécurité > Inspection ARP > Propriétés. ÉTAPE 2 Configurez les interfaces en tant qu'interfaces ARP sécurisées ou non à la page Sécurité > Inspection ARP > Paramètres d'interface. ÉTAPE 3 Ajoutez des règles à la page Sécurité > Inspection ARP > Contrôle d'accès ARP et Règles de contrôle d'accès ARP. ÉTAPE 4 Définissez les VLAN sur lesquels l'inspection ARP est activée ainsi que les règles de contrôle d'accès de chaque VLAN à la page Sécurité > Inspection ARP > Paramètres VLAN. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 440 22 Sécurité Inspection ARP Définition des propriétés d'inspection ARP Pour configurer l'inspection ARP : ÉTAPE 1 Cliquez sur Sécurité > Inspection ARP > Propriétés. Renseignez les champs suivants : • État de l'inspection ARP : sélectionnez cette option pour activer l'inspection ARP. • Validation de paquet ARP : sélectionnez cette option pour activer les vérifications de validation suivantes : • - Adresse MAC source : compare l'adresse MAC source du paquet figurant dans l'en-tête Ethernet à l'adresse MAC de l'expéditeur présente dans la requête ARP. Cette vérification est effectuée à la fois sur les requêtes et les réponses ARP. - Adresse MAC de destination : compare l'adresse MAC de destination du paquet figurant dans l'en-tête Ethernet à l'adresse MAC de l'interface de destination. Cette vérification est effectuée sur les réponses ARP. - Adresses IP : recherche les adresses IP non valides et inattendues dans le corps ARP. Ces adresses incluent 0.0.0.0, 255.255.255.255 ainsi que toutes les adresses de multidestination IP. Intervalle du tampon du journal : sélectionnez l'une des options suivantes : - Fréquence des tentatives : active l'envoi de messages SYSLOG pour les paquets supprimés. Saisissez la fréquence à laquelle les messages sont envoyés. - Jamais : désactive l'envoi de messages SYSLOG pour les paquets supprimés. ÉTAPE 2 Cliquez sur Apply. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour. Définition des paramètres des interfaces d'inspection ARP dynamique Les paquets issus des ports/LAG non sécurisés sont vérifiés à l'aide de la table des règles d'accès ARP et de la base de données de liaison de surveillance DHCP si la surveillance DHCP est activée (reportez-vous à la page Base de données de liaison de surveillance DHCP). Par défaut, les ports/LAG sont non sécurisés en ce qui concerne l'inspection ARP. Pour modifier l'état sécurisé ARP d'un port/LAG : Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 441 22 Sécurité Inspection ARP ÉTAPE 1 Cliquez sur Sécurité > Inspection ARP > Paramètres d'interface. Les ports/LAG ainsi que leur état sécurisé / non sécurisé ARP sont affichés. ÉTAPE 2 Pour définir un port/LAG comme étant non sécurisé, sélectionnez le port/LAG et cliquez sur Modifier. ÉTAPE 3 Sélectionnez Sécurisé ou Non sécurisé et cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de Configuration d'exécution. Définition du contrôle d'accès d'inspection ARP Pour ajouter des entrées à la table d'inspection ARP : ÉTAPE 1 Cliquez sur Sécurité > Inspection ARP > Contrôle d'accès ARP. ÉTAPE 2 Pour ajouter une entrée, cliquez sur Ajouter. ÉTAPE 3 Renseignez les champs suivants : • Nom de contrôle d'accès ARP : saisissez un nom créé par l'utilisateur. • Adresse IP : adresse IP du paquet. • Adresse MAC : adresse MAC du paquet. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour. Définition des règles de contrôle d'accès d'inspection ARP Pour ajouter des règles supplémentaires à un groupe de contrôle d'accès ARP créé précédemment : ÉTAPE 1 Cliquez sur Sécurité > Inspection ARP > Règles de contrôle d'accès ARP. Les règles d'accès actuellement définies sont affichées. ÉTAPE 2 Pour ajouter des règles supplémentaires à un groupe, cliquez sur Ajouter. ÉTAPE 3 Sélectionnez un groupe de contrôle d'accès et renseignez les champs suivants : • Adresse IP : adresse IP du paquet. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 442 22 Sécurité Sécurité du premier saut • Adresse MAC : adresse MAC du paquet. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour. Définition des paramètres VLAN d'inspection ARP Pour activer l'inspection ARP sur des VLAN et associer des groupes de contrôle d'accès à un VLAN : ÉTAPE 1 Cliquez sur Sécurité > Inspection ARP > Paramètres VLAN. ÉTAPE 2 Pour activer l'inspection ARP sur un VLAN, déplacez le VLAN depuis la liste VLAN disponibles vers la liste VLAN activés. ÉTAPE 3 Pour associer un groupe de contrôle d'accès ARP à un VLAN, cliquez sur Ajouter. Sélectionnez le numéro du VLAN ainsi qu'un groupe Contrôle d'accès ARP défini précédemment. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont définis et le fichier de Configuration d'exécution est mis à jour. Sécurité du premier saut Sécurité : Sécurité du premier saut IPv6 Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 443 23 Sécurité : Authentification 802.1X Cette section décrit l'authentification 802.1X. Elle couvre les rubriques suivantes : • Présentation de 802.1X • Présentation de l'authentificateur • Tâches courantes • Configuration de 802.1X via l'interface utilisateur graphique (GUI) • Définition des périodes • Prise en charge des méthodes d'authentification et des modes de port Présentation de 802.1X L'authentification 802.1x empêche les clients non autorisés de se connecter à un réseau LAN par le biais de ports accessibles à la publicité. L'authentification 802.1x est un modèle client-serveur. Dans ce modèle, les périphériques réseau ont les rôles spécifiques suivants. • Client ou demandeur • Authentificateur • Serveur d'authentification Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 444 Sécurité : Authentification 802.1X Présentation de 802.1X 23 Il est décrit dans la figure ci-dessous : Sur chaque port, un périphérique réseau peut être un client/demandeur, un authentificateur ou les deux. Client ou demandeur Un client ou un demandeur est un périphérique réseau qui demande accès au LAN. Le client est connecté à un authentificateur. Si le client utilise le protocole 802.1x pour l'authentification, il exécute la partie demandeur du protocole 802.1x et la partie client du protocole EAP. Aucun logiciel spécial n'est nécessaire sur le client pour utiliser l'authentification MAC ou Web. Authentificateur Un authentificateur est un périphérique réseau qui fournit des services réseau et auquel les ports du demandeur sont connectés. Les modes d'authentification suivants sur les ports sont pris en charge (vous pouvez définir ces modes dans Sécurité > Authentification MAC/Web 802.1X > Hôte et Authentification) : • Hôte unique : prend en charge l'authentification basée sur les ports avec un seul client par port. • Hôtes multiples : prend en charge l'authentification basée sur les ports avec plusieurs clients par port. • Sessions multiples : prend en charge l'authentification basée sur les clients avec plusieurs clients par port. Pour plus d'informations, reportez-vous à la section Modes hôte de port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 445 Sécurité : Authentification 802.1X Présentation de 802.1X 23 Les méthodes d'authentification suivantes sont prises en charge : • 802.1x : prise en charge dans tous les modes d'authentification. • MAC : prise en charge dans tous les modes d'authentification. • WEB : prise en charge uniquement dans les modes à sessions multiples. Dans l'authentification 802.1x, l'authentificateur extrait les messages EAP des messages 802.1x (trames EAPOL) et les transmet au serveur d'authentification, via le protocole RADIUS. Avec l'authentification MAC ou Web, l'authentificateur exécute lui-même la partie client EAP du logiciel. Serveur d'authentification Le serveur d'authentification effectue l'authentification du client. Le serveur d'authentification pour le périphérique est un serveur d'authentification RADIUS avec extensions EAP. Open Access (Accès ouvert) La fonction Open (Monitoring) Access (Accès (en surveillance) ouvert) facilite la distinction entre les échecs d'authentification véritables et les échecs causés par une configuration incorrecte et/ou un manque de ressources dans un environnement 802.1x. La fonction Open Access (Accès ouvert) permet aux administrateurs système de mieux comprendre les problèmes de configuration des hôtes qui se connectent au réseau, de surveiller les situations critiques et de résoudre ces problèmes. Lorsque la fonction Open Access (Accès ouvert) est activée sur une interface, le commutateur considère tous les échecs reçus d'un serveur RADIUS comme des réussites et autorise les stations connectées à l'interface à accéder au réseau quels que soient les résultats de l'authentification. La fonction Open Access (Accès ouvert) modifie le paramétrage standard qui consiste à bloquer le trafic sur un port à authentification jusqu'à la réussite des procédures d'authentification et d'autorisation. Le comportement d'authentification par défaut est toujours de bloquer l'ensemble du trafic à l'exception du protocole EAPoL (Extensible Authentication Protocol over LAN). Toutefois, la fonction Open Access (Accès ouvert) offre à l'administrateur la possibilité de donner un libre accès à l'ensemble du trafic, même si l'authentification (802.1X, MAC et/ou Web) est activée. Lorsque la gestion de comptes RADIUS est activée, vous pouvez consigner les tentatives d'authentification et obtenir une meilleure visibilité sur les utilisateurs et les appareils qui se connectent au réseau grâce à une piste d'audit. Tout se déroule sans impact sur les utilisateurs finaux ni sur les hôtes connectés au réseau. Vous pouvez activer la fonction Open Access (Accès ouvert) sur la page Authentification des ports 802.1X. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 446 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Présentation de l'authentificateur États d'authentification administrative du port L'état administratif du port détermine si le client a accès au réseau. L'état administratif du port peut être configuré sur la page Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. La valeurs suivantes sont disponibles : • Autorisation forcée L'authentification du port est désactivée et le port transmet tout le trafic conformément à sa configuration statique sans demander d'authentification. Le commutateur envoie le paquet EAP 802.1x qui intègre le message de réussite EAP lorsqu'il reçoit le message de démarrage EAPOL 802.1x. Il s'agit de l'état par défaut. • Non-autorisation forcée L'authentification du port est désactivée et le port transmet tout le trafic via le VLAN invité et les VLAN non authentifiés. Pour plus d'informations, reportez-vous à la section Définition de l'authentification des hôtes et sessions. Le commutateur envoie les paquets EAP 802.1x qui intègrent les messages d'erreur EAP lorsqu'il reçoit les messages de démarrage EAPOL 802.1x. • auto Active les authentifications 802.1 x conformément au mode hôte de port configuré et aux méthodes d'authentification configurées sur le port. Modes hôte de port Les ports peuvent être définis dans les modes hôte de port suivants (configurés sur la page Sécurité > Authentification 802.1X/MAC/Web > Hôte et Authentification) : • Mode Hôte unique Un port est autorisé s'il y a un client autorisé. Un seul hôte peut être autorisé sur un port. Lorsqu'un port n'est pas autorisé et que le VLAN invité est activé, le trafic non balisé est remappé sur le VLAN invité. Le trafic balisé est abandonné sauf s'il appartient au VLAN invité ou à un VLAN non authentifié. Si un VLAN invité n'est pas activé sur le port, seul le trafic balisé appartenant aux VLAN non authentifiés est ponté. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 447 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Lorsqu'un port est autorisé, le trafic balisé et non balisé provenant de l'hôte autorisé est ponté en fonction de la configuration du port d'appartenance au VLAN statique. Le trafic provenant des autres hôtes est abandonné. Un utilisateur peut spécifier que le trafic non balisé provenant de l'hôte autorisé doit être remappé sur un VLAN qui est attribué par un serveur RADIUS au cours du processus d'authentification. Le trafic balisé est abandonné sauf s'il appartient au VLAN affecté par RADIUS ou aux VLAN non authentifiés. Vous pouvez définir l'affectation VLAN RADIUS sur un port via la page Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. • Mode Hôtes multiples Un port est autorisé s'il y a au moins un client autorisé. Lorsqu'un port n'est pas autorisé et qu'un VLAN invité est activé, le trafic non balisé est remappé sur le VLAN invité. Le trafic balisé est abandonné sauf s'il appartient au VLAN invité ou à un VLAN non authentifié. Si le VLAN invité n'est pas activé sur un port, seul le trafic balisé appartenant aux VLAN non authentifiés est ponté. Lorsqu'un port est autorisé, le trafic balisé et non balisé provenant de tous les hôtes connectés au port est ponté en fonction de la configuration du port d'appartenance au VLAN statique. Vous pouvez spécifier que le trafic non balisé provenant du port autorisé doit être remappé sur un VLAN qui est attribué par un serveur RADIUS au cours du processus d'authentification. Le trafic balisé est abandonné sauf s'il appartient au VLAN affecté par RADIUS ou aux VLAN non authentifiés. Vous pouvez définir l'affectation VLAN RADIUS sur un port via la page Authentification des ports. • Mode Sessions multiples À la différence des modes Hôte unique et Hôtes multiples, un port en mode Sessions multiples n'a pas d'état d'authentification. Cet état est attribué à chaque client connecté au port. Ce mode requiert une recherche TCAM. Puisque les commutateurs du mode Couche 3 n'ont pas de recherche TCAM allouée pour le mode Sessions multiples, ils prennent en charge une forme limitée du mode Sessions multiples, qui n'autorise pas les attributs VLAN invité et VLAN RADIUS. Le nombre maximal d'hôtes autorisés sur le port doit être configuré sur la page Authentification des ports. Le trafic balisé appartenant à un VLAN non authentifié est toujours ponté, que l'hôte soit autorisé ou pas. Le trafic balisé et non balisé qui provient d'hôtes non autorisés n'appartenant pas à un VLAN non authentifié est remappé sur le VLAN invité s'il est défini et activé sur le VLAN, ou est abandonné si le VLAN invité n'est pas activé sur le port. Si un hôte autorisé se voit attribuer un VLAN par un serveur RADIUS, tout son trafic balisé et non balisé n'appartenant pas aux VLAN non authentifiés est ponté via le VLAN ; si le VLAN n'est pas attribué, tout son trafic est ponté en fonction de la configuration du port d'appartenance au VLAN statique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 448 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Les périphériques suivants prennent en charge le mode Sessions multiples sans attribution de VLAN invité et VLAN RADIUS : - Sx500/ESW2-550X en mode routeur Couche 3 - SG500X en mode Pile hybride de base et Pile hybride avancée - SG500XG Méthodes d'authentification multiples Si plus d'une méthode d'authentification est activée sur le commutateur, la hiérarchie suivante des méthodes d'authentification est appliquée : • Authentification 802.1x : la plus haute • Authentification Web • Authentification MAC : la plus basse Plusieurs méthodes peuvent être exécutées simultanément. Lorsqu'une méthode est exécutée avec succès, le client est alors autorisé. Les méthodes ayant une priorité plus basse sont arrêtées et celles ayant une priorité plus haute continuent. Lorsque l'une des méthodes d'authentification exécutées simultanément échoue, les autres méthodes continuent. Lorsqu'une méthode d'authentification s'exécute avec succès pour un client authentifié par une méthode d'authentification ayant une priorité plus basse, les attributs de la nouvelle méthode d'authentification sont appliqués. Lorsque la nouvelle méthode échoue, le client continue à être autorisé pour l'ancienne méthode. Authentification 802.1x L'authentificateur 802.1x relaie les messages EAP transparents entre les demandeurs 802.1x et les serveurs d'authentification. Les messages EAP entre les demandeurs et l'authentificateur sont encapsulés dans les messages 802.1x, et les messages EAP entre l'authentificateur et les serveurs d'authentification sont encapsulés dans les messages RADIUS. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 449 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Ce processus est décrit dans la figure ci-dessous : Figure 3 Authentification 802.1x Authentification MAC L'authentification MAC est une alternative à l'authentification 802.1X qui offre un accès réseau aux périphériques (comme les imprimantes et les téléphones IP) ne disposant pas de la fonctionnalité de demandeur 802.1X. L'authentification MAC utilise l'adresse MAC du périphérique qui se connecte pour accorder ou refuser l'accès au réseau. Dans ce cas, le commutateur prend en charge la fonctionnalité EAP MD5 avec un nom d'utilisateur et un mot de passe identiques à l'adresse MAC du client, comme indiqué ci-dessous. Figure 4 Authentification MAC La méthode n'a pas de configuration spécifique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 450 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Authentification Web L'authentification WEB permet d'authentifier les utilisateurs qui demandent accès à un réseau via un commutateur. Elle permet aux clients directement connectés au commutateur d'être authentifiés par l'intermédiaire d'un mécanisme de portail captif avant que le client ne se voit accorder l'accès au réseau. L'authentification Web est une authentification client et est prise en charge en mode Sessions multiples en Couche 2 et Couche 3. Cette méthode d'authentification est activée par port et lorsqu'un port est activé, chaque hôte doit s'authentifier afin d'accéder au réseau. Ainsi, sur un port activé, vous pouvez avoir des hôtes authentifiés et non authentifiés. Lorsque l'authentification Web est activée sur un port, le commutateur abandonne tout le trafic envoyé par les clients non autorisés vers le port, à l'exception des paquets ARP, DHCP et DNS. Ces paquets sont autorisés à être transférés par le commutateur, afin que même les clients non autorisés puissent obtenir une adresse IP et soient en mesure de résoudre les noms d'hôte ou de domaine. Tous les paquets HTTP/HTTPS sur IPv4 issus des clients non autorisés sont interceptés par le processeur sur le commutateur. Lorsqu'un utilisateur demande l'accès au réseau, si l'authentification Web est activée sur le port, une page de connexion apparaît avant que la page demandée ne s'affiche. L'utilisateur doit saisir son nom d'utilisateur et son mot de passe qui sont authentifiés par un serveur RADIUS utilisant le protocole EAP. Si l'authentification réussit, l'utilisateur en est informé. L'utilisateur a maintenant une session authentifiée. La session reste ouverte tant qu'elle est utilisée. Si elle n'est pas utilisée pendant un certain laps de temps, elle est fermée. Cette durée, appelée Période silencieuse, peut être définie par l'administrateur système. Une fois que la session a expiré, le nom d'utilisateur et le mot de passe sont supprimés et l'invité doit de nouveau les saisir pour ouvrir une nouvelle session. Reportez-vous à la section Méthodes d'authentification et modes de port. Lorsque l'authentification est terminée, le commutateur transfère tout le trafic provenant du client sur le port, comme indiqué dans la figure ci-dessous. Figure 5 Authentification Web L'authentification Web ne peut pas être configurée sur un port pour lequel la fonction VLAN invité ou VLAN affecté par RADIUS est activée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 451 23 Sécurité : Authentification 802.1X Présentation de l'authentificateur L'authentification Web prend en charge les pages suivantes : • Page de connexion • Page de réussite de connexion Il existe un groupe prédéfini et intégré de ces pages. Ces pages peuvent être modifiées via la page Sécurité > Authentification 802.1X/MAC/Web > Personnalisation de l'authentification Web. Vous pouvez prévisualiser chacune des pages personnalisées. La configuration est enregistrée dans le fichier de Configuration d'exécution. Le tableau suivant indique les références qui prennent en charge l'authentification Web et dans quels modes système : Référence Mode système WBA pris en charge Sx300 Couche 2 Oui Couche 3 Non Couche 2 Oui Couche 3 Non Natif Oui Hybride de base - Couche 2 Oui Hybride de base - Couche 3 Non Identique à Sx500 Oui Sx500, Sx500ESW2550X SG500X SG500XG REMARQUE • Si l'authentification Web n'est pas prise en charge, VLAN invité et DVA ne peuvent pas être configurés en mode Sessions multiples. • Si l'authentification Web est prise en charge, VLAN invité et DVA peuvent être configurés en mode Sessions multiples. VLAN non authentifiés et VLAN invité Les VLAN non authentifiés et le VLAN invité fournissent l'accès aux services qui ne nécessitent pas que les ports ou appareils d'abonnement disposent d'une authentification et d'une autorisation basées sur MAC ou 802.1X. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 452 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Le VLAN invité est le VLAN attribué à un client non autorisé. Vous pouvez configurer le VLAN invité et un ou plusieurs VLAN pour qu'ils soient non authentifiés via la page Sécurité > Authentification 802.1X/MAC/ Web > Propriétés. Un VLAN non authentifié est un VLAN qui autorise l'accès via des appareils ou ports autorisés et non autorisés. Un VLAN non authentifié est doté des caractéristiques suivantes : • Il doit s'agir d'un VLAN statique ; il ne peut correspondre au VLAN invité ni au VLAN par défaut. • Les ports membres doivent être configurés manuellement en tant que membres balisés. • Les ports membres doivent être des ports réseau et/ou généraux. Un port d'accès ne peut pas être membre d'un VLAN non authentifié. Le VLAN invité, s'il est configuré, est un VLAN statique doté des caractéristiques suivantes : • Il doit être défini manuellement à partir d'un VLAN statique existant. • Le VLAN invité ne peut être utilisé en tant que VLAN voix ni en tant que VLAN non authentifié. Pour obtenir un récapitulatif des modes dans lesquels le VLAN invité est pris en charge, reportez-vous au Affectation VLAN et VLAN RADIUS. Modes hôte avec VLAN invité Les modes hôte fonctionnent avec le VLAN invité de la manière suivante : • Mode Hôte unique et Hôtes multiples Le trafic non balisé et le trafic balisé appartenant au VLAN invité arrivant sur un port non autorisé sont pontés via le VLAN invité. Tout autre trafic est ignoré. Le trafic appartenant à un VLAN non authentifié est ponté via le VLAN. • Mode Sessions multiples en Couche 2 Le trafic non balisé et le trafic balisé, n'appartenant pas aux VLAN non authentifiés et provenant de clients non autorisés, sont attribués au VLAN invité à l'aide de la règle TCAM et sont pontés via le VLAN invité. Le trafic balisé appartenant à un VLAN non authentifié est ponté via le VLAN. Ce mode ne peut pas être configuré sur la même interface avec des VLAN basés sur une stratégie. • Mode Sessions multiples en Couche 3 Le mode ne prend pas en charge le VLAN invité. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 453 Sécurité : Authentification 802.1X Présentation de l'authentificateur 23 Affectation VLAN RADIUS ou Affectation VLAN dynamique Un client autorisé peut se voir attribuer un VLAN par le serveur RADIUS si cette option est activée sur la page Authentification des ports. Elle porte le nom de Dynamic VLAN Assignment (DVA) ou VLAN affecté par RADIUS. Dans ce guide, le terme VLAN affecté par RADIUS est utilisé. Lorsqu'un port est en mode Sessions multiples et que la fonction VLAN affecté par RADIUS est activée, le périphérique ajoute automatiquement le port en tant que membre non balisé du VLAN qui est attribué par le serveur RADIUS lors du processus d'authentification. Le périphérique classe les paquets non balisés pour le VLAN attribué si les paquets proviennent des appareils ou ports qui sont authentifiés et autorisés. Pour plus d'informations sur le comportement des différents modes lorsque la fonction VLAN affecté par RADIUS est activée sur le périphérique, reportez-vous à Affectation VLAN et VLAN RADIUS. REMARQUE L'affectation VLAN RADIUS est uniquement prise en charge sur les périphériques Sx500 lorsque l'appareil est en mode système Couche 2. Les périphériques SG500X et SG500XG fonctionnent comme les périphériques Sx500 lorsqu'ils sont en mode Pile hybride de base et Pile hybride avancée. Pour qu'un périphérique soit authentifié et autorisé sur un port activé pour l'ADV : • Le serveur RADIUS doit authentifier l'appareil et lui affecter de façon dynamique un VLAN. Vous pouvez définir le champ Affectation VLAN RADIUS sur statique sur la page Authentification des ports. L'hôte peut ainsi être ponté conformément à la configuration statique. • Un serveur RADIUS doit prendre en charge l'ADV avec les attributs RADIUS tunnel-type (64) = VLAN (13), tunnel-media-type (65) = 802 (6) et tunnel-private-group-id = un ID VLAN. Lorsque la fonction VLAN affecté par RADIUS est activée, les modes hôte se comportent comme suit : • Mode Hôte unique et Hôtes multiples Le trafic non balisé et le trafic balisé appartenant au VLAN affecté par RADIUS sont pontés via ce VLAN. Tout autre trafic n'appartenant pas aux VLAN non authentifiés est ignoré. • Mode Sessions multiples complet Le trafic non balisé et le trafic balisé n'appartenant pas aux VLAN non authentifiés et provenant du client sont attribués au VLAN affecté par RADIUS à l'aide des règles TCAM et sont pontés via le VLAN. • Mode Sessions multiples en mode système Couche 3 Ce mode ne prend pas en charge la fonction VLAN affecté par RADIUS, excepté pour les périphériques SG500X et SG500XG en mode Pile native. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 454 23 Sécurité : Authentification 802.1X Présentation de l'authentificateur Le tableau suivant décrit la prise en charge de l'attribution VLAN invité et VLAN RADIUS en fonction de la méthode d'authentification et du mode de port. Affectation VLAN et VLAN RADIUS Méthode d'authentification Hôte unique Hôtes multiples Sessions multiples Périphérique en L3 Périphérique en L2 802.1x † † N/C † MAC † † N/C † WEB N/C N/C N/C N/C Légende : † : le mode de port prend en charge l'attribution VLAN invité et VLAN RADIUS. N/C : le mode de port ne prend pas en charge la méthode d'authentification. Mode Violation En mode Hôte unique, vous pouvez configurer l'action à effectuer lorsqu'un hôte non autorisé sur un port autorisé tente d'accéder à l'interface. Cette opération s'effectue sur la page Authentification hôtes et sessions. Les options suivantes sont disponibles : • restreindre : génère une interception lorsqu'une station, dont l'adresse MAC n'est pas l'adresse MAC du demandeur, tente d'accéder à l'interface. La durée minimale entre les interceptions est de 1 seconde. Ces trames sont transmises, mais leurs adresses source ne sont pas apprises. • protéger : ignore les trames dont l'adresse source n'est pas celle du demandeur. • arrêter : ignore les trames dont l'adresse source n'est pas celle du demandeur et ferme le port. Vous pouvez aussi configurer le périphérique pour qu'il envoie des interceptions SNMP, avec une durée minimale configurable entre deux interceptions consécutives. Si secondes = 0, les interceptions sont désactivées. Si aucune durée minimale n'est spécifiée, la valeur par défaut utilisée est 1 seconde pour le mode restreindre et 0 pour les autres modes. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 455 Sécurité : Authentification 802.1X Tâches courantes 23 Période silencieuse La période silencieuse est une période au cours de laquelle le port (mode Hôte unique ou Hôtes multiples) ou le client (mode Sessions multiples) ne peut pas effectuer de tentative d'authentification suite à l'échec d'un échange d'authentification. En mode Hôte unique ou Hôtes multiples, la période est définie par port ; en mode Sessions multiples, la période est définie par client. Au cours de la période silencieuse, le commutateur ne peut pas accepter, ni initialiser les requêtes d'authentification. La période ne s'applique qu'aux authentifications Web et 802.1x. Vous pouvez aussi spécifier le nombre maximal de tentatives de connexion avant le début de la période silencieuse. La valeur 0 indique un nombre illimité de tentatives de connexion. La durée de la période silencieuse et le nombre maximal de tentatives de connexion peuvent être définis sur la page Authentification des ports. Tâches courantes Flux de travail 1 : activer l'authentification 802.1x sur un port ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Activez l'authentification basée sur les ports. ÉTAPE 3 Sélectionnez la Méthode d'authentification. ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. ÉTAPE 5 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification hôtes et sessions. ÉTAPE 6 Sélectionnez le port souhaité et cliquez sur Modifier. ÉTAPE 7 Définissez le mode Authentification des hôtes. ÉTAPE 8 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. ÉTAPE 9 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. ÉTAPE 10 Sélectionnez un port et cliquez sur Edit. ÉTAPE 11 Définissez le champ Contrôle de port administratif sur Auto. ÉTAPE 12 Définissez les méthodes d'authentification. ÉTAPE 13 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 456 Sécurité : Authentification 802.1X Tâches courantes 23 Flux de travail 2 : configurer les interceptions ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Sélectionnez les interceptions requises. ÉTAPE 3 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Flux de travail 3 : configurer l'authentification 802.1x ou Web ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. ÉTAPE 2 Sélectionnez le port souhaité et cliquez sur Modifier. ÉTAPE 3 Renseignez les champs requis pour le port. Les champs de cette page sont décrits à la section Authentification des ports 802.1X. ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Utilisez le bouton Copier les paramètres pour copier les paramètres d'un port vers un autre. Flux de travail 4 : configurer la période silencieuse ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. ÉTAPE 2 Sélectionnez un port et cliquez sur Edit. ÉTAPE 3 Saisissez la période silencieuse dans le champ Période silencieuse. ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Flux de travail 5 : Pour configurer le VLAN invité : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Sélectionnez Activer dans le champ VLAN invité. ÉTAPE 3 Sélectionnez le VLAN invité dans le champ ID du VLAN invité. ÉTAPE 4 Définissez le Délai d'expiration VLAN invité sur Immédiat ou entrez une valeur dans le champ Défini par l'utilisateur. ÉTAPE 5 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 457 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) 23 Flux de travail 6 : configurer les VLAN non authentifiés ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Sélectionnez un VLAN et cliquez sur Edit. ÉTAPE 3 Sélectionnez un VLAN. ÉTAPE 4 Vous pouvez également décocher Authentification pour faire du VLAN un VLAN non authentifié. ÉTAPE 5 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. Configuration de 802.1X via l'interface utilisateur graphique (GUI) REMARQUE L'authentification Web est seulement prise en charge en mode Couche 2 sur les périphériques Sx300 et SG500. Sur les périphériques SG500XG et SG500X, elle est prise en charge en mode natif ou hybride avancé XG. Définition des propriétés 802.1X La page Propriétés 802.1X permet d'activer 802.1X globalement et de définir la façon dont les ports sont authentifiés. Pour que 802.1X puisse fonctionner, il doit être activé à la fois globalement et individuellement sur chaque port. Pour définir l'authentification basée sur les ports : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Propriétés. ÉTAPE 2 Saisissez les paramètres. • Authentification basée sur les ports : activez ou désactivez l'authentification basée sur les ports. Si cette fonction est désactivée, l'authentification 802.1X, MAC et Web est désactivée. • Méthode d'authentification : sélectionnez les méthodes d'authentification des utilisateurs. Les options sont les suivantes : - RADIUS, aucune : effectue tout d'abord l'authentification des ports en utilisant le serveur RADIUS. Si aucune réponse n'est reçue de ce serveur (par exemple s'il n'est pas actif), aucune authentification n'est réalisée et la session est autorisée. Si le serveur est disponible, mais que les informations d'identification de l'utilisateur sont incorrectes, l'accès est refusé et la session prend fin. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 458 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) 23 - RADIUS : authentifie l'utilisateur sur le serveur RADIUS. Si aucune authentification n'est effectuée, la session n'est pas autorisée. - Aucune : n'authentifie pas l'utilisateur. Autorise la session. • VLAN invité : sélectionnez cette option pour permettre l'utilisation d'un VLAN invité pour les ports non autorisés. Si un VLAN invité est activé, tous les ports non autorisés se connectent automatiquement au VLAN sélectionné dans le champ ID du VLAN invité. Si un port est par la suite autorisé, il est supprimé du VLAN invité. • ID du VLAN invité : sélectionnez le VLAN invité dans la liste des VLAN. • Délai d'expiration VLAN invité : définissez une période : • • - Une fois la connexion établie, si le logiciel ne détecte pas le demandeur 802.1X ou si l'authentification a échoué, le port est ajouté au VLAN invité mais seulement lorsque le Délai d'expiration VLAN invité a expiré. - Si l'état du port passe d'Autorisé à Non autorisé, le port est ajouté au VLAN invité, mais seulement lorsque le délai d'expiration du VLAN invité a expiré. Paramètres de filtre : pour activer les interceptions, sélectionnez une ou plusieurs des options suivantes : - Interceptions d'échec d'authentification 802.1x : sélectionnez cette option pour générer une interception si l'authentification 802.1x échoue. - Interceptions de réussite d'authentification 802.1x : sélectionnez cette option pour générer une interception si l'authentification 802.1x réussit. - Interceptions d'échec d'authentification MAC : sélectionnez cette option pour générer une interception si l'authentification MAC échoue. - Interceptions de réussite d'authentification MAC : sélectionnez cette option pour générer une interception si l'authentification MAC réussit. Lorsque le commutateur est en mode système Couche 2 ou sur des périphériques SG500XG et SG500X : - Interceptions d'échec d'authentification Web : sélectionnez cette option pour générer une interception si l'authentification Web échoue. - Interceptions de réussite d'authentification Web : sélectionnez cette option pour générer une interception si l'authentification Web réussit. - Interceptions silencieuses d'authentification Web : sélectionnez cette option pour générer une interception si une période silencieuse commence. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 459 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) 23 Lorsque le périphérique est en mode routeur Couche 3, la Table d'authentification des VLAN affiche tous les VLAN et indique si l'authentification a été activée sur chacun d'eux. ÉTAPE 3 Cliquez sur Appliquer. Les propriétés 802.1X sont écrites dans le fichier de Configuration d'exécution. Authentification des ports 802.1X La page Authentification des ports permet de définir les paramètres 802.1X pour chaque port. Puisque certaines modifications de la configuration ne sont possibles que si le port a l'état Autorisation forcée (par exemple, l'authentification des hôtes), il est recommandé de changer le contrôle du port en Autorisation forcée avant d'effectuer des modifications. Une fois la configuration terminée, rétablissez l'état précédent du contrôle de port. REMARQUE Un port sur lequel 802.1X est défini ne peut pas devenir membre d'un LAG. Pour définir l'authentification 802.1X : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification des ports. Cette page affiche les paramètres d'authentification de tous les ports. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres. • Interface : sélectionnez un port. • Contrôle de port actuel : affiche l'état actuel de l'autorisation du port. Si l'état est Autorisé, le port est authentifié ou le Contrôle de port administratif est en Autorisation forcée. À l'inverse, si l'état est Non autorisé, le port est non authentifié ou le Contrôle de port administratif est en Non-autorisation forcée. • Contrôle de port administratif : affiche l'état d'autorisation du port administratif. Les options sont les suivantes : - Non-autorisation forcée : refuse l'accès à l'interface en passant cette dernière en mode non autorisé. Le périphérique ne fournit pas de services d'authentification au client via l'interface. - Automatique : active l'authentification et l'autorisation basées sur les ports sur le périphérique. L'interface bascule entre un état autorisé ou non autorisé en fonction de l'échange d'authentification entre le périphérique et le client. - Autorisation forcée : autorise l'interface sans authentification. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 460 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • • 23 Affectation VLAN RADIUS : sélectionnez cette option pour activer l'affectation dynamique de VLAN sur le port sélectionné. - Désactiver : la fonction n'est pas activée. - Rejeter : si le serveur RADIUS a autorisé le demandeur, mais n'a pas fourni de VLAN demandeur, le demandeur est rejeté. - Statique : si le serveur RADIUS a autorisé le demandeur, mais n'a pas fourni de VLAN demandeur, le demandeur est accepté. VLAN invité : sélectionnez cette option pour indiquer que l'utilisation d'un VLAN invité précédemment défini est activée pour le périphérique. Les options sont les suivantes : - Sélectionné : permet d'utiliser un VLAN invité pour les ports non autorisés. Si un VLAN invité est activé, le port non autorisé rejoint automatiquement le VLAN sélectionné dans le champ ID du VLAN invité de la page Authentification des ports 802.1X. Après un échec d'authentification et si le VLAN invité est activé globalement sur un port donné, le VLAN invité est automatiquement attribué aux ports non autorisés en tant que VLAN non balisé. - Supprimé : désactive le VLAN invité sur le port. • Open Access (Accès ouvert) : sélectionnez cette option pour authentifier le port avec succès même en cas d'échec de l'authentification. Reportez-vous à la section Open Access (Accès ouvert). • Authentification 802.1X : l'authentification 802.1X est la seule méthode d'authentification appliquée sur le port. • Authentification MAC : le port est authentifié en fonction de l'adresse MAC du demandeur. Seules huit authentifications basées sur MAC peuvent être utilisées sur le port. REMARQUE Pour que l'authentification MAC réussisse, le nom d'utilisateur et le mot de passe de demandeur du serveur RADIUS doivent être l'adresse MAC du demandeur. L'adresse MAC doit être en minuscules et saisie sans les séparateurs « . » ou « - », par exemple : 0020aa00bbcc. • Authentification Web : cette fonction est uniquement disponible en mode commutateur Couche 2 ou sur les périphériques SG500XG et SG500X. Sélectionnez cette option pour activer l'authentification Web sur le commutateur. • Réauthentification périodique : sélectionnez cette option pour autoriser les tentatives de réauthentification du port une fois la Période de réauthentification spécifiée expirée. • Reauthentication Period : saisissez le délai (en secondes) au bout duquel le port sélectionné est réauthentifié. • Réauthentifier maintenant : sélectionnez cette option pour permettre la réauthentification immédiate du port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 461 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 23 Authenticator State : affiche l'état défini de l'autorisation du port. Les options sont les suivantes : - Initialiser : processus de démarrage. - Force-Authorized : l'état du port contrôlé est défini sur Force-Authorized (le trafic est réacheminé). - Non-autorisation forcée : l'état du port contrôlé est défini sur Non-autorisation forcée (le trafic est abandonné). REMARQUE Si le port n'est pas en Autorisation forcée ou Non-autorisation forcée, il est en mode automatique et l'authentificateur affiche l'état de l'authentification en cours. Une fois le port authentifié, l'état indique Authenticated. • Période : affecte une limite au temps d'autorisation d'utilisation du port spécifique si 802.1X a été activé (Authentification basée sur les ports est coché). • Nom de période : sélectionnez le profil qui spécifie la période. • Nombre maximal de tentatives de connexion WBA : disponible uniquement en mode commutateur Couche 2 ou sur les périphériques SG500XG et SG500X. Entrez le nombre maximal de tentatives de connexion autorisées dans l'interface. Sélectionnez Infini pour ne spécifier aucune limite ou Défini par l'utilisateur pour spécifier une limite. • Période de silence WBA maximale : cette fonction est uniquement disponible en mode commutateur Couche 2 ou sur les périphériques SG500XG et SG500X. Entrez la durée maximale de la période silencieuse autorisée dans l'interface. Sélectionnez Infini pour ne spécifier aucune limite ou Défini par l'utilisateur pour spécifier une limite. • Nombre d'hôtes max. : entrez le nombre maximal d'hôtes autorisés dans l'interface. Sélectionnez Infini pour ne spécifier aucune limite ou Défini par l'utilisateur pour spécifier une limite. REMARQUE Définissez cette valeur à 1 pour simuler le mode Hôte unique pour l'authentification Web en mode Sessions multiples. • Période silencieuse : saisissez le délai (en secondes) pendant lequel le périphérique reste en état silencieux après l'échec d'un échange d'authentification. • Renvoi d'EAP : saisissez le nombre de secondes pendant lesquelles le périphérique attend une réponse à une demande/trame d'identité EAP (Extensible Authentication Protocol) du demandeur (client) avant de renvoyer la demande. • Max EAP Requests : saisissez le nombre maximum de demandes EAP pouvant être envoyées. Si aucune réponse n'est reçue après la période définie (délai pour demandeur), le processus d'authentification est relancé. • Supplicant Timeout : saisissez le nombre de secondes qui s'écoulent avant que les demandes EAP soient renvoyées au demandeur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 462 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 23 Délai pour serveur : saisissez le nombre de secondes qui s'écoulent avant que le périphérique renvoie une demande au serveur d'authentification. ÉTAPE 4 Cliquez sur Apply. Les paramètres des ports sont écrits dans le fichier de Configuration d'exécution. Définition de l'authentification des hôtes et sessions La page Authentification hôtes et sessions permet de définir le mode de fonctionnement de 802.1X sur le port, ainsi que l'action à réaliser si une violation a été détectée. Pour obtenir une explication de ces modes, reportez-vous à la section Modes hôte de port. Pour définir les paramètres 802.1X avancés pour les ports : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Authentification hôtes et sessions. Les paramètres d'authentification 802.1X sont décrits pour tous les ports. Tous les champs à l'exception des suivants sont décrits sur la page Modifier. • Nombre de violations : affiche le nombre de paquets qui arrivent sur l'interface en mode hôte unique en provenance d'un hôte dont l'adresse MAC ne correspond pas à celle du demandeur. ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier. ÉTAPE 3 Saisissez les paramètres. • Interface : entrez un numéro de port pour lequel l'authentification des hôtes est activée. • Authentification des hôtes : sélectionnez l'un des modes. Ces modes sont décrits ci-dessus dans la rubrique Modes hôte de port. Paramètres de violation d'hôte unique (option seulement affichée si l'authentification des hôtes est définie sur Hôte unique) : • • Action en cas de violation : sélectionnez l'action à appliquer aux paquets arrivant en mode session unique/hôte unique en provenance d'un hôte dont l'adresse MAC ne correspond pas à celle du demandeur. Les options sont les suivantes : - Protéger (Abandonner) : abandonne les paquets. - Restreindre (Transférer) : transfère les paquets. - Arrêter : abandonne les paquets et ferme le port. Les ports restent fermés jusqu'à ce qu'ils soient réactivés ou jusqu'à ce que le périphérique soit réinitialisé. Message « trap » : sélectionnez cette option pour activer les « traps ». Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 463 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 23 Fréquence des interceptions : définit la fréquence d'envoi des interceptions à l'hôte. Ce champ ne peut être défini que si plusieurs hôtes sont désactivés. ÉTAPE 4 Cliquez sur Apply. Les paramètres sont consignés dans le fichier de Configuration d'exécution. Affichage des hôtes authentifiés Pour afficher des informations détaillées sur les utilisateurs authentifiés : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Hôtes authentifiés. Cette page affiche les champs suivants : • User Name : nom des demandeurs authentifiés sur chaque port. • Port : numéro du port. • Session Time (DD:HH:MM:SS) : durée pendant laquelle le demandeur a été connecté au port. • Méthode d'authentification : méthode utilisée pour l'authentification de la dernière session. • Serveur d'authentification : serveur RADIUS. • MAC Address : affiche l'adresse MAC du demandeur. • ID VLAN : VLAN du port. Clients verrouillés Pour afficher les clients qui ont été verrouillés en raison d'échecs de tentative de connexion et pour déverrouiller un client verrouillé : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Client verrouillé. Les champs suivants s'affichent : • Interface : port verrouillé. • Adresse MAC : affiche l'état actuel de l'autorisation du port. Si l'état est Autorisé, le port est authentifié ou le Contrôle de port administratif est en Autorisation forcée. À l'inverse, si l'état est Non autorisé, le port est non authentifié ou le Contrôle de port administratif est en Non-autorisation forcée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 464 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) • 23 Temps restant (s) : temps restant avant le verrouillage du port. ÉTAPE 2 Sélectionnez un port. ÉTAPE 3 Cliquez sur Déverrouiller. Personnalisation de l'authentification Web Cette page permet de concevoir des pages d'authentification Web dans différentes langues. Vous pouvez ajouter 4 langues maximum. REMARQUE Jusqu'à 5 utilisateurs HTTP et 1 utilisateur HTTPS peuvent demander simultanément l'authentification Web. Lorsque ces utilisateurs sont authentifiés, d'autres utilisateurs peuvent demander l'authentification. Pour ajouter une langue pour l'authentification Web : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Personnalisation de l'authentification Web. ÉTAPE 2 Cliquez sur Add. ÉTAPE 3 Sélectionnez une langue dans la liste déroulante Langue. ÉTAPE 4 Si cette langue est la langue par défaut, sélectionnez Définir comme langue d'affichage par défaut. Si l'utilisateur ne sélectionne pas de langue, les pages s'affichent dans la langue par défaut. ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. Pour personnaliser les pages d'authentification Web : ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X/MAC/Web > Personnalisation de l'authentification Web. Cette page affiche les langues pouvant être personnalisées. ÉTAPE 2 Cliquez sur Modifier la page de connexion. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 465 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) Figure 6 23 La page suivante s'affiche : . ÉTAPE 3 Cliquez sur Modifier1. Les champs suivants s'affichent : • Langue : affiche la langue de la page. • Modèle de couleurs : sélectionnez l'une des options de contraste. Si le modèle de couleurs Personnalisé est sélectionné, les options suivantes sont disponibles : • - Couleur d'arrière-plan de la page : entrez le code ASCII de la couleur d'arrière-plan. La couleur sélectionnée apparaît dans le champ Texte. - Couleur d'arrière-plan des en-têtes et pieds de page : entrez le code ASCII de la couleur d'arrièreplan des en-têtes et pieds de page. La couleur sélectionnée apparaît dans le champ Texte. - Couleur du texte des en-têtes et pieds de page : entrez le code ASCII de la couleur du texte des en-têtes et pieds de page. La couleur sélectionnée apparaît dans le champ Texte. - Couleur du lien hypertexte : entrez le code ASCII de la couleur du lien hypertexte. La couleur sélectionnée apparaît dans le champ Texte. Image du logo actuel : sélectionnez une des options suivantes : - Aucun : aucun logo. - Par défaut : utilisez le logo par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 466 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) - 23 Autre : sélectionnez cette option pour entrer un logo personnalisé. Si l'option de logo Autre est sélectionnée, les options suivantes sont disponibles : - Nom de fichier de l'image du logo : entrez le nom de fichier du logo ou cliquez sur Parcourir pour accéder à l'image. - Texte d'application : entrez le texte qui accompagnera le logo. - Texte du titre de la fenêtre : entrez le titre de la page de connexion. ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. ÉTAPE 5 Cliquez sur Modifier2. Les champs suivants s'affichent : • Infos d'ident. utilisateur non valides : saisissez le texte du message à afficher lorsque l'utilisateur entre un nom d'utilisateur ou un mot de passe incorrect. • Service non disponible : saisissez le texte du message à afficher lorsque le service d'authentification n'est pas disponible. ÉTAPE 6 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. ÉTAPE 7 Cliquez sur Modifier3. Les champs suivants s'affichent : • Message de bienvenue : saisissez le texte du message à afficher lorsque l'utilisateur se connecte. • Message d'instruction : saisissez les instructions qui s'afficheront pour l'utilisateur. • Authentification RADIUS : indique si l'authentification RADIUS est activée. Si c'est le cas, le nom d'utilisateur et le mot de passe doivent être inclus dans la page de connexion. • Zone de texte nom d'utilisateur : sélectionnez cette option pour afficher une zone de texte de nom d'utilisateur. • Étiqu. zone de texte nom d'utilisateur : sélectionnez l'étiquette à afficher avant la zone de texte de nom d'utilisateur. • Zone de texte mot de passe : sélectionnez cette option pour afficher une zone de texte de mot de passe. • Étiqu. zone de texte mot de passe : sélectionnez l'étiquette à afficher avant la zone de texte de mot de passe. • Sélection de la langue : sélectionnez cette option pour permettre à l'utilisateur de sélectionner une langue. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 467 Sécurité : Authentification 802.1X Configuration de 802.1X via l'interface utilisateur graphique (GUI) 23 • Étiquette de liste déroulante de langues : entrez l'étiquette de liste déroulante de sélection de la langue. • Étiquette de bouton de connexion : entrez l'étiquette du bouton de connexion. • Étiquette de progression de connexion : entrez le texte qui sera affiché lors du processus de connexion. ÉTAPE 8 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. ÉTAPE 9 Cliquez sur Modifier4. Les champs suivants s'affichent : • Termes et conditions : sélectionnez cette option pour activer une zone de texte de conditions d'utilisation. • Avertissement des termes et conditions : saisissez le texte du message à afficher pour indiquer comment les conditions d'utilisation doivent être saisies. • Contenu des termes et conditions : saisissez le texte du message des conditions d'utilisation à afficher. ÉTAPE 10 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. ÉTAPE 11 Cliquez sur Modifier5. Les champs suivants s'affichent : • Copyright : sélectionnez cette option pour activer l'affichage du texte de copyright. • Texte de copyright : entrez le texte de copyright. ÉTAPE 12 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. ÉTAPE 13 Cliquez sur Modifier la page de réussite. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 468 Sécurité : Authentification 802.1X Définition des périodes 23 Figure 7 La page suivante s'affiche . ÉTAPE 14 Cliquez sur le bouton Modifier sur le côté droit de la page. ÉTAPE 15 Saisissez le Message de réussite. Il s'agit du texte qui s'affichera si l'utilisateur réussit à se connecter. ÉTAPE 16 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier de Configuration d'exécution. Pour prévisualiser le message de connexion ou de réussite, cliquez sur Aperçu. Pour définir la langue par défaut de l'interface utilisateur graphique comme langue par défaut pour l'authentification Web, cliquez sur Définir la langue d'affichage par défaut. Définition des périodes Pour obtenir une explication de cette fonctionnalité, reportez-vous à la section Période. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 469 23 Sécurité : Authentification 802.1X Prise en charge des méthodes d'authentification et des modes de port Prise en charge des méthodes d'authentification et des modes de port Le tableau suivant indique les combinaisons de méthode d'authentification et de mode de port qui sont prises en charge. Méthodes d'authentification et modes de port Méthode d'authentification Hôte unique Hôtes multiples Sessions multiples Périphérique en L3 Périphérique en L2 802.1x † † † † MAC † † † † WEB N/C N/C N/C † Légende : † : le mode de port prend aussi en charge l'attribution VLAN invité et VLAN RADIUS. N/C : la méthode d'authentification ne prend pas en charge le mode de port. REMARQUE L'authentification Web requiert la prise en charge TCAM pour la classification du trafic d'entrée. Elle est en outre uniquement prise en charge par le mode Sessions multiples complet. Vous pouvez simuler le mode Hôte unique en définissant le paramètre Nombre d'hôtes max. à 1 sur la page Authentification des ports. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 470 23 Sécurité : Authentification 802.1X Prise en charge des méthodes d'authentification et des modes de port Comportement des modes Le tableau suivant décrit la façon dont le trafic authentifié et non authentifié est traité dans diverses situations. Trafic non authentifié Hôte unique Trafic authentifié Avec VLAN invité Sans VLAN invité Avec VLAN Radius Sans VLAN Radius Non balisé Balisé Non balisé Balisé Non balisé Balisé Non balisé Balisé Les trames sont remappées sur le VLAN invité Les trames Les trames sont abansont abandonnées sauf données si elles appartiennent au VLAN invité ou aux VLAN non authentifiés Les trames sont abandonnées sauf si elles appartiennent aux VLAN non authentifiés Les trames sont remappées sur le VLAN affecté par RADIUS Les trames sont abandonnées sauf si elles appartiennent au VLAN RADIUS ou aux VLAN non authentifiés Les trames sont pontées sur la base de la configuration VLAN statique Les trames sont pontées sur la base de la configuration VLAN statique Les trames Les trames sont abansont abandonnées sauf données pées sur le VLAN invité si elles appartiennent au VLAN invité ou aux VLAN non authentifiés Les trames sont abandonnées sauf si elles appartiennent aux VLAN non authentifiés Les trames sont remappées sur le VLAN affecté par RADIUS Les trames sont abandonnées sauf si elles appartiennent au VLAN RADIUS ou aux VLAN non authentifiés Les trames sont pontées sur la base de la configuration VLAN statique Les trames sont pontées sur la base de la configuration VLAN statique N/C N/C Les trames sont abandonnées sauf si elles appartiennent aux VLAN non authentifiés N/C Les trames sont pontées sur la base de la configuration VLAN statique Les trames sont pontées sur la base de la configuration VLAN statique Hôtes mul- Les trames sont remaptiples Sessions multiples allégées N/C Les trames sont abandonnées Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 471 23 Sécurité : Authentification 802.1X Prise en charge des méthodes d'authentification et des modes de port Trafic non authentifié Trafic authentifié Avec VLAN invité Sans VLAN invité Avec VLAN Radius Sans VLAN Radius Non balisé Non balisé Balisé Non balisé Balisé Non balisé Balisé Les trames sont abandonnées sauf si elles appartiennent aux VLAN non authentifiés Les trames sont remappées sur le VLAN affecté par RADIUS Les trames sont remappées sur le VLAN Radius sauf si elles appartiennent aux VLAN non authentifiés Les trames sont pontées sur la base de la configuration VLAN statique Les trames sont pontées sur la base de la configuration VLAN statique Sessions Les trames sont remapmultiples complètes pées sur le Balisé Les trames Les trames sont remap- sont abandonnées pées sur le VLAN invité VLAN invité sauf si elles appartiennent aux VLAN non authentifiés Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 472 24 Sécurité : Sécurité du premier saut IPv6 Cette section décrit le fonctionnement de la Sécurité du premier saut IPv6 (First Hop Security, FHS) et la procédure de configuration correspondante dans l'interface utilisateur graphique. Elle couvre les rubriques suivantes : • Présentation de la Sécurité du premier saut IPv6 • Protection Router Advertisement • Inspection Neighbor Discovery • Protection DHCPv6 • Intégrité de la liaison de voisin • Protection de la source IPv6 • Protection contre les attaques • Stratégies, paramètres globaux et valeurs par défaut du système • Tâches courantes • Configuration et paramètres par défaut • Configuration et paramètres par défaut • Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 473 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 24 Présentation de la Sécurité du premier saut IPv6 La Sécurité du premier saut IPv6 (IPv6 FHS) est une suite de fonctionnalités conçues pour sécuriser les opérations de liaison dans un réseau IPv6. Elle est basée sur le protocole Neighbor Discovery Protocol (NDP) et les messages DHCPv6. Dans cette fonction, un commutateur Couche 2 (comme indiqué à la Figure 8) filtre les messages Neighbor Discovery Protocol (NDP), les messages DHCPv6 et les messages de données utilisateur sur la base de différentes règles. Figure 8 Configuration de la Sécurité du premier saut IPv6 Une instance séparée et indépendante de la Sécurité du premier saut IPv6 s'exécute sur chaque VLAN où la fonction est activée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 474 24 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 Abréviations Nom Description Message CPA Message Certification Path Advertisement Message CPS Message Certification Path Solicitation Message DAD-NS Message Duplicate Address Detection Neighbor Solicitation FCFS-SAVI First Come First Served - Source Address Validation Improvement Message NA Message Neighbor Advertisement NDP Neighbor Discovery Protocol Message NS Message Neighbor Solicitation Message RA Message Router Advertisement Message RS Message Router Solicitation SAVI Source Address Validation Improvement Composants de la Sécurité du premier saut IPv6 La Sécurité du premier saut IPv6 inclut les fonctions suivantes : • Sécurité du premier saut IPv6 commune • Protection RA • Inspection ND • Intégrité de la liaison de voisin • Protection DHCPv6 • Protection de la source IPv6 Ces composants peuvent être activés ou désactivés sur les VLAN. Pour chaque fonction, vous disposez de deux stratégies vides et prédéfinies portant les noms suivants : vlan_default et port_default. La première est associée à chaque VLAN non rattaché à une stratégie définie par l'utilisateur. La seconde est connectée à chaque interface et chaque VLAN qui n'est pas associé à une stratégie définie par l'utilisateur. Ces stratégies ne peuvent pas être explicitement associées par l'utilisateur. Reportez-vous à la section Stratégies, paramètres globaux et valeurs par défaut du système. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 475 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 24 Canal de Sécurité du premier saut IPv6 Si la Sécurité du premier saut IPv6 est activée sur un VLAN, le commutateur intercepte les messages suivants : • Messages Router Advertisement (RA) • Messages Router Solicitation (RS) • Messages Neighbor Advertisement (NA) • Messages Neighbor Solicitation (NS) • Messages ICMPv6 Redirect • Messages Certification Path Advertisement (CPA) • Messages Certification Path Solicitation (CPS) • Messages DHCPv6 Les messages RA, CPA et ICMPv6 Redirect interceptés sont transmis à la fonction Protection RA. La fonction Protection RA valide ces messages, élimine les messages incorrects en envoie les messages corrects à la fonction Inspection ND. La fonction Inspection ND valide ces messages, élimine les messages incorrects et envoie les messages corrects à la fonction Protection de la source IPv6. Les messages DHCPv6 interceptés sont transmis à la fonction Protection DHCPv6. La fonction Protection DHCPv6 valide ces messages, élimine les messages incorrects et envoie les messages corrects à la fonction Protection de la source IPv6. Les messages de données interceptés sont transmis à la fonction Protection de la source IPv6. La Protection de la source IPv6 valide les messages reçus (messages de données interceptés, messages NDP provenant de l'Inspection ND et messages DHCPv6 provenant de la protection DHCPv6) par l'intermédiaire de la Table de liaisons de voisins, élimine les messages incorrects et transmet les messages corrects en vue du transfert. L'Intégrité de la liaison de voisin acquiert (apprend) les voisins à partir des messages reçus (messages NDP et DHCPv6) et les stocke dans la Table de liaisons de voisins. En outre, les entrées statiques peuvent être ajoutées manuellement. Une fois les adresses apprises, la fonction NBI transmet les trames en vue du transfert. Les messages RS,CPS NS et NA interceptés sont également transmis à la fonction Inspection ND. La fonction Inspection ND valide ces messages, élimine les messages incorrects et envoie les messages corrects à la fonction Protection de la source IPv6. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 476 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 24 Périmètre de la Sécurité du premier saut IPv6 Les commutateurs de la Sécurité du premier saut IPv6 peuvent former un périmètre séparant une zone non sécurisée d'une zone sécurisée. Tous les commutateurs situés à l'intérieur du périmètre prennent en charge la Sécurité du premier saut IPv6. Les hôtes et routeurs situés à l'intérieur de ce périmètre sont des périphériques de confiance. Par exemple, dans la Figure 9, les commutateurs B et C sont des liaisons internes dans la zone protégée. Figure 9 Périmètre de la Sécurité du premier saut IPv6 La commande device-role dans l'écran de configuration de stratégie Liaison de voisin spécifie le périmètre. Chaque commutateur Sécurité du premier saut IPv6 établit une liaison pour les voisins partitionnés par le point d'accès. De cette manière, les entrées de liaison sont distribuées sur les périphériques Sécurité du premier saut IPv6 formant le périmètre. Les périphériques Sécurité du premier saut IPv6 peuvent alors assurer l'intégrité de la liaison à l'intérieur du périmètre, sans configurer de liaisons pour toutes les adresses sur chaque périphérique. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 477 Sécurité : Sécurité du premier saut IPv6 Protection Router Advertisement 24 Protection Router Advertisement La protection Router Advertisement (RA) est la première fonction FHS qui traite les messages RA interceptés. La protection RA prend en charge les fonctions suivantes : • Filtrage des messages de redirection RA, CPA et ICMPv6 reçus. • Validation des messages RA reçus. Filtrage des messages de redirection RA, CPA et ICMPv6 reçus. La protection RA élimine les messages RA et CPA reçus sur les interfaces n'ayant pas le rôle de routeur. Vous pouvez configurer le rôle d'interface sur la page Sécurité > Sécurité du premier saut IPv6 > Paramètres de protection RA. Validation des messages RA La protection RA valide les messages RA par l'intermédiaire du filtrage basé sur la stratégie Protection RA associée à l'interface. Vous pouvez définir ces stratégies sur la page Paramètres de protection RA. Si un message échoue lors de la vérification, celui-ci est éliminé. Si la configuration de la journalisation des abandons de paquets est activée sur le composant Sécurité du premier saut IPv6 commune, un message SYSLOG limité en débit est envoyé. Inspection Neighbor Discovery L'inspection Neighbor Discovery (ND) prend en charge les fonctions suivantes : • Validation des messages de protocole Neighbor Discovery reçus. • Filtrage en sortie Validation des messages L'inspection ND valide les messages de protocole Neighbor Discovery en fonction de la stratégie Inspection ND associée à l'interface. Vous pouvez définir cette stratégie sur la page Paramètres d'inspection ND. Si un message échoue lors de la vérification définie dans la stratégie, il est éliminé et un message SYSLOG à débit limité est envoyé. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 478 Sécurité : Sécurité du premier saut IPv6 Protection DHCPv6 24 Filtrage en sortie L'inspection ND bloque le transfert des messages RS et CPS sur les interfaces configurées comme interfaces hôtes. Protection DHCPv6 La protection DHCPv6 traite les messages DHCPv6 interceptés. La protection DHCPv6 prend en charge les fonctions suivantes : • Filtrage des messages DHCPv6 reçus. La protection DHCP élimine les messages de réponse DHCPv6 reçus sur les interfaces ayant le rôle client. Vous pouvez configurer le rôle d'interface sur la page Paramètres de protection DHCP. • Validation des messages DHCPv6 reçus. La protection DHCPv6 valide les messages DHCPv6 qui correspondent au filtrage basé sur la stratégie Protection DHCPv6 associée à l'interface. Si un message échoue lors de la vérification, celui-ci est éliminé. Si la configuration de la journalisation des abandons de paquets est activée sur le composant Sécurité du premier saut IPv6 commune, un message SYSLOG limité en débit est envoyé. Intégrité de la liaison de voisin L'intégrité de la liaison de voisin (Neighbor Binding (NB) Integrity) établit la liaison des voisins. Une instance séparée et indépendante de l'intégrité de la liaison de voisin s'exécute sur chaque VLAN où la fonction est activée. Apprentissage des préfixes IPv6 annoncés L'intégrité de la liaison de voisin apprend les préfixes IPv6 annoncés dans les messages RA et les enregistre dans la table des préfixes de voisins. Les préfixes sont utilisés pour la vérification des adresses IPv6 globales attribuées. Par défaut, cette validation est désactivée. Si elle est activée, les adresses sont validées en fonction des préfixes sur la page Paramètres de liaison de voisin. Les préfixes statiques utilisés pour la validation des adresses peuvent être ajoutés à la page Neighbor Prefix Table (Table des préfixes de voisins). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 479 Sécurité : Sécurité du premier saut IPv6 Intégrité de la liaison de voisin 24 Validation des adresses IPv6 globales L'intégrité de la liaison de voisin procède aux validations suivantes : • Si l'adresse cible dans un message NS ou NA est une adresse IPv6 globale, elle doit appartenir à l'un des préfixes définis dans la table des préfixes RA. • Une adresse IPv6 globale fournie par un serveur DHCPv6 doit appartenir à l'un des préfixes définis dans la liste de préfixes IPv6 (sur la page Configuration IP > Liste de préfixes IPv6). Si un message échoue lors de cette vérification, il est éliminé et un message SYSLOG à débit limité est envoyé. Présentation de la table de liaisons de voisins En l'absence d'espace disponible pour créer une entrée, aucune entrée n'est créée et un message SYSLOG est envoyé. Établissement d'une liaison de voisin Un commutateur Sécurité du premier saut IPv6 peut détecter et enregistrer les informations de liaison grâce aux méthodes suivantes : • Méthode NBI-NDP : apprentissage des adresses IPv6 à partir des messages Neighbor Discovery Protocol tracés • Méthode NBI-DHCP : apprentissage des adresses IPv6 à partir des messages DHCPv6 tracés • Méthode NBI manuelle : configuration manuelle Une adresse IPv6 est liée à une propriété de couche de liaison de l'association réseau de l'hôte. Cette propriété, appelée « ancre de liaison » se compose de l'identifiant d'interface (ifIndex) via lequel l'hôte est connecté et de l'adresse MAC de l'hôte. Le commutateur Sécurité du premier saut IPv6 établit la liaison uniquement sur les interfaces périmétriques (voir Périmètre de la Sécurité du premier saut IPv6). Les informations de liaison sont enregistrées dans la table de liaisons de voisins. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 480 Sécurité : Sécurité du premier saut IPv6 Intégrité de la liaison de voisin 24 Méthode NBI-NDP La méthode NBI-NDP utilisée est basée sur la méthode FCFS- SAVI spécifiée dans RFC6620, avec les différences suivantes : • À la différence de FCFS-SAVI, qui prend uniquement en charge la liaison pour les adresses IPv6 de liaison locale, NBI-NDP prend également en charge les adresses IPv6 de liaison globale. • NBI-NDP prend en charge la liaison d'adresse IPv6 pour les adresses IPv6 apprises à partir des messages NDP. La validation d'adresse source pour le message de données est fournie par la protection d'adresse source IPv6. • Avec NBI-NDP, la vérification de la propriété d'adresse est basée sur le principe Premier arrivé premier servi (First-Come, First-Served). Le premier hôte qui demande une adresse source donnée est jusqu'à nouvel ordre le propriétaire de cette adresse. Aucune modification de l'hôte n'étant possible, il faut trouver une solution pour confirmer la propriété de l'adresse sans avoir recours à un nouveau protocole. Pour cette raison, lorsqu'une adresse IPv6 est d'abord apprise à partir d'un message NDP, le commutateur lie l'adresse à l'interface. Les messages NDP suivants qui contiennent cette adresse IPV6 peuvent être contrôlés par rapport à la même ancre de liaison, afin de s'assurer que l'initiateur possède l'adresse IP source. L'exception à cette règle survient lorsqu'un hôte IPv6 se déplace dans le domaine L2 ou change son adresse MAC. Dans ce cas, l'hôte est toujours le propriétaire de l'adresse IP, mais l'ancre de liaison associée peut avoir changé. Pour faire face à cette situation, le comportement NBI-NDP défini implique de vérifier si l'hôte est toujours accessible en envoyant des messages DAD-NS à l'interface de liaison précédente. Si l'hôte n'est plus accessible via l'ancre de liaison précédemment enregistrée, NBI-NDP part du principe que la nouvelle ancre est valide et change l'ancre de liaison. Si l'hôte est encore accessible via l'ancre de liaison précédemment enregistrée, l'interface de liaison n'est pas changée. Pour réduire la taille de la table de liaisons de voisins, NBI-NDP établit la liaison uniquement sur les interfaces périmétriques (voir Périmètre de la Sécurité du premier saut IPv6) et distribue les informations de liaison dans les interfaces internes via les messages NS et NA. Avant de créer une liaison locale NBINDP, le périphérique envoie un message DAD-NS pour obtenir l'adresse impliquée. Si un hôte répond à ce message par un message NA, le périphérique qui a envoyé le message DAD-NS en conclut qu'il existe une liaison pour cette adresse sur un autre périphérique et ne crée pas de liaison locale pour celui-ci. Si aucun message NA n'est reçu en tant que réponse au message DAD-NS, le périphérique local en conclut qu'il n'existe aucune liaison pour cette adresse sur les autres périphériques et crée la liaison locale pour cette adresse. NBI-NDP prend en charge un minuteur de durée de vie. Une valeur du minuteur est configurable sur la page Paramètres de liaison de voisin. Le minuteur est redémarré à chaque fois que l'adresse IPv6 liée est confirmée. Si le minuteur arrive à expiration, le périphérique envoie un maximum de 2 messages DAD-NS à de courts intervalles afin de valider le voisin. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 481 Sécurité : Sécurité du premier saut IPv6 Protection de la source IPv6 24 Méthode NBI-DHCP La méthode NBI-NDP est basée sur la méthode SAVI-DHCP spécifiée dans la solution SAVI pour DHCP, draft-ietf-savi-dhcp-15, 11 septembre 2012. Comme NBI-NDP, NBI-DHCP fournit une liaison périmétrique à des fins d'évolutivité. La méthode NBI-DHCP et la méthode NBI-FCFS présentent la différence suivante : NBI-DHCP suit l'état annoncé dans les messages DHCPv6 ; il n'est donc pas nécessaire de distribuer l'état par les messages NS/NA. Stratégie d'intégrité de la liaison de voisin À l'instar des autres fonctions Sécurité du premier saut IPv6, le comportement Intégrité de la liaison de voisin sur une interface est spécifié par une stratégie Intégrité de la liaison de voisin associée à une interface. Vous pouvez configurer ces stratégies sur la page Paramètres de liaison de voisin. Protection de la source IPv6 Si la fonction Intégrité de la liaison de voisin est activée, la fonction Protection de la source IPv6 valide les adresses IPv6 sources des messages NDP et DHCPv6, qu'elle soit activée ou non. Si la fonction Protection de la source IPv6 est activée en même temps que la fonction Intégrité de la liaison de voisin, elle configure la mémoire TCAM afin de spécifier les trames de données IPv6 à transférer, à abandonner ou à intercepter par le processeur et valide les adresses IPv6 sources des messages de données IPv6 interceptés. Si la fonction Intégrité de la liaison de voisin n'est pas activée, la fonction Protection de la source IPv6 ne devient pas active, qu'elle soit activée ou non. En l'absence d'espace disponible dans la mémoire TCAM pour l'ajout d'une nouvelle règle, le compteur de débordement TCAM est incrémenté et un message SYSLOG à débit limité contenant l'identifiant d'interface, l'adresse MAC hôte et l'adresse IPv6 hôte est envoyé. La fonction Protection de la source IPv6 valide les adresses sources de tous les messages IPv6 reçus au moyen de la table Liaison de voisin, à l'exception des messages ci-dessous qui sont transmis sans validation : • Messages RS, si l'adresse IPv6 source équivaut à l'adresse IPv6 non spécifiée. • Messages NS, si l'adresse IPv6 source équivaut à l'adresse IPv6 non spécifiée. • Messages NA, si l'adresse IPv6 source équivaut à l'adresse cible. La fonction Protection de la source IPv6 abandonne tous les autres messages IPv6 dont l'adresse IPv6 source équivaut à l'adresse IPv6 non spécifiée. La fonction Protection de la source IPv6 s'exécute uniquement sur les interfaces non sécurisées appartenant au périmètre. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 482 Sécurité : Sécurité du premier saut IPv6 Protection contre les attaques 24 La fonction Protection de la source IPv6 abandonne un message IPv6 d'entrée dans les cas suivants : • La table Liaison de voisin ne contient pas l'adresse IPv6. • La table Liaison de voisin contient l'adresse IPv6, mais elle est liée à une autre interface. La fonction Protection de la source IPv6 initie le processus de récupération de voisin en envoyant des messages DAD_NS pour les adresses IPv6 sources inconnues. Protection contre les attaques Cette section décrit la protection contre les attaques qu'offre la Sécurité du premier saut IPv6 Protection contre l'usurpation de routeur IPv6 Un hôte IPv6 peut utiliser les messages RA reçus pour : • Détection de routeur IPv6 • Configuration d'adresse sans état Un hôte malveillant peut envoyer des messages RA qui l'annoncent lui-même comme routeur IPv6 et fournissant des préfixes contrefaits pour la configuration d'adresse sans état. La protection RA offre une protection contre ces attaques en configurant le rôle d'interface comme interface hôte pour toutes les interfaces où les routeurs IPv6 ne peuvent pas être connectés. Protection contre l'usurpation de résolution d'adresse IPv6 Un hôte malveillant peut envoyer des messages NA qui l'annoncent lui-même comme hôte IPv6 disposant de l'adresse IPv6 donnée. L'intégrité de la liaison de voisin offre une protection contre ces attaques comme suit : • Si l'adresse IPv6 donnée est inconnue, le message Neighbor Solicitation (NS) est uniquement transféré sur les interfaces internes. • Si l'adresse IPv6 donnée est connue, le message NS est uniquement transféré sur l'interface à laquelle l'adresse IPv6 est liée. • Un message Neighbor Advertisement (NA) est éliminé si l'adresse IPv6 cible est liée à une autre interface. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 483 Sécurité : Sécurité du premier saut IPv6 Protection contre les attaques 24 Protection contre l'usurpation de détection des adresses en double IPv6 Un hôte IPv6 doit réaliser la détection des adresses en double (Duplication Address Detection) pour chaque adresse IPv6 attribuée en envoyant un message NS spécial (message Duplicate Address Detection Neighbor Solicitation (DAD_NS)). Un hôte malveillant peut envoyer une réponse à un message DAD_NS en s'annonçant comme hôte IPv6 disposant de l'adresse IPv6 donnée. L'intégrité de la liaison de voisin offre une protection contre ces attaques comme suit : • Si l'adresse IPv6 donnée est inconnue, le message DAD_NS est uniquement transféré sur les interfaces internes. • Si l'adresse IPv6 donnée est connue, le message DAD_NS est uniquement transféré sur l'interface à laquelle l'adresse IPv6 est liée. • Un message NA est éliminé si l'adresse IPv6 cible est liée à une autre interface. Protection contre l'usurpation de serveur DHCPv6 Un hôte IPv6 peut utiliser le protocole DHCPv6 pour : • Configuration d'informations sans état • Configuration d'adresse avec état Un hôte malveillant peut envoyer des messages de réponse DHCPv6 qui l'annoncent lui-même comme serveur DHCPv6 et fournissant des adresses IPv6 et des informations sans état contrefaites. La protection DHCPv6 offre une protection contre ces attaques en configurant le rôle d'interface comme port client pour tous les ports auxquels les serveurs DHCPv6 ne peuvent pas être connectés. Protection contre l'usurpation de cache NBD Un routeur IPv6 prend en charge le cache NDP (Neighbor Discovery Protocol) qui mappe l'adresse IPv6 sur l'adresse MAC pour le routage du dernier saut. Un hôte malveillant peut envoyer des messages IPv6 avec une autre adresse IPv6 de destination pour le transfert du dernier saut, générant ainsi un débordement du cache NBD. Un mécanisme intégré dans l'implémentation NDP limite le nombre d'entrées autorisées dans l'état INCOMPLET dans le cache Détection de voisin. Cela assure une protection contre toute saturation (inondation) de la table par des pirates informatiques. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 484 Sécurité : Sécurité du premier saut IPv6 Stratégies, paramètres globaux et valeurs par défaut du système 24 Stratégies, paramètres globaux et valeurs par défaut du système Chaque fonction de la Sécurité du premier saut (First Hop Security, FHS) peut être activée ou désactivée individuellement. Aucune fonction n'est activée par défaut. Initialement, les fonctions doivent être activées sur des VLAN spécifiques. Lorsque vous activez la fonction, vous pouvez aussi définir les valeurs de configuration globale pour les règles de vérification de cette fonction. Si vous ne définissez pas de stratégie contenant différentes valeurs pour ces règles de vérification, les valeurs globales sont utilisées pour appliquer la fonction aux paquets. Stratégies Les stratégies contiennent les règles de vérification exécutées sur les paquets entrants. Elles peuvent être associées aux VLAN, mais également aux ports et aux LAG. Si la fonction n'est pas activée sur un VLAN, les stratégies n'ont aucun effet. Il peut s'agir de stratégies définies par l'utilisateur ou de stratégies par défaut (voir ci-dessous). Stratégies par défaut Il existe des stratégies par défaut vides pour chaque fonction FHS. Par défaut, elles sont associées aux VLAN et aux interfaces. Les stratégies par défaut sont nommées : « vlan_default » et « port_default » (pour chaque fonction) : • Vous pouvez ajouter des règles à ces stratégies par défaut. Vous ne pouvez pas associer manuellement des stratégies par défaut à des interfaces. Elles sont associées par défaut. • Vous ne pouvez pas supprimer les stratégies par défaut. Vous pouvez uniquement supprimer la configuration ajoutée par l'utilisateur. Stratégies définies par l'utilisateur Vous pouvez définir d'autres stratégies que les stratégies par défaut. Lorsqu'une stratégie définie par l'utilisateur est associée à une interface, la stratégie par défaut de cette interface est dissociée. Si la stratégie définie par l'utilisateur est dissociée de l'interface, la stratégie par défaut est de nouveau associée. Les stratégies ne prennent pas effet tant que : • la fonction dans la stratégie n'est pas activée sur le VLAN qui contient l'interface • la stratégie n'est pas associée à l'interface (VLAN, port ou LAG). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 485 Sécurité : Sécurité du premier saut IPv6 Tâches courantes 24 Lorsque vous associez une stratégie, la stratégie par défaut de cette interface est dissociée. Lorsque vous supprimez la stratégie de l'interface, la stratégie par défaut est de nouveau associée. Vous pouvez seulement associer 1 stratégie (pour une fonction spécifique) à un VLAN. Vous pouvez associer plusieurs stratégies (pour une fonction spécifique) à une interface si elles spécifient différents VLAN. Niveaux des règles de vérification Le groupe de règles final appliqué à un paquet entrant sur une interface est construit de la manière suivante : • Les règles configurées dans les stratégies associées à l'interface (port ou LAG) sur laquelle le paquet est arrivé sont ajoutées au groupe. • Les règles configurées dans la stratégie associée au VLAN sont ajoutées au groupe si elles n'ont pas été ajoutées au niveau du port. • Les règles globales sont ajoutées au groupe si elles n'ont pas été ajoutées au niveau du VLAN ou du port. Les règles définies au niveau du port remplacent les règles définies au niveau du VLAN. Les règles définies au niveau du VLAN remplacent les règles configurées de manière globale. Les règles configurées de manière globale remplacent les valeurs par défaut du système. Tâches courantes Flux de travail de la Sécurité du premier saut IPv6 commune ÉTAPE 1 Sur la page Paramètres FHS, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Sur cette même page, définissez la fonction Journalisation des abandons de paquets. ÉTAPE 3 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction. ÉTAPE 4 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 486 Sécurité : Sécurité du premier saut IPv6 Tâches courantes 24 Flux de travail de protection Annonce de routeur (Router Advertisement, RA) ÉTAPE 1 Sur la page Paramètres de protection RA, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Sur cette même page, définissez les valeurs de configuration globale utilisées si aucune valeur n'est définie dans une stratégie. ÉTAPE 3 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction. ÉTAPE 4 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Flux de travail de protection DHCPv6 ÉTAPE 1 Sur la page Paramètres de protection DHCPv6, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Sur cette même page, définissez les valeurs de configuration globale utilisées si aucune valeur n'est définie dans une stratégie. ÉTAPE 3 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction. ÉTAPE 4 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Flux de travail d'inspection Neighbor Discovery ÉTAPE 1 Sur la page Paramètres d'inspection ND, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Sur cette même page, définissez les valeurs de configuration globale utilisées si aucune valeur n'est définie dans une stratégie. ÉTAPE 3 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction. ÉTAPE 4 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 487 Sécurité : Sécurité du premier saut IPv6 Configuration et paramètres par défaut 24 Flux de travail de liaison de voisin ÉTAPE 1 Sur la page Paramètres de liaison de voisin, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Sur cette même page, définissez les valeurs de configuration globale utilisées si aucune valeur n'est définie dans une stratégie. ÉTAPE 3 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction. ÉTAPE 4 Ajoutez toutes les entrées manuelles requises sur la page Table de liaisons de voisins. ÉTAPE 5 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Flux de travail de la Protection de la source IPv6 ÉTAPE 1 Sur la page des paramètres de la Protection de la source IPv6, entrez la liste des VLAN sur lesquels cette fonction est activée. ÉTAPE 2 Si nécessaire, configurez une stratégie définie par l'utilisateur ou ajoutez des règles aux stratégies par défaut pour la fonction. ÉTAPE 3 Associez la stratégie à un VLAN, port ou LAG par l'intermédiaire des pages Association de stratégie (VLAN) ou Association de stratégie (Port). Configuration et paramètres par défaut Si la Sécurité du premier saut IPv6 est activée sur un VLAN, le commutateur intercepte les messages suivants par défaut : • Messages Router Advertisement (RA) • Messages Router Solicitation (RS) • Messages Neighbor Advertisement (NA) • Messages Neighbor Solicitation (NS) • Messages ICMPv6 Redirect • Messages Certification Path Advertisement (CPA) • Messages Certification Path Solicitation (CPS) • Messages DHCPv6 Les fonctions FHS sont désactivées par défaut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 488 Sécurité : Sécurité du premier saut IPv6 Avant de commencer 24 Avant de commencer Aucune tâche préalable n'est requise. Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Paramètres de la Sécurité du premier saut IPv6 commune Utilisez la page Paramètres FHS pour activer la fonction Sécurité du premier saut IPv6 commune sur un groupe de VLAN spécifique, ainsi que pour définir la valeur de configuration globale pour la journalisation des paquets abandonnés. Si nécessaire, vous pouvez ajouter une stratégie ou ajouter la journalisation des abandons de paquets à la stratégie par défaut définie par le système. Pour définir les paramètres de la fonction Sécurité du premier saut IPv6 commune : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres FHS. Les stratégies actuellement définies s'affichent. ÉTAPE 2 Renseignez les champs de configuration globale suivants : • Liste des VLAN FHS : entrez un ou plusieurs VLAN sur lesquels la fonction Sécurité du premier saut IPv6 est activée. • Journalisation des abandons de paquets : sélectionnez cette option pour créer un SYSLOG lorsqu'un paquet est abandonné par une stratégie Sécurité du premier saut. Il s'agit de la valeur globale par défaut si aucune stratégie n'est définie. ÉTAPE 3 Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. ÉTAPE 4 Si nécessaire, créez une stratégie FHS en cliquant sur Ajouter. Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur. • Journalisation des abandons de paquets : sélectionnez cette option pour créer un SYSLOG lorsqu'un paquet est abandonné suite à l'application d'une fonction Sécurité du premier saut dans cette stratégie. - Hériter : utilisez la valeur issue de la configuration globale ou du VLAN. - Activer : créez un SYSLOG lorsqu'un paquet est abandonné suite à la Sécurité du premier saut. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 489 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web - 24 Désactiver : ne créez pas de SYSLOG lorsqu'un paquet est abandonné suite à la Sécurité du premier saut. Pour associer cette stratégie à une interface : • Associer la stratégie au VLAN : cliquez sur cette option pour accéder à la page Association de stratégie (VLAN) qui permet d'associer cette stratégie à un VLAN. • Associer la stratégie à l'interface : cliquez sur cette option pour accéder à la page Association de stratégie (Port) qui permet d'associer cette stratégie à un port. Paramètres de protection RA Utilisez la page Paramètres de protection RA pour activer la fonction Protection RA sur un groupe de VLAN spécifique, mais aussi pour définir les valeurs de configuration globale de cette fonction. Si nécessaire, vous pouvez ajouter une stratégie ou configurer les stratégies Protection RA par défaut, définies par le système, sur cette page. Pour configurer la fonction Protection RA : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres de protection RA. ÉTAPE 2 Renseignez les champs de configuration globale suivants : • Liste VLAN de protection RA : entrez un ou plusieurs VLAN sur lesquels la protection RA est activée. • Rôle du périphérique : affiche l'une des options ci-dessous permettant d'indiquer le rôle du périphérique connecté au port dans le cadre de la stratégie Protection RA. • - Hérité : le rôle du périphérique est hérité du VLAN ou du paramètre système par défaut (client). - Routeur : le périphérique a un rôle de routeur. - Hôte : le rôle du périphérique est hôte. Limite de saut minimale : ce champ indique si la stratégie Protection RA contrôle la limite de saut minimale du paquet reçu. - Aucune vérification : désactive la vérification de la limite inférieure pour la limite de nombre de sauts. - Défini par l'utilisateur : vérifie que la limite de nombre de sauts est supérieure ou égale à cette valeur. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 490 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • • • • • 24 Limite de saut maximale : ce champ indique si la stratégie Protection RA contrôle la limite de saut maximale du paquet reçu. - Aucune vérification : désactive la vérification de la limite supérieure pour la limite de nombre de sauts. - Défini par l'utilisateur : vérifie que la limite de nombre de sauts est inférieure ou égale à cette valeur. La valeur de la limite haute doit être égale ou supérieure à la valeur de la limite basse. Drapeau de configuration gérée : ce champ spécifie la vérification du drapeau Configuration d'adresse gérée annoncé au sein d'une stratégie de protection RA IPv6. - Aucune vérification : désactive la vérification du drapeau Configuration d'adresse gérée annoncé. - Activé : active la vérification du drapeau Configuration d'adresse gérée annoncé. - Désactivé : la valeur du drapeau doit être 0. Autre drapeau de configuration : ce champ spécifie la vérification du drapeau Autre configuration annoncé au sein d'une stratégie Protection RA IPv6. - Aucune vérification : désactive la vérification du drapeau Autre configuration annoncé. - Activé : active la vérification du drapeau Autre configuration annoncé. - Désactivé : la valeur du drapeau doit être 0. Préférence de routeur minimale : ce champ indique si la stratégie Protection RA vérifie la valeur minimale Préférence de routeur par défaut annoncée dans les messages RA dans le cadre d'une stratégie Protection RA. - Aucune vérification : désactive la vérification de la limite inférieure de la Préférence de routeur par défaut annoncée. - Faible : spécifie la valeur minimale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191). - Moyenne : spécifie la valeur minimale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191). - Élevée : spécifie la valeur minimale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191). Préférence de routeur maximale : ce champ indique si la stratégie Protection RA vérifie la valeur maximale Préférence de routeur par défaut annoncée dans les messages RA dans le cadre d'une stratégie Protection RA. - Aucune vérification : désactive la vérification de la limite supérieure de la Préférence de routeur par défaut annoncée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 491 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 - Faible : spécifie la valeur maximale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191). - Moyenne : spécifie la valeur maximale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191). - Élevée : spécifie la valeur maximale Préférence de routeur par défaut annoncée autorisée. Les valeurs suivantes sont acceptées : faible, moyenne et élevée (voir RFC4191). Pour créer une stratégie Protection RA, cliquez sur Ajouter et définissez les paramètres ci-dessus. Pour configurer des stratégies par défaut définies par le système ou une stratégie existante définie par l'utilisateur, sélectionnez la stratégie dans la table des stratégies et cliquez sur Modifier. Pour associer cette stratégie à une interface : • Associer la stratégie au VLAN : cliquez sur cette option pour accéder à la page Association de stratégie (VLAN) qui permet d'associer cette stratégie à un VLAN. • Associer la stratégie à l'interface : cliquez sur cette option pour accéder à la page Association de stratégie (Port) qui permet d'associer cette stratégie à un port. Paramètres de protection DHCPv6 Utilisez la page Paramètres de protection DHCPv6 pour activer la fonction Protection DHCPv6 sur un groupe de VLAN spécifique, mais aussi pour définir les valeurs de configuration globale de cette fonction. Si nécessaire, vous pouvez ajouter une stratégie ou configurer les stratégies Protection DHCPv6 par défaut, définies par le système, sur cette page. Pour configurer la fonction Protection DHCPv6 : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres de protection DHCPv6. ÉTAPE 2 Renseignez les champs de configuration globale suivants : • Liste de VLAN de protection DHCPv6 : entrez un ou plusieurs VLAN sur lesquels la protection DHCPv6 est activée. • Rôle du périphérique : affiche le rôle du périphérique. Reportez-vous à la définition figurant sur la page Ajouter. • Préférence minimale : ce champ indique si la stratégie Protection DHCPv6 contrôle la valeur minimale de préférence annoncée du paquet reçu. - Hérité : la préférence minimale est héritée du VLAN ou du paramètre système par défaut (client). Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 492 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • 24 - Aucune vérification : désactive la vérification de la valeur minimale de préférence annoncée du paquet reçu. - Défini par l'utilisateur : vérifie que la valeur de préférence annoncée est supérieure ou égale à cette valeur. Cette valeur doit être inférieure à la valeur de Préférence maximale. Préférence maximale : ce champ indique si la stratégie Protection DHCPv6 contrôle la valeur maximale de préférence annoncée du paquet reçu. Cette valeur doit être supérieure à la valeur de Préférence minimale. - Hérité : la préférence maximale est héritée du VLAN ou du paramètre système par défaut (client). - Aucune vérification : désactive la vérification de la limite inférieure pour la limite de nombre de sauts. - Défini par l'utilisateur : vérifie que la valeur de préférence annoncée est inférieure ou égale à cette valeur. ÉTAPE 3 Si nécessaire, cliquez sur Ajouter pour créer une stratégie DHCPv6. ÉTAPE 4 Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur. • Rôle du périphérique : sélectionnez Serveur ou Client afin de spécifier le rôle du périphérique associé au port pour la protection DHCPv6. • • - Hérité : le rôle du périphérique est hérité du VLAN ou du paramètre système par défaut (client). - Client : le rôle du périphérique est client. - Hôte : le périphérique a un rôle de serveur. Trouver préfixes de rép. correspondants : sélectionnez cette option pour activer la vérification des préfixes annoncés dans les messages de réponse DHCP reçus au sein d'une stratégie Protection DHCPv6. - Hérité : la valeur est héritée du VLAN ou du paramètre système par défaut (aucune vérification). - Aucune vérification : les préfixes annoncés ne sont pas vérifiés. - Liste des correspondances : liste des préfixes IPv6 à utiliser pour la mise en correspondance. Adresse du serveur : sélectionnez cette option pour activer la vérification de l'adresse IPv6 du relais et du serveur DHCP dans les messages de réponse DHCP reçus au sein d'une stratégie Protection DHCPv6. - Hérité : la valeur est héritée du VLAN ou du paramètre système par défaut (aucune vérification). - Aucune vérification : désactive la vérification de l'adresse IPv6 du relais et du serveur DHCP. - Liste des correspondances : liste des préfixes IPv6 à utiliser pour la mise en correspondance. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 493 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Préférence minimale : voir ci-dessus. • Préférence maximale : voir ci-dessus. 24 ÉTAPE 5 Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. Pour associer cette stratégie à une interface : • Associer la stratégie au VLAN : cliquez sur cette option pour accéder à la page Association de stratégie (VLAN) qui permet d'associer cette stratégie à un VLAN. • Associer la stratégie à l'interface : cliquez sur cette option pour accéder à la page Association de stratégie (Port) qui permet d'associer cette stratégie à un port. Paramètres d'inspection ND Utilisez la page Paramètres d'inspection ND (Détection de voisin) pour activer la fonction Inspection ND sur un groupe de VLAN spécifique, ainsi que pour définir les valeurs de configuration globale de cette fonction. Si nécessaire, vous pouvez ajouter une stratégie ou configurer les stratégies Inspection ND par défaut, définies par le système, sur cette page. Pour configurer la fonction Inspection ND : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres d'inspection ND. ÉTAPE 2 Renseignez les champs de configuration globale suivants : • Liste de VLAN d'inspection ND : entrez un ou plusieurs VLAN sur lesquels l'inspection ND est activée. • Rôle du périphérique : affiche le rôle du périphérique qui est expliqué ci-dessous. • Abandonner non sûr : sélectionnez cette option pour activer l'élimination des messages sans option Signature RSA ou CGA au sein d'une stratégie Inspection ND IPv6. • Niveau de sécurité minimal : si les messages non sûrs ne sont pas éliminés, sélectionnez le niveau de sécurité en dessous duquel les messages ne sont pas transmis. - Aucune vérification : désactive la vérification du niveau de sécurité. - Défini par l'utilisateur : spécifiez le niveau de sécurité du message à transférer. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 494 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • 24 Valider MAC source : spécifiez si vous souhaitez activer globalement la vérification de l'adresse MAC source par rapport à l'adresse de couche de liaison : - Hérité : la valeur est héritée du VLAN ou du paramètre système par défaut (désactivé). - Activer : activez la vérification de l'adresse MAC source par rapport à l'adresse de couche de liaison. - Désactiver : désactivez la vérification de l'adresse MAC source par rapport à l'adresse de couche de liaison. ÉTAPE 3 Si nécessaire, cliquez sur Ajouter pour créer une stratégie Inspection ND. ÉTAPE 4 Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur. • Rôle du périphérique : sélectionnez Serveur ou Client afin de spécifier le rôle du périphérique associé au port pour l'inspection ND. - Hérité : le rôle du périphérique est hérité du VLAN ou du paramètre système par défaut (client). - Hôte : le rôle du périphérique est hôte. - Routeur : le périphérique a un rôle de routeur. • Abandonner non sûr : voir ci-dessus. • Niveau de sécurité minimal : voir ci-dessus. • Valider MAC source : voir ci-dessus. ÉTAPE 5 Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. Pour associer cette stratégie à une interface : • Associer la stratégie au VLAN : cliquez sur cette option pour accéder à la page Association de stratégie (VLAN) qui permet d'associer cette stratégie à un VLAN. • Associer la stratégie à l'interface : cliquez sur cette option pour accéder à la page Association de stratégie (Port) qui permet d'associer cette stratégie à un port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 495 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 Paramètres de liaison de voisin La Table de liaisons de voisins est une table de base de données de voisins IPv6 connectés à un périphérique, qui est créée à partir de sources d'informations telles que l'usurpation Neighbor Discovery Protocol (NDP). Cette table de base de données, ou liaison, est utilisée par diverses fonctions de protection IPv6 pour empêcher l'usurpation et les attaques de redirection. Utilisez la page Paramètres de liaison de voisin pour activer la fonction Liaison de voisin sur un groupe de VLAN spécifique, mais aussi pour définir les valeurs de configuration globale de cette fonction. Si nécessaire, vous pouvez ajouter une stratégie ou configurer les stratégies Liaison de voisin par défaut, définies par le système, sur cette page. Pour configurer la fonction Liaison de voisin : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres de liaison de voisin. ÉTAPE 2 Renseignez les champs de configuration globale suivants : • Liste de VLAN de liaison de voisins : entrez un ou plusieurs VLAN sur lesquels la Liaison de voisin est activée. • Rôle du périphérique : affiche le rôle par défaut global du périphérique (périmètre). • Durée de vie de la liaison de voisins : entrez la durée pendant laquelle les adresses sont conservées dans la table de liaisons de voisins. • Journalisation des liaisons de voisins : sélectionnez cette option pour activer la journalisation des événements principaux de la table Liaison de voisin. • Address Prefix Validation (Validation de préfixe d'adresse) : sélectionnez cette option pour activer la validation des adresses par la fonction Protection de la source IPv6. Configuration globale de la liaison d'adresse : • • Binding from NDP Messages (Liaison à partir des messages NDP) : pour modifier la configuration globale des méthodes de configuration autorisées pour les adresses IPv6 globales dans le cadre d'une stratégie Liaison de voisin IPv6, sélectionnez l'une des options ci-dessous : - Tous : toutes les méthodes de configuration (statiques et manuelles) sont autorisées pour les adresses IPv6 globales liées à partir des messages NDP. - Statique : seule la configuration automatique statique est autorisée pour les adresses IPv6 globales liées à partir des messages NDP. - Désactiver : la liaison à partir des messages NDP est désactivée. Binding from DHCPv6 Messages (Liaison à partir des messages DHCPv6) : la liaison à partir des messages DHCPv6 est autorisée. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 496 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 Limites d'entrées de liaisons de voisins : permet d'indiquer le nombre maximal d'entrées de liaisons de voisins par type d'interface ou d'adresse : • Entrées par VLAN : spécifie la limite de liaisons de voisins par VLAN. Sélectionnez Aucune limite ou entrez une valeur dans le champ Défini par l'utilisateur. • Entrées par interface : spécifie la limite de liaisons de voisins par interface. Sélectionnez Aucune limite ou entrez une valeur dans le champ Défini par l'utilisateur. • Entrées par adresse MAC : spécifie la limite de liaisons de voisins par adresse MAC. Sélectionnez Aucune limite ou entrez une valeur dans le champ Défini par l'utilisateur. ÉTAPE 3 Si nécessaire, cliquez sur Ajouter pour créer une stratégie de liaison de voisin. ÉTAPE 4 Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur. • Rôle du périphérique : sélectionnez l'une des options ci-dessous afin de spécifier le rôle du périphérique connecté au port dans le cadre de la stratégie Liaison de voisin. • • - Hérité : le rôle du périphérique est hérité du VLAN ou du paramètre système par défaut (client). - Périmètre : le port est connecté à des périphériques qui ne prennent pas en charge la fonction Sécurité du premier saut IPv6. - Interne : le port est connecté à des périphériques qui prennent en charge la fonction Sécurité du premier saut IPv6. Journalisation des liaisons de voisins : sélectionnez l'une des options suivantes pour la journalisation : - Hérité : l'option de journalisation est la même que la valeur globale. - Activer : permet d'activer la journalisation des événements principaux de la table de liaisons. - Désactiver : permet de désactiver la journalisation des événements principaux de la table de liaisons. Address Prefix Validation (Validation de préfixe d'adresse) : sélectionnez l'une des options suivantes pour définir la validation des adresses : - Hérité : l'option de validation est la même que la valeur globale. - Activer : permet d'activer la validation des adresses. - Désactiver : permet de désactiver la validation des adresses. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 497 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 Configuration globale de la liaison d'adresse : • Inherit Address Binding Settings (Hériter des paramètres de liaisons d'adresse) : permet d'utiliser les paramètres globaux de liaisons d'adresse. • Binding from NDP Messages (Liaison à partir des messages NDP) : pour modifier la configuration globale des méthodes de configuration autorisées pour les adresses IPv6 globales dans le cadre d'une stratégie Liaison de voisin IPv6, sélectionnez l'une des options ci-dessous : - Tous : toutes les méthodes de configuration (statiques et manuelles) sont autorisées pour les adresses IPv6 globales liées à partir des messages NDP. - Statique : seule la configuration automatique statique est autorisée pour les adresses IPv6 globales liées à partir des messages NDP. - Désactiver : la liaison à partir des messages NDP est désactivée. Binding from DHCPv6 Messages (Liaison à partir des messages DHCPv6) : sélectionnez cette option pour activer la liaison à partir des messages DHCPv6. Limites d'entrées de liaisons de voisins : voir ci-dessus. • Entrées par VLAN : sélectionnez Hérité pour utiliser la valeur globale, Aucune limite pour qu'il n'y ait aucune limite quant au nombre d'entrées ou Défini par l'utilisateur pour définir une valeur spéciale pour cette stratégie. • Entrées par interface : sélectionnez Hérité pour utiliser la valeur globale, Aucune limite pour qu'il n'y ait aucune limite quant au nombre d'entrées ou Défini par l'utilisateur pour définir une valeur spéciale pour cette stratégie. • Entrées par adresse MAC : sélectionnez Hérité pour utiliser la valeur globale, Aucune limite pour qu'il n'y ait aucune limite quant au nombre d'entrées ou Défini par l'utilisateur pour définir une valeur spéciale pour cette stratégie. ÉTAPE 5 Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. Pour associer cette stratégie à une interface : • Associer la stratégie au VLAN : cliquez sur cette option pour accéder à la page Association de stratégie (VLAN) qui permet d'associer cette stratégie à un VLAN. • Associer la stratégie à l'interface : cliquez sur cette option pour accéder à la page Association de stratégie (Port) qui permet d'associer cette stratégie à un port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 498 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 Paramètres de la Protection de la source IPv6 Utilisez la page des paramètres de la Protection de la source IPv6 pour activer la fonction Protection de la source IPv6 sur un groupe de VLAN spécifique. Si nécessaire, vous pouvez ajouter une stratégie ou configurer les stratégies Protection de la source IPv6 par défaut, définies par le système, sur cette page. Pour configurer la fonction Protection de la source IPv6 : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > IPv6 Source Guard Settings (Paramètres de la Protection de la source IPv6). ÉTAPE 2 Renseignez les champs de configuration globale suivants : • IPv6 Source Guard VLAN List (Liste de VLAN de la Protection de la source IPv6) : entrez un ou plusieurs VLAN sur lesquels la fonction Protection de la source IPv6 est activée. • Confiance de port : indique que les stratégies concernent par défaut les ports non sécurisés. Vous pouvez modifier la valeur pour chaque stratégie. ÉTAPE 3 Si nécessaire, cliquez sur Ajouter pour créer une stratégie Sécurité du premier saut. ÉTAPE 4 Renseignez les champs suivants : • Nom de la stratégie : saisissez un nom de stratégie défini par l'utilisateur. • Confiance de port : sélectionnez l'état de confiance de port de la stratégie : - Hérité : lorsque la stratégie est associée à un port, l'état n'est pas sécurisé. - Validé : lorsque la stratégie est associée à un port, l'état est sécurisé. ÉTAPE 5 Cliquez sur Appliquer pour associer la stratégie. Pour associer cette stratégie à une interface : • Associer la stratégie au VLAN : cliquez sur cette option pour accéder à la page Association de stratégie (VLAN) qui permet d'associer cette stratégie à un VLAN. • Associer la stratégie à l'interface : cliquez sur cette option pour accéder à la page Association de stratégie (Port) qui permet d'associer cette stratégie à un port. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 499 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 Association de stratégie (VLAN) Pour associer une stratégie à un ou plusieurs VLAN : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Association de stratégie (VLAN). Les stratégies qui sont déjà associées sont affichées sous forme de liste, avec le Type de stratégie, le Nom de la stratégie et la Liste de VLAN. ÉTAPE 2 Pour associer une stratégie à un VLAN, cliquez sur Ajouter et renseignez les champs suivants : • Type de stratégie : sélectionnez le type de stratégie à associer à l'interface. • Nom de la stratégie : sélectionnez le nom de la stratégie à associer à l'interface. • Liste de VLAN : sélectionnez les VLAN auxquels la stratégie est associée. Sélectionnez Tous les VLAN ou entrez une plage de VLAN. ÉTAPE 3 Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. Association de stratégie (Port) Pour associer une stratégie à un ou plusieurs ports ou LAG : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Association de stratégie (Port). Les stratégies qui sont déjà associées sont affichées sous forme de liste, avec le Numéro d'interface, le Type de stratégie, le Nom de la stratégie et la Liste de VLAN. ÉTAPE 2 Pour associer une stratégie à un port ou LAG, cliquez sur Ajouter et renseignez les champs suivants : • Interface : sélectionnez l'interface à laquelle la stratégie sera associée. • Type de stratégie : sélectionnez le type de stratégie à associer à l'interface. • Nom de la stratégie : sélectionnez le nom de la stratégie à associer à l'interface. • Liste de VLAN : sélectionnez les VLAN auxquels la stratégie est associée. Sélectionnez Tous les VLAN ou entrez une plage de VLAN. ÉTAPE 3 Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. Guide d’administration du commutateur administrable empilable Cisco Small Business série 500 500 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web 24 Table de liaisons de voisins Pour afficher les entrées de la table de liaisons de voisins : ÉTAPE 1 Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Table de liaisons de voisins. ÉTAPE 2 Sélectionnez une des options d'effacement de table suivantes : • Statique uniquement : efface toutes les entrées statiques de la table. • Dynamique uniquement : efface toutes les entrées dynamiques de la table. • Dynamique et statique : efface toutes les entrées statiques et dynamiques de la table. Renseignez les champs suivants : • ID VLAN : ID du VLAN de l'entrée. • Adresse IPv6 : adresse IPv6 source de l'entrée. • Nom de l'interface : port sur lequel le paquet est reçu. • Adresse MAC : adresse MAC du voisin du paquet. • Or