Page 1 GUIDE D'ADMINISTRATION Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 2 Sommaire Table des matières Chapitre 1: Prise en main Démarrage de l'utilitaire Web de configuration PoE (Power over Ethernet) Port OOB (Out Of Band, hors bande) Port USB Mode d'affichage de base ou avancé Configuration de l'appareil - Démarrage rapide Conventions de nommage de l'interface Navigation dans les fenêtres Fonction de recherche...
Page 3 Sommaire Chapitre 3: Assistants de configuration Assistant de mise en route Assistant de configuration des VLAN Assistant ACL Chapitre 4: État et statistiques Récapitulatif du système Utilisation du processeur Interface Etherlike Utilisation du port GVRP 802.1X EAP Utilisation de TCAM Intégrité...
Page 4 Sommaire Journaux système Gestion des fichiers Plug-n-Play (PNP) Redémarrage Ressources de routage Détection - Bonjour Détection - LLDP Détection - CDP Localiser le périphérique Ping Traceroute Chapitre 6: Administration : Gestion des fichiers Fichiers système Opérations du microprogramme Opérations de fichiers Répertoire de fichiers Configuration/mise à...
Page 5 Sommaire Chapitre 8: Administration : Paramètres d'heure Configuration de l'heure système Modes SNTP Heure système SNTP monodiffusion SNTP multidestination/pluridiffusion Authentification SNTP Plage horaire Période récurrente Chapitre 9: Administration : Détection Bonjour LLDP et CDP Détection - LLDP Détection - CDP Chapitre 10: Gestion des ports Flux de travail Paramètres des ports...
Page 6 Sommaire Gestion des erreurs Configuration par défaut Relations avec les autres fonctions Tâches courantes de port intelligent Configuration de port intelligent à l'aide de l'interface Web Macros Port intelligent intégrées Chapitre 12: Gestion des VLAN VLAN standard Paramètres de VLAN privé Paramètres GVRP Groupes VLAN VLAN voix...
Page 7 Sommaire Chapitre 14: Gestion des tables d'adresses MAC Adresses statiques Adresses dynamiques Adresses MAC réservées Chapitre 15: Multidestination Présentation du réacheminement multidestination Propriétés Adresse MAC de groupe Adresse de groupe de multidestination IP Configuration de la multidestination IPv4 Configuration de la multidestination IPv6 Groupe de multidestination IP de surveillance IGMP/MLD Port de routeur multidestination Tout transférer...
Page 8 Sommaire Chapitre 18: Configuration IP : VRRP Vue d'ensemble Topologie VRRP Éléments configurables de VRRP Configuration de VRRP Chapitre 19: Configuration IP : SLA Vue d'ensemble Utilisation du contrat de niveau de service (SLA) Chapitre 20: Sécurité Configuration de TACACS+ RADIUS Sécurité...
Page 9 Sommaire Chapitre 21: Sécurité : Authentification 802.1X Présentation Propriétés Authentification des ports Authentification hôtes et sessions Hôtes authentifiés Clients verrouillés Personnalisation de l'authentification Web Informations d'identification du demandeur Chapitre 22: Sécurité : Gestion sécurisée des données sensibles Introduction Gestion SSD Règles SSD Propriétés SSD Fichiers de configuration...
Page 10 Sommaire Chapitre 25: Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 Protection Router Advertisement Inspection Neighbor Discovery Protection DHCPv6 Intégrité de la liaison de voisin Protection de la source IPv6 Protection contre les attaques Stratégies, paramètres globaux et valeurs par défaut du système Tâches courantes Configuration et paramètres par défaut...
Page 11 Sommaire Chapitre 28: SNMP Vue d'ensemble ID de moteur Vues Groupes Utilisateurs Communautés Paramètres de filtre Destinataires de notifications Filtre de notification Chapitre 29: Smart Network Application (SNA) Sessions SNA Graphismes SNA Menu en haut à droite Vue de la topologie Panneau d'informations s'affichant à...
Page 12 Prise en main Cette section offre une introduction à l'utilitaire de configuration Web et inclut les rubriques suivantes : • Démarrage de l'utilitaire Web de configuration • PoE (Power over Ethernet) • Port OOB (Out Of Band, hors bande) • Port USB •...
Page 13 OOB est connecté à votre réseau ou à votre ordinateur. Connexion Le nom d'utilisateur/mot de passe par défaut est cisco/cisco. Lors de votre première ouverture de session avec le nom d'utilisateur et le mot de passe par défaut, vous devez saisir un nouveau mot de passe.
Page 14 S'il s'agit de votre première ouverture de session avec l'ID utilisateur par défaut (cisco) et le ÉTAPE 3 mot de passe par défaut (cisco), ou si votre mot de passe a expiré, la page Modifier le mot de passe s'ouvre. Pour plus d'informations, reportez-vous à la section Expiration du mot de passe.
Page 15 La page Nouveau mot de passe s'affiche dans les cas suivants : • La première fois que vous accédez au périphérique avec le nom d'utilisateur cisco et le mot de passe cisco par défaut. cette page vous oblige à remplacer le mot de passe par défaut. •...
Page 16 Prise en main PoE (Power over Ethernet) Pour vous déconnecter, cliquez sur Se déconnecter en haut à droite de n'importe quelle page. Le système se déconnecte du périphérique. En cas d'expiration du délai ou si vous vous déconnectez intentionnellement du système, un message apparaît et la page de connexion s'ouvre tout en indiquant que vous êtes déconnecté.
Page 17 Prise en main Port OOB (Out Of Band, hors bande) Pontage Le pontage entre le port OOB et les interfaces de couche 2 intra-bandes n'est pas pris en charge. Le port OOB ne peut pas être membre d'un VLAN ou d'un LAG et les protocoles du pont (comme STP, GVRP, etc.) ne peuvent pas être activés sur le port OOB.
Page 18 Prise en main Port USB QoS et ACL La QoS et les ACL ne sont pas prises en charge sur le port OOB (par conséquent, toutes les fonctionnalités basées sur TCAM, comme la prévention des attaques par déni de service (DoS), ne sont pas prises en charge non plus).
Page 19 Prise en main Mode d'affichage de base ou avancé • Advanced (Avancé) : un ensemble complet d'options de configuration est disponible. Basculez d'un mode à l'autre, comme illustré ci-dessous : Quand l'utilisateur passe du mode de base au mode avancé, le navigateur recharge la page. Cependant, après le rechargement, l'utilisateur reste sur la même page.
Page 20 Analyseur de port commuté (SPAN et RSPAN) La page Getting Started comporte deux liens qui vous redirigent vers des pages Web Cisco sur lesquelles vous trouverez des informations supplémentaires. Cliquez sur le lien Support (Assistance) pour accéder à la page d'assistance produit du périphérique, puis sélectionnez le lien Forums pour accéder à...
Page 21 Prise en main Conventions de nommage de l'interface Conventions de nommage de l'interface Dans l'interface utilisateur graphique, les interfaces sont désignées en concaténant les éléments suivants : • Type de l'interface : les types d'interfaces suivants se retrouvent dans divers types de périphériques : Fast Ethernet (10/100 bits) : celles-ci sont désignées par FE.
Page 22 Configuration d'exécution. Nom d'utilisateur Affiche le nom de l'utilisateur connecté au périphérique. Le nom d'utilisateur par défaut est cisco. (Le mot de passe par défaut est cisco.) Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 23 Prise en main Navigation dans les fenêtres Nom du lien Description d'application Language Menu Ce menu comprend les options suivantes : • Choisir une langue : choisissez une des langues qui apparaît dans le menu. Il s'agira de la langue utilisée par l'utilitaire de configuration Web.
Page 24 Prise en main Navigation dans les fenêtres Boutons de gestion Le tableau suivant décrit les boutons couramment utilisés qui s'affichent sur différentes pages du système. Nom du bouton Description Servez-vous du menu déroulant pour configurer le nombre d'entrées par page. Indique un champ obligatoire.
Page 25 Prise en main Navigation dans les fenêtres Nom du bouton Description Clear Table Efface les entrées de la table. Close Permet de revenir à la page principale. Un message s'affiche si des modifications n'ont pas été appliquées à la configuration d'exécution.
Page 26 Prise en main Fonction de recherche Fonction de recherche La fonction de recherche vous permet de trouver les pages de l'interface utilisateur qui vous intéressent. Si vous effectuez une recherche par mot-clé, vous obtiendrez des liens vers les pages correspondantes, mais également des liens vers des pages d'aide. Pour accéder à...
Page 27 Prise en main Fonction de recherche Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 28 Tableau de bord Le tableau de bord se compose de 8 cases, initialement vides, pouvant recevoir différents types d'informations Vous pouvez sélectionner des modules parmi ceux disponibles et les placer dans cette grille. Vous pouvez par ailleurs personnaliser les paramètres des modules affichés à l'écran. Lors du chargement du tableau de bord, les modules que vous avez sélectionnés sont chargés à...
Page 29 Tableau de bord Gestion de la grille Gestion de la grille Le tableau de bord se compose de plusieurs modules, mais vous ne pouvez afficher qu'un sous- ensemble des modules simultanément. Lorsque vous ouvrez le tableau de bord, une vue quadrillée s'affiche, comme illustré ci- dessous (seules 2 cases sont présentées dans cette figure) : Pour afficher des modules qui ne le sont pas encore, cliquez sur Personnaliser en haut à...
Page 30 Tableau de bord Intégrité du système Vous pouvez repositionner les modules dans la grille. Pour cela, faites glisser un module d'une position occupée vers une autre. Vous pouvez déplacer le module vers un espace inoccupé ou vers un espace occupé par un module de la même taille. Si l'espace sélectionné est occupé, les modules changent de place.
Page 31 Tableau de bord Utilisation des ressources Les icônes suivantes sont affichées : • État du ventilateur : jaune si un ventilateur est en panne et est remplacé par le ventilateur redondant ; vert si le ventilateur est opérationnel et rouge s'il est défectueux.
Page 32 Tableau de bord Identification • MAC Address Table (Table des adresses MAC) : pourcentage d'utilisation de la table d'adresses MAC en cours d'utilisation. • Router TCAM (TCAM routeur) : taux d'utilisation du TCAM routeur, en pourcentage. • TCAM : taux d'utilisation de toutes les entrées TCAM non-IP, en pourcentage. •...
Page 33 Tableau de bord Utilisation du port Il contient les champs suivants : • System Description (Description du système) : description du périphérique. • Host Name (Nom d'hôte) : le nom d'hôte saisi sur la page Paramètres système ou le nom d'hôte par défaut est utilisé. Il est également possible de le spécifier dans l'Assistant de mise en route.
Page 34 Tableau de bord Utilisation du port • Mode d'affichage : graphique La liste des ports s'affiche. L'utilisation des ports est présentée sous forme de barres : Les informations suivantes sont affichées pour chaque port : Tx—% (vert) Rx—% (bleu) • Délai d'actualisation : sélectionnez l'une des options affichées.
Page 35 Tableau de bord Utilisation du PoE Utilisation du PoE Ce module présente le taux d'utilisation du PoE sous forme graphique, comme illustré ci- dessous : Pour une unité autonome, ce module affiche une jauge dont les valeurs vont de 0 à 100. La section de la jauge entre le seuil d'interception et 100 s'affiche en rouge.
Page 36 Tableau de bord Derniers journaux Derniers journaux Ce module contient des informations sur les cinq derniers événements consignés par le système sous forme de journaux SYSLOG, comme illustré ci-dessous : Les options de configuration suivantes (situées à la droite de l'écran) sont disponibles : •...
Page 37 Tableau de bord Interfaces suspendues Lorsque vous placez le pointeur de la souris sur un port suspendu, une info-bulle contenant les informations suivantes s'affiche : Nom du port Appartenance à un LAG et identité LAG du port Motif de la suspension, le cas échéant •...
Page 38 Topologie de la pile Topologie de la pile L'empilage n'est pris en charge que sur les appareils des gammes SG350 (sauf Sx350) et SG550. REMARQUE Ce module, qui présente la topologie de la pile sous forme graphique, dispose des mêmes fonctions que la section Vue de la topologie de la pile de l'écran...
Page 39 Tableau de bord Erreurs de trafic • Mode d'affichage : appareil Ce mode présente un diagramme de l'appareil, comme illustré ci-dessous : En mode d'empilage, l'utilisateur peut sélectionner l'appareil à afficher dans une liste déroulante. Tous les ports suspendus dans l'appareil sont indiqués en rouge. Lorsque vous placez le pointeur de la souris sur un port suspendu, une info-bulle contenant les informations suivantes s'affiche : Nom du port...
Page 40 Assistants de configuration Cette rubrique décrit les assistants de configuration suivants : Elle couvre les sujets suivants : • Assistant de mise en route • Assistant de configuration des VLAN • Assistant ACL Assistant de mise en route Cet assistant vous aide lors de la configuration initiale du périphérique. Cliquez sur Assistants de configuration >...
Page 41 Assistants de configuration Assistant de mise en route Cliquez sur Next. ÉTAPE 4 Renseignez les champs suivants : ÉTAPE 5 • Interface : sélectionnez l'interface IP pour le système. • IP Interface Source (Source de l'interface IP) : sélectionnez l'une des options suivantes : DHCP : sélectionnez cette option si vous souhaitez que le périphérique reçoive son adresse IP d'un serveur DHCP.
Page 42 Assistants de configuration Assistant de configuration des VLAN Cliquez sur Next (Suivant). ÉTAPE 8 Renseignez les champs suivants : ÉTAPE 9 • Clock Source (Source d'horloge) : sélectionnez l'une des options suivantes : Paramètres manuels : sélectionnez cette option pour saisir l'heure système du périphérique.
Page 43 Assistants de configuration Assistant ACL Renseignez les champs suivants : ÉTAPE 5 • VLAN ID (ID VLAN) : sélectionnez le VLAN à configurer. Vous pouvez sélectionner soit un VLAN existant soit un nouveau VLAN. • New VLAN ID (ID du nouveau VLAN) : saisissez l'ID VLAN du nouveau VLAN. •...
Page 44 Assistants de configuration Assistant ACL Fermer l'interface : abandonne les paquets qui répondent aux critères de l'ACL et désactive le port sur lequel les paquets ont été reçus. Ces ports peuvent être réactivés sur la page Paramètres de reprise après erreur.
Page 45 Assistants de configuration Assistant ACL UDP : sélectionnez cette option pour accepter les paquets User Datagram Protocol. ICMP : sélectionnez cette option pour accepter les paquets ICMP. IGMP : sélectionnez cette option pour accepter les paquets IGMP. • Port source pour TCP/UDP : sélectionnez un port dans la liste déroulante. •...
Page 46 Assistants de configuration Assistant ACL VLAN uniquement : liez l'ACL à un VLAN. Saisissez la liste des VLAN dans le champ Saisissez la liste des VLAN auxquels vous voulez lier l'ACL. Aucune liaison : ne liez pas l'ACL. Cliquez sur Appliquer. Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 47 Assistants de configuration Assistant ACL Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 48 État et statistiques Cette section décrit comment afficher les statistiques de l'appareil. Elle couvre les sujets suivants : • Récapitulatif du système • Utilisation du processeur • Interface • Etherlike • Utilisation du port • GVRP • 802.1X EAP • •...
Page 49 État et statistiques Récapitulatif du système Récapitulatif du système La page Récapitulatif du système fournit une vue graphique du périphérique et affiche l'état du périphérique, des informations sur le matériel, des informations sur le micrologiciel, l'état PoE (Power-over-Ethernet) général, etc. Pour afficher les informations se rapportant au système, cliquez sur État et statistiques >...
Page 50 État et statistiques Récapitulatif du système Informations sur le logiciel : • Version du microprogramme (image active) : numéro de version du microprogramme de l'image active. Dans une pile, le numéro de version du microprogramme dépend de la REMARQUE version de l'unité principale. •...
Page 51 État et statistiques Utilisation du processeur Informations d'alimentation PoE sur l'unité principale : (sur les périphériques prenant en charge PoE) • Informations d'alimentation PoE sur l'unité principale : cliquez sur Détails pour accéder directement à la page Propriétés PoE. Cette page présente les informations d'alimentation PoE relatives à...
Page 52 État et statistiques Interface Un trafic excessif encombre le CPU et peut empêcher l'appareil de fonctionner normalement. L'appareil utilise la fonction Secure Core Technology (SCT) qui lui garantit de recevoir et traiter le trafic de gestion et de protocole, quel que soit le volume de trafic total reçu. La fonction SCT est activée par défaut sur le périphérique et ne peut pas être désactivée.
Page 53 État et statistiques Etherlike La zone Statistiques de réception affiche les informations se rapportant aux paquets entrants. • Total Bytes (Octets) : octets reçus, y compris les paquets erronés et les octets FCS, mais sans les bits de synchronisation. • Unicast Packets : paquets de destination unique corrects reçus.
Page 54 État et statistiques Etherlike Pour afficher les statistiques Etherlike et/ou définir la fréquence d'actualisation : Cliquez sur État et statistiques > Etherlike. ÉTAPE 1 Saisissez les paramètres. ÉTAPE 2 • Interface : sélectionnez l'interface spécifique pour laquelle les statistiques Ethernet doivent être affichées.
Page 55 État et statistiques Utilisation du port Utilisation du port La page Utilisation du port présente l'utilisation large bande (entrante et sortante) par port. Pour afficher l'utilisation du port : Cliquez sur État et statistiques > Utilisation du port. ÉTAPE 1 Saisissez la Fréqu.
Page 56 État et statistiques GVRP Pour afficher les statistiques GVRP et/ou définir la fréquence d'actualisation : Cliquez sur État et statistiques > GVRP. ÉTAPE 1 Saisissez les paramètres. ÉTAPE 2 • Interface : sélectionnez l'interface spécifique pour laquelle les statistiques GVRP doivent être affichées.
Page 57 État et statistiques 802.1X EAP 802.1X EAP La page 802.1x EAP affiche des informations détaillées sur les trames EAP (Extensible Authentication Protocol) qui ont été envoyées ou reçues. Pour configurer la fonction 802.1X, reportez-vous à la page (Sécurité > 802.1x) Propriétés. Pour afficher les statistiques EAP et/ou définir la fréquence d'actualisation : Cliquez sur État et statistiques >...
Page 58 État et statistiques • Trames de demandeur EAPOL EAP transmises : trames de demandeur EAPOL EAP transmises sur le port. • Trames de début EAPOL transmises : trames de début EAPOL qui ont été transmises sur le port. • Trames de déconnexion EAPOL transmises : trames de déconnexion EAPOL qui ont été...
Page 59 État et statistiques Utilisation de TCAM Les informations suivantes sont affichées : • Global Trapped Packet Counter (Compteur de paquets interrompus globalement) : nombre de paquets filtré globalement en raison d'un manque de ressources. • Paquets filtrés en fonction du port/LAG : interfaces sur lesquelles les paquets ont été transférés ou rejetés en fonction des règles ACL.
Page 60 État et statistiques Utilisation de TCAM • Routage de multidiffusion IPv4 Utilisé : nombre d'entrées TCAM de routeur utilisées pour le routage multidestination IPv4. Maximum : nombre d'entrées TCAM de routeur disponibles pouvant être utilisées pour le routage multidestination IPv4. •...
Page 61 État et statistiques Intégrité et alimentation • Règles non-IP Utilisé : nombre d'entrées TCAM utilisées pour les règles non IP. Maximum : nombre d'entrées TCAM disponibles pouvant être utilisées par les règles non IP. Pour savoir comment modifier l'attribution en fonction des divers processus, consultez la section Ressources de routage.
Page 62 État et statistiques Intégrité et alimentation Ventilateurs Sur certains périphériques, les ventilateurs sont obligatoires pour assurer un bon fonctionnement. En effet, sans eux, le périphérique chauffe trop et s'éteint automatiquement. Le ventilateur étant un composant mobile, il est sujet aux pannes. Un ventilateur redondant est donc installé...
Page 63 État et statistiques Intégrité et alimentation Événement Action La période de refroidissement Lorsque tous les capteurs ont atteint une valeur inférieure qui suit le seuil critique a été de 2 °C au seuil d'avertissement, le PHY est réactivé et dépassée (tous les capteurs tous les ports sont rétablis.
Page 64 État et statistiques Intégrité et alimentation • Économies d'énergie PoE cumulées : économies d'énergie PoE cumulées, depuis la mise sous tension du périphérique, réalisées sur les ports auxquels sont connectés des appareils alimentés et sur lesquels l'alimentation PoE n'est pas opérationnelle en raison de la fonctionnalité...
Page 65 État et statistiques Intégrité et alimentation • Température : les options sont les suivantes : OK : la température est inférieure au seuil d'avertissement. Avertissement : la température est comprise entre le seuil d'avertissement et le seuil critique. Critique : la température est supérieure au seuil critique. N/A (S/O) : non applicable.
Page 66 État et statistiques Intégrité et alimentation Consommation du port d'appareil alimenté 1 : quantité maximale d'énergie qui peut être allouée au fonctionnement du PSE ID du port d'appareil alimenté 2 : numéro du port d'appareil alimenté 1 Mode de négociation du port 2 de l'appareil alimenté : mode de négociation (voir la définition ci-dessous) État du port d'appareil alimenté...
Page 67 État et statistiques Intégrité et alimentation État de l'alimentation principale (ces champs sont affichés pour les appareils alimentés et les périphériques prenant en charge une alimentation redondante) • État de l'alimentation : les options sont les suivantes : Main (Principale) : affiche l'une des valeurs suivantes : Actif : l'alimentation est utilisée.
Page 68 La fonctionnalité SPAN, parfois appelée mise en miroir de ports ou surveillance de ports, sélectionne le trafic réseau qu'un analyseur de réseau est chargé d'étudier. Cet analyseur de réseau peut être un dispositif Cisco SwitchProbe ou une autre sonde de contrôle à distance (RMON).
Page 69 État et statistiques Analyseur de port commuté (SPAN et RSPAN) Figure 1 Déploiement de commutateurs RSPAN : Port Port Port Port source réflecteur d'analyseur source Commutateur de Commutateur(s) Commutateur début intermédiaire(s) final Définir le VLAN Définir le VLAN Définir le VLAN RSPAN 10 avec les RSPAN 10 avec le RSPAN (par exemple...
Page 70 État et statistiques Analyseur de port commuté (SPAN et RSPAN) Commutateur de début 1. Définissez le VLAN RSPAN. Ce VLAN doit être identique dans tous les commutateurs. 2. Définissez une ou plusieurs interfaces source, qui peuvent être des ports ou un VLAN, et assurez-vous qu'il ne s'agit pas d'un membre du VLAN RSPAN.
Page 71 État et statistiques Analyseur de port commuté (SPAN et RSPAN) Pour configurer un VLAN comme VLAN RSPAN, sélectionnez-le dans la liste déroulante ÉTAPE 2 VLAN RSPAN. Cliquez sur Appliquer. ÉTAPE 3 Destinations de sessions SPAN Un port de destination doit être configuré sur les commutateurs de début et de fin. Sur le périphérique de début, il s'agit du port réflecteur.
Page 72 État et statistiques Diagnostics Sources de sessions SPAN Une ou plusieurs sources SPAN ou RSPAN peuvent être configurées sur les périphériques de début et de fin. Pour configurer les ports source à mettre en miroir : Cliquez sur État et statistiques > SPAN et RSPAN > Sources de sessions. ÉTAPE 1 Cliquez sur Ajouter.
Page 73 État et statistiques Diagnostics Tests des ports en cuivre La page Test cuivre affiche les résultats des tests de câbles intégrés effectués sur les câbles en cuivre par le testeur de câbles virtuels (VCT, Virtual Cable Tester). VCT réalise deux types de tests : •...
Page 74 État et statistiques Diagnostics Pour tester les câbles en cuivre reliés aux ports : Cliquez sur État et statistiques > Diagnostics > Test cuivre. ÉTAPE 1 Sélectionnez l'unité/le port sur lequel vous souhaitez exécuter le test. ÉTAPE 2 Cliquez sur Copper Test. ÉTAPE 3 Une fois le message affiché, cliquez sur OK pour confirmer que la liaison peut passer à...
Page 75 • MGBT1 : émetteur-récepteur SFP 1000BASE-T pour le fil cuivre de catégorie 5, jusqu'à 100 m. Les émetteurs-récepteurs SFP+ XG (10 000 Mbit/s) suivants sont pris en charge : • Cisco SFP-10GSR • Cisco SFP-10GLRM • Cisco SFP-10GLR Les câbles passifs XG suivants (Twinax/DAC) sont pris en charge : •...
Page 76 État et statistiques Diagnostics • VID : ID de l'émetteur-récepteur optique. • Température : température en degrés Celsius à laquelle le SFP fonctionne. • Tension : tension de fonctionnement du SFP. • Actuel : consommation actuelle du SFP. • Output Power : puissance optique transmise. •...
Page 77 État et statistiques RMON RMON RMON (Remote Networking Monitoring) permet à un agent SNMP sur le périphérique de surveiller de façon proactive les statistiques de trafic sur une période donnée et d'envoyer des interceptions à un gestionnaire SNMP. L'agent SNMP local compare les compteurs en temps réel par rapport à...
Page 78 État et statistiques RMON Pour afficher les statistiques RMON et/ou définir la fréquence d'actualisation : Cliquez sur État et statistiques > RMON > Statistiques. ÉTAPE 1 Sélectionnez l'interface pour laquelle les statistiques Ethernet doivent être affichées. ÉTAPE 2 Sélectionnez la fréquence d'actualisation, autrement dit la durée qui s'écoule avant ÉTAPE 3 l'actualisation des statistiques de l'interface.
Page 79 État et statistiques RMON • Collisions : collisions reçues. Si les trames géantes sont activées, le seuil des trames Jabber est augmenté de façon à correspondre à la taille maximale des trames géantes. • Trames de 64 octets : trames de 64 octets qui ont été envoyées ou reçues. •...
Page 80 État et statistiques RMON Cliquez sur Ajouter. ÉTAPE 2 Saisissez les paramètres. ÉTAPE 3 • Nouvelle entrée d'historique : affiche le numéro de la nouvelle entrée de la table d'historique. • Interface source : sélectionnez le type d'interface à partir de laquelle les échantillons d'historique doivent être recueillis.
Page 81 État et statistiques RMON • Événements d'abandon : paquets abandonnés en raison d'un manque de ressources réseau lors de l'intervalle d'échantillonnage. Cela peut ne pas correspondre au nombre exact de paquets abandonnés, mais plutôt au nombre de détections de paquets de ce type.
Page 82 État et statistiques RMON Pour définir les événements RMON : Cliquez sur État et statistiques > RMON > Événements. ÉTAPE 1 Cette page affiche les événements précédemment définis. Les champs de cette page sont définis par la boîte de dialogue Add RMON Events (Ajouter des événements RMON), à...
Page 83 État et statistiques RMON Journaux d'événements RMON La page Events (Événements) affiche le journal des événements (actions) qui se sont produits. Deux types d'événements peuvent être journalisés : Journal ou Journal et interception. L'action indiquée dans l'événement est mise en œuvre lorsque cet événement est lié à une alarme (reportez-vous à...
Page 84 État et statistiques RMON Pour entrer des alarmes RMON : Cliquez sur État et statistiques > RMON > Alarmes. ÉTAPE 1 Toutes les alarmes définies précédemment sont affichées. Les champs sont décrits dans la page Ajouter une alarme RMON ci-dessous. En plus de ces champs, le champ suivant apparaît : •...
Page 85 État et statistiques sFlow • Interval : saisissez l'intervalle (en secondes) entre les alarmes. • Owner : saisissez le nom de l'utilisateur ou du système de gestion du réseau qui reçoit l'alarme. Cliquez sur Appliquer. L'alarme RMON est consignée dans le fichier de Configuration ÉTAPE 4 d'exécution.
Page 86 État et statistiques sFlow Flux de travail Par défaut, l'échantillonnage des flux et des compteurs est désactivé. Pour activer l'échantillonnage sFlow : 1. Définissez l'adresse IP d'un récepteur (également appelé collecteur ou serveur) pour les statistiques sFlow. Utilisez la page Paramètres du récepteur sFlow pour ce faire.
Page 87 État et statistiques sFlow • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication que sur le réseau local.
Page 88 État et statistiques Affichage des journaux Taux d'échantillonnage : si vous saisissez x, un flux de x trames sera échantillonné. Taille maximale d'en-tête : nombre maximal d'octets qui doivent être copiés depuis un paquet échantillonné. Index du récepteur : sélectionnez un des indices qui ont été définis sur la page Paramètres du récepteur sFlow.
Page 89 État et statistiques Affichage des journaux Mémoire RAM La page Mémoire RAM affiche tous les messages enregistrés dans la RAM (cache) dans l'ordre chronologique. Les entrées sont enregistrées dans le journal de la RAM en fonction de la configuration définie sur la page Paramètres des journaux.
Page 90 État et statistiques Affichage des journaux Cette page contient les champs suivants, pour chaque fichier journal : • Log Index : numéro de l'entrée dans le journal. • Log Time : heure à laquelle le message a été généré. • Severity : niveau de sévérité...
Page 91 État et statistiques Affichage des journaux Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 92 Administration Cette section décrit comment afficher les informations relatives au système et configurer différentes options sur le périphérique. Elle couvre les rubriques suivantes : • Modèles d'appareils • Paramètres système • Paramètres de console (prise en charge du débit en bauds automatiques) •...
Page 93 Administration Modèles d'appareils Modèles d'appareils Tous les modèles peuvent être entièrement gérés via l'utilitaire Web de configuration du commutateur. Reportez-vous à la section Conventions de nommage de l'interface pour connaître les REMARQUE conventions d'affectation de noms aux ports. Le tableau suivant décrit les différents modèles, le nombre et le type de ports qu'ils contiennent, ainsi que leurs informations PoE.
Page 94 Administration Modèles d'appareils Nom de la référence Description Nombre de Nombre de ventilateurs ventilateurs redondants SG350X-24MP Commutateur administrable empilable PoE 24 ports Gigabit SG350X-48 Commutateur administrable empilable 48 ports Gigabit SG350X-48P Commutateur administrable empilable PoE 48 ports Gigabit SG350X-48MP Commutateur administrable empilable PoE 48 ports Gigabit SG350XG-24F SG350XG-24F - Commutateur...
Page 95 Administration Paramètres système Nom de la référence Description Nombre de Nombre de ventilateurs ventilateurs redondants SF550X-48 Commutateur administrable empilable 10/100 à 48 ports SF550X-48P Commutateur administrable empilable PoE 10/100 à 48 ports SF550X-48MP Commutateur administrable empilable PoE 10/100 à 48 ports SG550XG-8F8T Commutateur empilable 10 Gbit 16 ports avec prise en charge d'une...
Page 96 Administration Paramètres de console (prise en charge du débit en bauds automatiques) • Nom d'hôte : sélectionnez le nom d'hôte de ce périphérique. Voici ce qui est utilisé dans l'invite de l'interface de ligne de commande : Valeurs par défaut : le nom d'hôte par défaut (Nom du système) de ces commutateurs est périphérique123456, où...
Page 97 Administration Gestion des piles Lorsque la détection automatique est activée, mais que le débit en bauds de la console n'a pas encore été détecté, le système utilise la valeur 115 200 pour afficher le texte (par exemple, les informations de démarrage). Après avoir activé...
Page 98 Administration Comptes d'utilisateur Pour ajouter un nouvel utilisateur : Cliquez sur Administration > Comptes utilisateurs. ÉTAPE 1 Cette page affiche les utilisateurs définis dans le système ainsi que leur niveau de privilèges. Cliquez sur Add pour ajouter un nouvel utilisateur ou sur Edit pour en modifier un. ÉTAPE 2 Saisissez les paramètres.
Page 99 Administration Expiration de la session inactive Expiration de la session inactive Le délai d'expiration de la session inactive permet de configurer combien de temps une session de gestion peut rester inactive avant d'expirer et de nécessiter une reconnexion de l'utilisateur, en fonction du type de session : •...
Page 100 Administration Journaux système • Journal enregistré dans un fichier journal cyclique enregistré dans la mémoire Flash et conservé d'un redémarrage à l'autre Vous pouvez en outre envoyer des messages vers des serveurs SYSLOG distants sous la forme d'interceptions SNMP et de messages SYSLOG. Cette section contient les rubriques suivantes : •...
Page 101 Administration Journaux système Par exemple, si Warning est sélectionné, tous les niveaux de gravité de type Warning et plus élevés sont enregistrés dans le journal (Emergency, Alert, Critical, Error et Warning). Aucun événement dont le niveau de gravité est inférieur à Avertissement n'est enregistré (Remarque, Informatif et Débogage).
Page 102 Administration Journaux système Paramètres de journalisation distante La page Serveurs de journalisation distants permet de définir les serveurs SYSLOG distants où sont envoyés les messages de journalisation. Vous pouvez configurer la gravité des messages que reçoit chaque serveur. Pour définir les serveurs SYSLOG : Cliquez sur Administration >...
Page 103 La solution Cisco Plug-n-Play réduit les coûts associés au déploiement/à l'installation de dispositifs réseau, accélère leur installation et simplifie les déploiements sans compromettre la sécurité. à l'aide de la solution Cisco Plug-n-Play, vous pouvez effectuer des installations sans intervention des commutateurs dans différents scénarios et sites de déploiement.
Page 104 Administration Plug-n-Play (PNP) Paramètres PNP Pour configurer les paramètres PNP : La fonction est activée par défaut. REMARQUE Cliquez sur Administration > PNP > Paramètres PNP. ÉTAPE 1 Configurez PNP en renseignant les champs suivants : ÉTAPE 2 • État PNP : activé par défaut. Transport PNP : définit les informations et les paramètres de la session d'agent PNP.
Page 105 Administration Plug-n-Play (PNP) Global : l'adresse IPv6 est de type global IPv6 monodiffusion, visible et joignable à partir d'autres réseaux. • Interface de liaison locale : si le type d'adresse IPv6 source est Liaison locale, sélectionnez son lieu de réception. •...
Page 106 Administration Plug-n-Play (PNP) Cliquez sur Appliquer. Les paramètres sont copiés dans le fichier de Configuration ÉTAPE 3 d'exécution. Cliquez sur Afficher les données sensibles sous forme chiffrée pour afficher le mot de passe s'il est chiffré. Session PNP Cet écran affiche la valeur des paramètres PNP actuellement en vigueur. La source du paramètre est affichée entre parenthèses le cas échéant.
Page 107 Administration Redémarrage Redémarrage Certaines modifications apportées à la configuration, telles que l'activation de la prise en charge des trames Jumbo, nécessitent le redémarrage du système pour être effectives. Le redémarrage du périphérique supprime toutefois la Configuration d'exécution. Il est donc indispensable de l'enregistrer dans la Configuration de démarrage avant de procéder à...
Page 108 Administration Ressources de routage Les options suivantes sont disponibles : Immédiat : permet de redémarrer immédiatement. Date : saisissez la date (mois/jour) et l'heure (heure et minutes) du redémarrage planifié. Vous planifiez ainsi un rechargement du logiciel à l'heure spécifiée (utilisation du mode 24 heures).
Page 109 Administration Ressources de routage Le tableau suivant décrit le nombre d'entrées TCAM utilisées par les différentes fonctions : Entité logique IPv4 IPv6 (TCAM PCL) IPv6 (TCAM routeur) Voisin IP 1 entrée 1 entrée 4 entrées Adresse IP sur une interface 2 entrées 2 entrées 8 entrées...
Page 110 Administration Ressources de routage • Nombre de routes (x entrées TCAM par route) : correspond au nombre de routes enregistrées sur le périphérique et Entrées TCAM représente le nombre d'entrées TCAM du routeur utilisées pour les routes. • Total : affiche le nombre d'entrées TCAM du routeur actuellement utilisées. •...
Page 111 Administration Ressources de routage • Nombre de routes (x entrées TCAM par route) : correspond au nombre de préfixes de liaison enregistrés sur l'appareil et Entrées TCAM représente le nombre d'entrées TCAM utilisées pour les préfixes de liaison. • Total : nombre total d'entrées TCAM utilisées. •...
Page 112 Administration Ressources de routage Enregistrez les nouveaux paramètres en cliquant sur Appliquer. Le système vérifie si les ÉTAPE 2 paramètres des ressources du routage sont possibles. Si l'opération est incorrecte, un message d'erreur s'affiche. Si l'opération est correcte, les paramètres sont copiés dans le fichier de Configuration d'exécution.
Page 113 Administration Détection - Bonjour • Routage en fonction de la stratégie IPv6 En cours d'utilisation : nombre d'entrées TCAM de routeur utilisées pour le routage en fonction de la stratégie IPv6. Maximum : nombre d'entrées TCAM de routeur disponibles pouvant être utilisées pour le routage en fonction de la stratégie IPv6.
Page 114 Administration Localiser le périphérique Localiser le périphérique Cette fonctionnalité permet d'activer tous les voyants de ports réseau sur un périphérique spécifique afin de le localiser physiquement. Elle est utile pour localiser un périphérique dans une pièce comportant de nombreux périphériques interconnectés. Quand cette fonctionnalité est activée, tous les voyants des ports réseau du périphérique clignotent pendant une durée configurée (une minute par défaut).
Page 115 Administration Ping Pour envoyer une requête Ping à un hôte : Cliquez sur Administration > Ping. ÉTAPE 1 Configurez les opérations Ping en renseignant les champs suivants : ÉTAPE 2 • Définition de l'hôte : indiquez si vous souhaitez spécifier l'interface source par son adresse IP ou son nom.
Page 116 Administration Traceroute Cliquez sur Activer Ping pour envoyer une requête Ping à l'hôte. L'état de la requête Ping ÉTAPE 3 apparaît et un message est ajouté à la liste des messages, indiquant le résultat de l'opération Ping. Vous pouvez consulter le résultat de l'opération Ping dans la section Compteurs et état du ÉTAPE 4 ping de la page : •...
Page 117 Administration Traceroute • TTL : entrez le nombre maximal de sauts autorisés par Traceroute. Cela permet d'éviter les situations où la trame envoyée entre dans une boucle sans fin. La commande Traceroute se termine lorsque la destination ou cette valeur est atteinte. Pour utiliser la valeur par défaut (30), sélectionnez Use Default.
Page 118 Administration : Gestion des fichiers Cette section porte sur la gestion des fichiers système. Les sujets suivants sont traités : • Fichiers système • Opérations du microprogramme • Opérations de fichiers • Répertoire de fichiers • Configuration/mise à jour automatique de l'image DHCP Fichiers système Les fichiers système contiennent des informations telles que des informations de configuration ou des images du microprogramme.
Page 119 Administration : Gestion des fichiers Fichiers système Fichiers et types de fichiers Les types de fichiers présents sur le périphérique sont les suivants : • Configuration d'exécution : paramètres de fonctionnement actuellement utilisés par l'appareil. Ce fichier est modifié lorsque vous changez des valeurs de paramètre sur ce périphérique.
Page 120 Administration : Gestion des fichiers Opérations du microprogramme • Fichier de langue : dictionnaire qui permet d'afficher les fenêtres de l'utilitaire de configuration Web dans la langue sélectionnée. • Fichier de journalisation : messages SYSLOG stockés dans la mémoire Flash. Opérations du microprogramme La page Firmware Operations (Opérations du microprogramme) peut être utilisée pour : •...
Page 121 Administration : Gestion des fichiers Opérations du microprogramme Procédure de mise à jour ou de sauvegarde du microprogramme via HTTP/HTTPS ou USB : Cliquez sur Administration > Gestion des fichiers > Opérations du microprogramme. ÉTAPE 1 Les champs suivants s'affichent : •...
Page 122 Administration : Gestion des fichiers Opérations du microprogramme Définition du serveur par adresse : • Version IP : indiquez si une adresse IPv4 ou IPv6 est utilisée pour le serveur. • Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6). Les options sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une liaison de réseau unique.
Page 123 Administration : Gestion des fichiers Opérations du microprogramme Pour activer l'authentification du serveur SSH (qui est désactivée par défaut), cliquez sur Edit ÉTAPE 3 (Modifier) dans Remote SSH Server Authentication (Authentification du serveur SSH distant). Vous accédez à la page Authentification du serveur SSH afin de configurer le serveur SSH.
Page 124 Administration : Gestion des fichiers Opérations du microprogramme • Server IP Address/Name (Nom/Adresse IP du serveur TFTP) : saisissez l'adresse IP ou le nom de domaine du serveur SCP en fonction des informations requises. • (Mise à jour) Source : saisissez le nom du fichier source. •...
Page 125 Administration : Gestion des fichiers Opérations de fichiers Opérations de fichiers Les fonctions disponibles sur la page File Operations (Opérations de fichiers) sont les suivantes : • Sauvegarde de fichiers de configuration ou de journaux depuis l'appareil vers un périphérique externe. •...
Page 126 Administration : Gestion des fichiers Opérations de fichiers • D'un fichier de sauvegarde sur la configuration d'exécution ou la configuration de démarrage • De la configuration miroir sur la configuration d'exécution, la configuration de démarrage ou tout autre fichier de sauvegarde Les sections suivantes décrivent ces opérations.
Page 127 Administration : Gestion des fichiers Opérations de fichiers Définition du serveur par adresse : Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6. Si le serveur est sélectionné par son nom dans la définition de serveur, il est inutile de sélectionner les options relatives à...
Page 128 Administration : Gestion des fichiers Opérations de fichiers Revenez à cette page. ÉTAPE 4 Sélectionnez l'une des méthodes suivantes pour effectuer l'authentification du client SSH : ÉTAPE 5 • Utiliser les informations d'identification système du client SSH : définit les informations d'identification permanentes de l'utilisateur SSH.
Page 129 Administration : Gestion des fichiers Opérations de fichiers Procédure de sauvegarde d'un fichier de configuration système via HTTP/HTTPS : Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers. ÉTAPE 1 Renseignez les champs suivants : ÉTAPE 2 • Type d'opération : sélectionnez Sauvegarder le fichier.
Page 130 Administration : Gestion des fichiers Opérations de fichiers • Sensitive Data Handling (Gestion des données confidentielles) : choisissez la méthode d'inclusion des données confidentielles dans le fichier de sauvegarde. Les options suivantes sont disponibles : Exclure : ne pas inclure les données sensibles à la sauvegarde. Encrypt (Chiffrer) : inclure les données sensibles dans la sauvegarde, mais en les chiffrant.
Page 131 Administration : Gestion des fichiers Opérations de fichiers Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les options sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une liaison de réseau unique.
Page 132 Administration : Gestion des fichiers Opérations de fichiers Pour plus d'informations, consultez la rubrique Authentification des utilisateurs SSH. ÉTAPE 3 Renseignez ensuite les champs suivants : • Authentification du serveur SSH distant : pour activer l'authentification du serveur SSH (qui est désactivée par défaut), cliquez sur Modifier. Vous serez dirigé vers la page Authentification du serveur SSH pour procéder à...
Page 133 Administration : Gestion des fichiers Opérations de fichiers • Server IP Address/Name (Nom/Adresse IP du serveur) : saisissez l'adresse IP ou le nom du serveur SCP. • Destination : saisissez le nom du fichier de sauvegarde. • Sensitive Data Handling (Gestion des données confidentielles) : choisissez la méthode d'inclusion des données confidentielles dans le fichier de sauvegarde.
Page 134 Administration : Gestion des fichiers Répertoire de fichiers Répertoire de fichiers La page File Directory (Répertoire de fichiers) répertorie les fichiers système présents dans le système. Si la pile contient plusieurs unités, les fichiers affichés proviennent de l'unité principale. REMARQUE Cliquez sur Administration >...
Page 135 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP Configuration/mise à jour automatique de l'image DHCP La fonctionnalité de configuration/mise à jour automatique de l'image constitue un moyen pratique de configurer automatiquement des commutateurs dans un réseau et de mettre à jour leur microprogramme.
Page 136 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP Le processus de configuration automatique prend en charge le téléchargement de fichiers de configuration contenant des informations sensibles telles que des clés de serveur RADIUS et des clés SSH/SSL, via l'utilisation du protocole de sécurité SCP (Secured Copy Protocol) et de la fonctionnalité...
Page 137 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP Les paramètres d'authentification du client SSH peuvent également être utilisés lors du REMARQUE téléchargement manuel d'un fichier (c.-à-d., un téléchargement effectué sans exploiter la fonctionnalité de configuration/mise à jour automatique de l'image DHCP). Processus de configuration/mise à...
Page 138 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP • Lors de l'utilisation du protocole TFTP, des messages SYSLOG sont générés par le processus de copie. Démarrage de la configuration automatique • Le périphérique utilise le nom/l'adresse du serveur TFTP/SCP ainsi que le nom/chemin du fichier de configuration (options DHCPv4 : 66, 150 et 67, options DHCPv6 : 59 et 60), le cas échéant, dans le message DHCP reçu.
Page 139 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP • Dans le cas d'un téléchargement via SCP, l'appareil accepte n'importe quel serveur SCP/SSH spécifié (sans authentification), si l'un des cas suivants se présente : L'authentification du serveur SSH est désactivée. Par défaut, l'authentification du serveur SSH est désactivée pour permettre le téléchargement d'un fichier de configuration pour les périphériques disposant d'une configuration d'origine (par exemple, des appareils prêts à...
Page 140 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP Lorsque des messages DHCPv6 sont reçus du serveur (p. ex., lorsque vous appuyez sur le bouton de redémarrage d'une page d'interfaces IPv6. Lorsque des informations DHCPv6 sont actualisées par l'appareil. Lorsque le client DHCPv6 sans état est activé...
Page 141 2. Créez un fichier indirect contenant un chemin d'accès ainsi que le nom de la version du microprogramme (indirect-cisco.txt, par exemple, qui contient cisco\cisco-version.ros). 3. Copiez ce fichier indirect dans le répertoire principal du serveur TFTP/SCP. Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 142 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP Serveur DHCP Configurez le serveur DHCP avec les options suivantes • DHCPv4 : option 125 (nom de fichier indirect) • DHCPv6 : options 60 (nom du fichier de configuration, ainsi que le nom du fichier image indirect, séparés par une virgule) Workflow du client DHCP Définissez les paramètres de configuration automatique et/ou de mise à...
Page 143 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP TFTP uniquement : choisissez cette option pour indiquer que seul le protocole TFTP doit être utilisé pour la configuration automatique. SCP uniquement : choisissez cette option pour indiquer que seul le protocole SCP doit être utilisé...
Page 144 à utiliser. Il s'agit d' chemin d'accès à l'image . Exemple de nom de fichier image indirect : indirect- cisco.scp. Ce fichier contient le chemin d'accès et le nom de l'image du microprogramme. Les champs suivants s'affichent : •...
Page 145 Administration : Gestion des fichiers Configuration/mise à jour automatique de l'image DHCP Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 146 Administration : Gestion des piles Cette section décrit la façon dont les piles sont gérées. Elle couvre les sujets suivants : L'empilage n'est pris en charge que sur les appareils des gammes SG350 (sauf le modèle Sx350) REMARQUE et SG550.
Page 147 Administration : Gestion des piles Vue d'ensemble Les périphériques (ou unités) d'une même pile sont connectées via des ports de pile. Ces périphériques sont alors gérés collectivement en tant qu'appareil logique unique. Dans certains cas, les ports de pile peuvent devenir membres d'une pile de LAG (Link Aggregation Group, groupe d'agrégation de liaisons), ce qui augmente la bande passante des interfaces de pile.
Page 148 Administration : Gestion des piles Types d'unités dans une pile Un processus appelé Basculement rapide de la liaison de pile (Fast Stack Link Failover) est pris en charge sur les ports d'une pile en chaîne, afin de réduire la durée de la perte des paquets de données lorsque l'un des ports de pile échoue. Jusqu'à...
Page 149 Administration : Gestion des piles Topologie de la pile • ID d'unité 6 : la LED 2 et la LED 4 sont allumées pour identifier l'unité 7. • ID d'unité 7 : la LED 3 et la LED 4 sont allumées pour identifier l'unité 7. •...
Page 150 Administration : Gestion des piles Affectation d'ID d'unité Une topologie en anneau est plus fiable qu'une topologie en chaîne. L'échec d'une liaison dans un anneau n'affecte pas le fonctionnement de la pile, alors que l'échec d'une liaison dans une connexion en chaîne peut entraîner la division de la pile. Détection de la topologie Une pile est établie par un processus appelé...
Page 151 Administration : Gestion des piles Affectation d'ID d'unité ID d'unité en double Si vous affectez le même ID d'unité à deux unités distinctes, seule une d'entre elles peut intégrer la pile avec cet ID d'unité. Si la numérotation automatique a été sélectionnée, l'unité dupliquée se voit affecter un nouveau numéro d'unité.
Page 152 Administration : Gestion des piles Processus de sélection de l'unité principale L'illustration suivante présente un exemple dans lequel une des unités dupliquées est renumérotée. Celle qui a l'adresse MAC la plus basse conserve son ID d'unité (reportez-vous à Processus de sélection de l'unité principale pour obtenir une description de ce processus).
Page 153 Administration : Gestion des piles Modifications apportées à la pile • Adresse MAC : si l'ID des deux unités est identique, l'unité ayant l'adresse MAC la plus basse est sélectionnée. Pour qu'une pile fonctionne, elle doit comporter une unité principale. Une unité principale peut REMARQUE être définie comme l'unité...
Page 154 Administration : Gestion des piles Modifications apportées à la pile • Le nombre d'unités dans la pile dépasse le nombre maximal d'unités autorisé. Les nouvelles unités qui viennent de rejoindre la pile sont fermées et un message SYSLOG s'affiche sur l'unité principale. L'illustration suivante présente un exemple de numérotation automatique lorsqu'une unité...
Page 155 Administration : Gestion des piles Échec d'unité dans la pile Échec d'unité dans la pile Cette section inclut les rubriques suivantes : • Échec de l'unité principale • Basculement unité principale/unité de secours • Gestion des unités de secours • Reconnexion de l'unité...
Page 156 Administration : Gestion des piles Échec d'unité dans la pile Basculement unité principale/unité de secours Lorsqu'une unité principale échoue sur la pile, un basculement se produit. L'unité de secours devient l'unité principale et toutes ses piles de processus et de protocoles sont initialisées pour prendre la responsabilité...
Page 157 Administration : Gestion des piles Ports de pile Ports de pile Par défaut, tous les ports sur le périphérique sont des ports réseau (de liaison montante). Pour connecter les unités, vous devez modifier les types de ports à utiliser pour connecter les périphériques en tant que ports de pile.
Page 158 Administration : Gestion des piles Ports de pile • Standby (Réserve) : l'état opérationnel du port de pile est actif et le trafic bidirectionnel peut passer sur le port, mais le port ne peut pas être ajouté à un LAG de pile, et le port ne transmet aucun trafic.
Page 159 Le tableau suivant décrit les types de câbles pris en charge. Ports de pile ou ports réseau Type de connecteur Tous les ports Cisco SFP-H10GB-CU1M – Câble en cuivre passif 1G - 10G Cisco SFP-H10GB-CU3M – Câble en cuivre passif 1G - 10G Cisco SFP-H10GB-CU5M –...
Page 160 Administration : Gestion des piles Synchronisation automatique du logiciel dans la pile Pile hybride En mode Pile hybride, un périphérique SG350X peut être empilé avec un périphérique SG350XG et un périphérique Sx550X peut être empilé avec un périphérique SG550XG. Pour intégrer une unité dans une pile hybride, elle doit d'abord être configurée en mode Hybride.
Page 161 Administration : Gestion des piles Synchronisation automatique du logiciel dans la pile Fonctionnalité/Table SG350X SG350XG Pile hybride Port OOB Non pris en Pris en charge Non pris en charge charge Taille de table MAC 16 000 64 000 16 000 ACL TCAM 1 000 - Réservé...
Page 162 Administration : Gestion des piles Synchronisation automatique du logiciel dans la pile Après sélection d'une unité comme unité principale, celle-ci peut rejeter les demandes de connexion émises par les autres unités si leur mode d'unité de pile n'est pas cohérent. En cas de rejet de l'une des unités pour ce motif, cette unité...
Page 163 Administration : Gestion des piles Gestion des piles Lors du remplacement d'un type d'unité/interface, les fichiers de configuration d'exécution et de démarrage sont modifiés afin d'afficher correctement le type d'interface. Par exemple, en cas de remplacement d'une ancienne unité de type FE avec l'ID d'interface FE1/0/1 par une unité...
Page 164 Administration : Gestion des piles Gestion des piles Vue de l'unité et configuration des ports de pile Lorsque vous cliquez sur un périphérique spécifique dans la vue de topologie de la pile, une représentation graphique du périphérique s'affiche. Un exemple est illustré ci-dessous : Port OOB Port de pile Ports réseau...
Page 165 Administration : Gestion des piles Gestion des piles Cliquez sur Appliquer et redémarrer. Les paramètres sont copiés dans le fichier ÉTAPE 4 Configuration d'exécution et la pile est redémarrée. Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 166 Administration : Paramètres d'heure Les horloges système synchronisées constituent un cadre de référence pour tous les périphériques du réseau. La synchronisation de l'heure du réseau est cruciale, car chaque aspect de la gestion, de la sécurité, de la planification et du débogage d'un réseau implique de déterminer le moment où...
Page 167 Administration : Paramètres d'heure Configuration de l'heure système Configuration de l'heure système L'heure système peut être réglée manuellement par l'utilisateur, définie dynamiquement à partir d'un serveur SNTP ou synchronisée à partir de l'ordinateur qui exécute l'interface utilisateur graphique (GUI). Si un serveur SNTP est choisi, les paramètres d'heure manuels sont écrasés lorsque des communications avec le serveur sont établies.
Page 168 Administration : Paramètres d'heure Modes SNTP Fuseau horaire et heure d'été Le fuseau horaire et l'heure d'été peuvent être définis sur le périphérique comme suit : • Configuration dynamique du périphérique via un serveur DHCP, où : L'heure d'été dynamique, lorsqu'elle est activée et disponible, a toujours la priorité sur la configuration manuelle de l'heure d'été.
Page 169 Administration : Paramètres d'heure Heure système Heure système Utilisez la page Heure système pour sélectionner la source d'heure système. Si la source est manuelle, vous pouvez saisir l'heure à cet endroit. Si l'heure système est définie manuellement et que le périphérique est redémarré, saisissez à PRÉCAUTION nouveau les paramètres d'heure entrés manuellement.
Page 170 Administration : Paramètres d'heure Heure système • Paramètres de fuseau horaire : l'heure locale est utilisée via le serveur DHCP ou l'option Décalage du fuseau horaire. Obtenir le fuseau horaire de DHCP : sélectionnez cette option pour activer la configuration dynamique du fuseau horaire et l'heure d'été à partir du serveur DHCP.
Page 171 Administration : Paramètres d'heure SNTP monodiffusion Sélectionnez Récurrent pour personnaliser différemment le début et la fin de l'heure d'été : ÉTAPE 3 • De : date à laquelle l'heure d'été commence chaque année. Day : jour de la semaine au cours duquel l'heure d'été débute chaque année. Semaine : semaine du mois au cours de laquelle l'heure d'été...
Page 172 Administration : Paramètres d'heure SNTP monodiffusion • Interface source IPv4 : sélectionnez l'interface IPv4 dont l'adresse IPv4 sera utilisée comme adresse IPv4 source dans les messages utilisés pour les communications avec le serveur SNTP. • Interface source IPv6 : sélectionnez l'interface IPv6 dont l'adresse IPv6 sera utilisée comme adresse IPv6 source dans les messages utilisés pour les communications avec le serveur SNTP.
Page 173 Administration : Paramètres d'heure SNTP monodiffusion Pour ajouter un serveur de monodiffusion SNTP, activez Client SNTP monodiffusion. ÉTAPE 3 Cliquez sur Ajouter. ÉTAPE 4 Pour supprimer tous les serveurs SNTP définis par l'utilisateur, cliquez REMARQUE sur Restore Default Servers (Restaurer les serveurs par défaut). Saisissez les paramètres suivants : ÉTAPE 5 •...
Page 174 Administration : Paramètres d'heure SNTP multidestination/pluridiffusion • ID de clé d'authentification : si l'authentification est activée, sélectionnez la valeur de l'ID de clé. Créez des clés d'authentification à l'aide de la page Authentification SNTP. Cliquez sur Appliquer. Le serveur SNTP est ajouté et vous retournez à la page principale. ÉTAPE 6 SNTP multidestination/pluridiffusion Le périphérique peut être en mode actif et/ou passif.
Page 175 Administration : Paramètres d'heure Authentification SNTP Authentification SNTP Les clients SNTP peuvent authentifier les réponses à l'aide de HMAC-MD5. Un serveur SNTP est associé à une clé, qui est utilisée en guise d'entrée de la fonction MD5 avec la réponse elle- même, le résultat de la fonction MD5 étant également inclus dans le paquet de réponse.
Page 176 Administration : Paramètres d'heure Plage horaire • Clé de confiance : sélectionnez cette option pour recevoir les informations de synchronisation uniquement à partir d'un serveur SNTP utilisant cette clé d'authentification. Cliquez sur Appliquer. Les paramètres d'authentification SNTP sont écrits dans le fichier de ÉTAPE 6 Configuration d'exécution.
Page 177 Administration : Paramètres d'heure Plage horaire La fonction Période permet d'effectuer les tâches suivantes : • Limiter l'accès des ordinateurs au réseau aux horaires de travail (par exemple) : par la suite, les ports réseau sont ainsi verrouillés et l'accès au reste du réseau est bloqué (voir Paramètres des ports Agrégation de liaisons).
Page 178 Administration : Paramètres d'heure Période récurrente Période récurrente Il est possible d'ajouter un élément de temps récurrent à une période absolue. Cela limite l'opération à certaines périodes au sein de la plage absolue. Pour ajouter un élément de période récurrent à une période absolue : Cliquez sur Administration >...
Page 179 Administration : Paramètres d'heure Période récurrente Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 180 Administration : Détection Cette section fournit des informations sur la configuration de la détection. Elle couvre les rubriques suivantes : • Bonjour • LLDP et CDP • Détection - LLDP • Détection - CDP Bonjour En tant que client Bonjour, le périphérique diffuse périodiquement des paquets de protocole de détection Bonjour vers un ou plusieurs sous-réseaux IP à...
Page 181 LLDP et CDP LLDP (Link Layer Discovery Protocol) et CDP (Cisco Discovery Protocol) sont des protocoles de couche de liaison permettant aux voisins LLDP et CDP à connexion directe de s'annoncer et de notifier leurs fonctionnalités. Par défaut, le périphérique envoie régulièrement une annonce LLDP/CDP à...
Page 182 Administration : Détection LLDP et CDP • Si CDP/LLDP est globalement désactivé, le périphérique peut être configuré pour ignorer l'inondation tenant compte du VLAN, ou l'inondation ne tenant pas compte du VLAN, de tous les paquets CDP/LLDP entrants. L'inondation tenant compte du VLAN transmet un paquet CDP/LLDP entrant au VLAN où...
Page 183 Administration : Détection Détection - LLDP Détection - LLDP Cette section explique comment configurer LLDP. Elle couvre les rubriques suivantes : • Présentation de LLDP • Flux de travail de configuration de LLDP • Propriétés LLDP • Paramètres des ports •...
Page 184 Administration : Détection Détection - LLDP Flux de travail de configuration de LLDP Voici des exemples d'actions qu'il est possible de réaliser avec la fonction LLDP, dans l'ordre suggéré. Pour obtenir des instructions supplémentaires sur la configuration de LLDP, reportez- vous à...
Page 185 Administration : Détection Détection - LLDP • Intervalle de notification SNMP de changement de topologie : saisissez le délai minimal entre deux notifications SNMP. • Multiplicateur de conservation : saisissez la durée de conservation des paquets LLDP avant leur élimination, en multiples de l'intervalle d'annonce TLV. Par exemple, si l'intervalle d'annonce TLV est de 30 secondes et que le multiplicateur de conservation (Hold Multiplier) est 4, les paquets LLDP seront supprimés après 120 secondes.
Page 186 Administration : Détection Détection - LLDP Pour définir les paramètres des ports LLDP : Cliquez sur Administration > Détection - LLDP > Paramètres des ports. ÉTAPE 1 Cette page affiche les informations LLDP des ports. Sélectionnez un port, puis cliquez sur Modifier. ÉTAPE 2 Cette page contient les champs suivants : •...
Page 187 Alimentation à 4 fils via MDI : (concerne les ports PoE prenant en charge un PoE de 60 watts) TLV conçue par Cisco pour prendre en charge l'alimentation PoE (Power over Ethernet) qui fournit 60 watts (de série, vous ne bénéficiez que de 30 watts).
Page 188 Administration : Détection Détection - LLDP VLAN et protocole 802.1 • PVID : sélectionnez cette option pour annoncer le PVID dans la TLV. • Port and Protocol VLAN ID : ID VLAN du port et du protocole. • ID VLAN : sélectionnez les VLAN qui feront l'objet d'une annonce. •...
Page 189 Administration : Détection Détection - LLDP • Envoyer du trafic voix sur le VLAN 10 en tant que paquet balisé et avec 802.1p priorité 5 • Envoyer du trafic voix avec DSCP 46 Vous pouvez associer des stratégies réseau aux ports à l'aide de la page Paramètres des ports LLDP MED.
Page 190 Administration : Détection Détection - LLDP Cliquez sur Appliquer. La stratégie réseau est définie. ÉTAPE 6 Vous devez configurer manuellement les interfaces, afin d'inclure les REMARQUE stratégies réseau définies manuellement pour les paquets LLDP sortants, via la page Paramètres des ports LLDP-MED. Paramètres des ports LLDP MED La page Paramètres des ports LLDP-MED permet de sélectionner les TLV LLDP-MED et/ou les stratégies réseau à...
Page 191 Administration : Détection Détection - LLDP Configurez les paramètres suivants : ÉTAPE 4 • Interface : sélectionnez l'interface à configurer. • État LLDP MED : activez/désactivez LLDP MED sur ce port. • Notification SNMP : indiquez si la notification SNMP doit être envoyée, port par port, lorsqu'une station de travail prenant en charge MED est détectée (un système de gestion SNMP, par exemple), lors d'un changement de topologie.
Page 192 Administration : Détection Détection - LLDP État des ports LLDP La page LLDP Port Status (État des ports LLDP) contient des informations globales LLDP pour chaque port. Pour afficher l'état des ports LLDP, cliquez sur Administration > Détection - LLDP > État ÉTAPE 1 des ports LLDP.
Page 193 Administration : Détection Détection - LLDP • Remote PoE (Power Type, Power Source, Power Priority, Power Value) (PoE distant [Type d'alimentation, Source d'alimentation, Priorité d'alimentation]) : informations PoE annoncées par le voisin. • # of neighbors : nombre de voisins détectés. •...
Page 194 Administration : Détection Détection - LLDP Management Address (adresse de gestion) Affiche la table d'adresses de l'agent LLDP local. D'autres gestionnaires distants peuvent utiliser cette adresse pour obtenir des informations sur le périphérique local. Cette adresse est constituée des éléments suivants : •...
Page 195 Administration : Détection Détection - LLDP Alimentation 802.3 via MDI • Classe de port de prise en charge de l'alimentation MDI : classe de port annoncée pour la prise en charge de l'alimentation. • Prise en charge de l'alimentation MDI PSE : indique si l'alimentation MDI est prise en charge sur le port.
Page 196 Administration : Détection Détection - LLDP Alimentation à 4 fils via MDI • Prise en charge de PoE à 4 paires : indique que le système et le port prennent en charge les câbles à 4 paires (uniquement pour les ports spécifiques qui disposent de cette capacité...
Page 197 Administration : Détection Détection - LLDP • Manufacturer Name : nom du fabricant du périphérique. • Model Name : nom du modèle de périphérique. • Asset ID : ID de la ressource. Location Information (informations sur l'emplacement) • Physique : adresse postale. •...
Page 198 Administration : Détection Détection - LLDP Pour afficher les informations LLDP des voisins : Cliquez sur Administration > Détection - LLDP > Informations de voisinage LLDP. ÉTAPE 1 Sélectionnez l'interface pour laquelle les informations de voisinage LLDP doivent être ÉTAPE 2 affichées.
Page 199 Administration : Détection Détection - LLDP • Description du système : description de l'entité réseau, au format alphanumérique. Inclut le nom du système et la version du matériel, le système d'exploitation et les logiciels réseau pris en charge par le périphérique. Cette valeur est identique à l'objet sysDescr.
Page 200 Administration : Détection Détection - LLDP • Capacité de contrôle des paires d'alimentation PSE : indique si le contrôle des paires d'alimentation est pris en charge sur le port. • Paire d'alimentation PSE : type de contrôle des paires d'alimentation pris en charge sur le port.
Page 201 Administration : Détection Détection - LLDP 802.3 Energy Efficient Ethernet (EEE) • Émission à distance : durée (en microsecondes) pendant laquelle le partenaire de liaison effectuant la transmission attend avant de commencer la transmission des données après avoir quitté le mode LPI (Low Power Idle). •...
Page 202 Administration : Détection Détection - LLDP • Serial Number : numéro de série du périphérique. • Manufacturer Name : nom du fabricant du périphérique. • Model Name : nom du modèle de périphérique. • Asset ID : ID de la ressource. VLAN et protocole 802.1 •...
Page 203 Administration : Détection Détection - LLDP Network Policy Table (table des stratégies réseau) • Type d'application : type d'application de la stratégie réseau. Exemple : Voix. • VLAN ID : ID du VLAN pour lequel la stratégie réseau est définie. •...
Page 204 Administration : Détection Détection - LLDP Cliquez sur Actualiser pour afficher les statistiques les plus récentes. ÉTAPE 2 Surcharge LLDP LLDP ajoute des informations telles que des TLV LLDP et LLDP MED dans les paquets LLDP. La surcharge LLDP se produit lorsque la quantité totale d'informations à inclure dans un paquet LLDP dépasse la taille PDU maximale prise en charge par une interface.
Page 205 Administration : Détection Détection - LLDP • LLDP MED Location (emplacement LLDP MED) Taille (octets) : taille totale des paquets d'emplacement LLDP MED, en octets. État : indique si les paquets d'emplacement LLDP MED ont été envoyés ou si une surcharge est survenue.
Page 206 Statistiques CDP Propriétés CDP Comme LLDP, CDP (Cisco Discovery Protocol) est un protocole de couche de liaison permettant aux voisins à connexion directe de s'annoncer et de notifier mutuellement leurs fonctionnalités. Contrairement à LLDP, CDP est un protocole appartenant à Cisco.
Page 207 Administration : Détection Détection - CDP Pour saisir les paramètres généraux CDP : Cliquez sur Administration > Détection - CDP > Propriétés. ÉTAPE 1 Saisissez les paramètres. ÉTAPE 2 • État CDP : sélectionnez cette option pour activer CDP sur le périphérique. •...
Page 208 Administration : Détection Détection - CDP • Format d'ID de périphérique : sélectionnez le format de l'ID de périphérique (adresse MAC ou numéro de série). Les options suivantes sont disponibles : Adresse MAC : utilisez l'adresse MAC du périphérique comme ID de périphérique. Numéro de série : utilisez le numéro de série du périphérique comme ID de périphérique.
Page 209 Administration : Détection Détection - CDP En définissant ces propriétés, il est possible de sélectionner les types d'informations à fournir aux périphériques qui prennent en charge le protocole LLDP. Vous pouvez sélectionner les TLV LLDP MED à annoncer sur la page Paramètres des ports LLDP MED.
Page 210 Administration : Détection Détection - CDP • Non-concordance VLAN natif Syslog : cochez cette option pour permettre l'envoi d'un message SYSLOG lorsqu'une non-concordance VLAN natif est détectée. Cela signifie que les informations de VLAN natif dans la trame entrante ne correspondent pas à...
Page 211 Administration : Détection Détection - CDP • Capabilities TLV (TLV des fonctionnalités) Fonctionnalités : fonctionnalités annoncées dans la TLV de port. • Version TLV (TLV de la version) Version : informations sur la version logicielle sous laquelle le périphérique fonctionne. •...
Page 212 Administration : Détection Détection - CDP • TLV d'alimentation disponible ID de demande : l'ID de dernière demande d'alimentation reçu correspond au dernier champ ID de demande reçu dans une TLV de demande d'alimentation. Sa valeur est 0 si aucune TLV de demande d'alimentation n'a été reçue depuis le dernier passage de l'interface vers l'état activé...
Page 213 Administration : Détection Détection - CDP Pour afficher les informations de voisinage CDP : Cliquez sur Administration > Détection - CDP > Informations de voisinage CDP. ÉTAPE 1 Pour sélectionner un filtre, cochez la case Filtre, sélectionnez une interface locale et cliquez ÉTAPE 2 sur OK.
Page 214 Administration : Détection Détection - CDP • Plate-forme : identificateur de la plate-forme des voisins. • Neighbor Interface : numéro d'interface du voisin via lequel la trame a été reçue. • VLAN natif : VLAN natif du voisin. • Application : nom de l'application qui s'exécute sur le voisin. •...
Page 215 Administration : Détection Détection - CDP Détection des paires de rechange/Classification requise : indique qu'un câble à 4 paires est nécessaire. État voulu de la paire de rechange de l'appareil alimenté : indique qu'un appareil alimenté demande à activer la fonctionnalité 4 paires. État opérationnel de la paire de rechange de l'appareil alimenté...
Page 216 Administration : Détection Détection - CDP • Voisinages supérieurs au maximum : nombre de fois que les informations de paquet n'ont pas pu être stockées dans le cache en raison d'un manque d'espace disponible. Pour effacer tous les compteurs sur toutes les interfaces, cliquez sur Effacer tous les ÉTAPE 2 compteurs de l'interface.
Page 217 Administration : Détection Détection - CDP Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 218 Gestion des ports Cette section décrit la configuration des ports, l'agrégation de liaisons et la fonction Green Ethernet. Elle couvre les sujets suivants : • Flux de travail • Paramètres des ports • Paramètres de reprise après erreur • Paramètres de détection de bouclage •...
Page 219 Gestion des ports Paramètres des ports 6. Configurez le mode d'économie d'énergie Green Ethernet et 802.3 Energy Efficient Ethernet pour chaque port, via la page Paramètres des ports. 7. Si l'alimentation PoE est prise en charge et activée sur le périphérique, configurez ce dernier en suivant les instructions de la section Gestion des ports : PoE.
Page 220 Gestion des ports Paramètres des ports Pour mettre à jour les paramètres des ports, sélectionnez le port voulu et cliquez sur Modifier. ÉTAPE 4 Modifiez les paramètres suivants : ÉTAPE 5 • Interface : sélectionnez le numéro du port. • Port Description : saisissez le nom défini par l'utilisateur pour ce port ou un commentaire.
Page 221 Gestion des ports Paramètres des ports • Négociation automatique : sélectionnez cette option pour activer la négociation automatique sur le port. La négociation automatique permet à un port d'annoncer sa vitesse de transmission, son mode duplex et ses fonctions de contrôle de flux à son partenaire de liaison.
Page 222 Gestion des ports Paramètres des ports 1000 Duplex intégral : débit de 1 000 Mbit/s et mode Duplex intégral. 2500 Duplex intégral : le LAG annonce un débit de 2 500 Mbit/s et le mode est Duplex intégral. Cette option n'est prise en charge que sur les appareils de la gamme 550.
Page 223 Gestion des ports Paramètres des ports Les options sont les suivantes : MDIX : sélectionnez cette option pour permuter les paires d'émission et de réception du port. MDI : sélectionnez cette option pour relier ce périphérique à une station de travail via un câble droit.
Page 224 Gestion des ports Paramètres de reprise après erreur Paramètres de reprise après erreur Cette page permet de réactiver automatiquement un port qui a été fermé en raison d'une condition d'erreur à l'issue de l'intervalle de récupération automatique. Pour configurer les paramètres de reprise sur erreur : Cliquez sur Gestion des ports >...
Page 225 Gestion des ports Paramètres de détection de bouclage Pour réactiver manuellement un port : Cliquez sur Gestion des ports > Paramètres de reprise après erreur. ÉTAPE 1 La liste des interfaces désactivées et leur Motif de la suspension s'affichent. Sélectionnez l'interface que vous souhaitez réactiver. ÉTAPE 2 Cliquez sur Réactiver.
Page 226 Gestion des ports Paramètres de détection de bouclage • L'état opérationnel du port est actif. • Le port se trouve dans l'état STP de redirection ou désactivé (état de redirection d'instance MSTP, instance 0). Les trames LBD sont transmises sur la file d'attente de priorité la plus élevée sur les ports LBD actifs (avec les LAG, le paquet LBD est transmis sur chaque membre de port actif dans le LAG).
Page 227 Gestion des ports Agrégation de liaisons Pour configurer la détection du bouclage : Cliquez sur Gestion des ports > Paramètres de détection du bouclage. ÉTAPE 1 Sélectionnez Activer dans le champ global Détection de bouclage afin d'activer cette fonction. ÉTAPE 2 Entrez l'intervalle de détection.
Page 228 Gestion des ports Agrégation de liaisons Présentation de l'agrégation de liaisons Le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation de liaisons) fait partie de la spécification IEEE (802.3az) qui vous permet de regrouper plusieurs ports physiques en un seul canal logique (LAG). Les LAG multiplient la bande passante, augmentent la souplesse des ports et établissent une redondance de liaisons entre deux périphériques.
Page 229 Gestion des ports Agrégation de liaisons Gestion des LAG En général, un LAG est traité par le système comme étant un seul port logique. En particulier, le LAG comporte des attributs semblables à ceux d'un port unique, notamment son état et son débit.
Page 230 Gestion des ports Agrégation de liaisons Pour configurer un LAG dynamique, procédez comme suit : 1. Activez le protocole LACP sur le LAG. Affectez jusqu'à 16 ports candidats au LAG dynamique. Pour ce faire, sélectionnez les ports et déplacez-les de la liste des ports vers la liste des membres du LAG, sur la page Gestion des LAG.
Page 231 Gestion des ports Agrégation de liaisons Entrez les valeurs des champs suivants : ÉTAPE 2 • LAG : sélectionnez le numéro du LAG. • Nom du LAG : saisissez le nom du LAG ou un commentaire. • LACP : sélectionnez cette option pour activer LACP sur le LAG sélectionné. Ceci en fait un LAG dynamique.
Page 232 Gestion des ports Agrégation de liaisons • Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la génération des interceptions SNMP notifiant que l'état du lien des ports a subi des modifications dans le LAG. • Période : sélectionnez pour activer la période pendant laquelle le port est à l'état Actif. Lorsque la période n'est pas active, le port est à...
Page 233 Gestion des ports Agrégation de liaisons 5000 Duplex intégral : le LAG annonce un débit de 5 000 Mbit/s et le mode est Duplex intégral. Cette option n'est prise en charge que sur les appareils de la gamme 550. 10000 Duplex intégral : le LAG annonce un débit de 10 000 Mbit/s et le mode est Duplex intégral.
Page 234 Gestion des ports Agrégation de liaisons Un LAG dynamique peut comporter jusqu'à 16 ports Ethernet du même type. Huit ports au maximum peuvent être actifs et huit ports au maximum peuvent être en mode de réserve. Si un LAG dynamique comprend plus de huit ports, le périphérique situé du côté qui contrôle la liaison applique les priorités de port pour déterminer les ports agrégés dans le LAG et ceux qui restent en mode de réserve à...
Page 235 Gestion des ports UDLD Paramètres LACP Utilisez la page LACP pour configurer les ports candidats au LAG et pour configurer les paramètres LACP pour chaque port. Lorsque tous les facteurs sont égaux, si le LAG est configuré avec davantage de ports candidats que le maximum de ports actifs autorisé...
Page 236 Gestion des ports UDLD Présentation de la fonction UDLD UDLD est un protocole de couche 2 qui permet aux périphériques connectés par des câbles Ethernet à fibre optique ou à paire torsadée de détecter des liaisons unidirectionnelles. Une liaison unidirectionnelle est établie lorsque le trafic provenant d'un périphérique de voisinage est reçu par le périphérique local, mais que le trafic issu du périphérique local n'est pas reçu par le voisin.
Page 237 Gestion des ports UDLD UDLD prend en charge les modes de fonctionnement suivants : • Normal Si l'état de liaison du port est déterminé être bidirectionnel et que les informations UDLD expirent alors que la liaison sur le port fonctionne toujours, UDLD tente de rétablir l'état du port.
Page 238 Instructions d'utilisation Cisco vous recommande de ne pas activer UDLD sur les ports connectés aux périphériques sur lesquels UDLD n'est pas pris en charge ou désactivé. L'envoi de paquets UDLD sur un port connecté à un périphérique qui ne prend pas en charge UDLD génère davantage de trafic sur le port sans offrir d'avantages.
Page 239 Gestion des ports UDLD En outre, tenez compte des éléments suivants lorsque vous configurez UDLD : • Définissez le délai du message selon l'urgence qu'il y a de fermer les ports avec une liaison unidirectionnelle. Plus le délai de message est petit, plus les paquets UDLD envoyés et analysés sont nombreux, mais plus le port est fermé...
Page 240 Gestion des ports UDLD Avant de commencer Aucune tâche préalable n'est requise. Tâches UDLD courantes Cette section décrit quelques tâches courantes permettant de configurer UDLD. pour activer globalement UDLD sur les ports fibre, procédez comme Flux de travail 1 : suit : Ouvrez la page Paramètres globaux...
Page 241 Gestion des ports UDLD Configuration de UDLD La fonction UDLD peut être configurée pour tous les ports fibre à la fois (sur la page Paramètres globaux UDLD) ou pour chaque port (sur la page Paramètres d'interface UDLD). Paramètres globaux UDLD L'État UDLD par défaut du port fibre s'applique uniquement aux ports fibre.
Page 242 Gestion des ports UDLD Pour configurer UDLD sur une interface : Cliquez sur Gestion des ports > UDLD > Paramètres d'interface UDLD. ÉTAPE 1 Les informations sont affichées pour tous les ports sur lesquels UDLD est activé. Toutefois, si vous avez effectué un filtrage sur un groupe de ports spécifique, les informations sont affichées pour ce groupe de ports uniquement.
Page 243 Gestion des ports UDLD Pour modifier l'état UDLD d'un port spécifique, sélectionnez-le et cliquez sur Modifier. ÉTAPE 2 Modifiez la valeur de l'état UDLD. Si vous sélectionnez Default (Par défaut), le port reçoit la ÉTAPE 3 valeur du paramètre Fiber Port UDLD Default State (État UDLD par défaut du port fibre) définie sur la page Paramètres globaux UDLD.
Page 244 Gestion des ports • Délai d'expiration du voisin (s) : indique le délai à respecter avant que le périphérique tente de déterminer l'état UDLD du port. Il correspond à trois fois le délai de message. • Heure du message du voisin (s) : indique le délai entre les messages UDLD. Cette section décrit comment utiliser la fonctionnalité...
Page 245 Gestion des ports PoE peut être utilisé dans tout réseau d'entreprise déployant des appareils de puissance relativement faible connectés au LAN Ethernet et notamment : • les téléphones IP ; • les points d'accès sans fil ; • les passerelles IP ; •...
Page 246 Gestion des ports Pour les appareils PSE 60 W PoE, les types de ports PSE sont les suivants : Appareils à 24 ports Appareils à 48 ports 4 ports 60 W PoE, 20 ports AT 8 ports 60 W PoE, 40 ports AT 8 ports 60 W PoE, 16 ports AT 16 ports 60 W PoE, 32 ports AT La fonctionnalité...
Page 247 Gestion des ports Nom de la référence Appareil alimenté PoE AT/ PSE PoE AF/AT AF/60 W PoE SG350-28P AT/AF/60 W PoE SG350-28MP AT/AF/60 W PoE SG350-52P AT/AF/60 W PoE SG350-52MP AT/AF/60 W PoE SG350X-24P AT/AF/60 W PoE SG350X-24MP AT/AF/60 W PoE SG350X-48P AT/AF/60 W PoE SG350X-48MP...
Page 248 Gestion des ports Nom de la référence Appareil alimenté PoE AT/ PSE PoE AF/AT AF/60 W PoE SG550X-48P AT/AF/60 W PoE SG550X-48MP AT/AF/60 W PoE Considérations relatives à la configuration PoE Veuillez tenir compte des points suivants lors de la configuration de PoE : •...
Page 249 Gestion des ports Propriétés PoE Cette section concerne uniquement les appareils prenant en charge la fonctionnalité PoE. REMARQUE La page Propriétés PoE permet de sélectionner le mode PoE Limite du port ou Limite de classe, et de spécifier les filtres PoE à générer. Ces paramètres sont saisis à...
Page 250 Gestion des ports • Puissance disponible : puissance nominale moins la quantité d'énergie consommée. • Puces PSE et révision matérielle : numéro de révision du matériel et des puces PoE. Cliquez sur Appliquer pour enregistrer les propriétés PoE. ÉTAPE 3 Paramètres La page Paramètres affiche les informations PoE système sur l'activation de PoE sur les interfaces, la surveillance de la consommation actuelle et la limite maximale de puissance par...
Page 251 Gestion des ports Pour configurer les paramètres de limite du port PoE : Cliquez sur Gestion des ports > PoE > Paramètres. ÉTAPE 1 Les ports sont affichés avec les informations PoE appropriées. Ces champs sont décrits sur la page Modifier, sauf les champs suivants : •...
Page 252 Gestion des ports • Protocole de négociation de la puissance : protocole qui détermine la puissance négociée. • Consommation électrique : affiche la puissance (en milliwatts) affectée sous Paramètres (Limite de classe). • Classe : affiche la classe de puissance générée. La page Paramètres (Limite de classe) affiche les informations PoE système sur l'activation de PoE sur les interfaces, la surveillance de la consommation actuelle et la limite maximale de puissance par port.
Page 253 Gestion des ports Renseignez le champ suivant : ÉTAPE 3 • Interface : sélectionnez le port à configurer. • État administratif : permet d'activer ou de désactiver PoE sur le port. • Période : sélectionnez cette option pour spécifier la période d'activation de la fonctionnalité...
Page 254 Gestion des ports • Protocole de négociation de la puissance : protocole qui détermine la puissance négociée. Cliquez sur Appliquer. Les paramètres PoE du port sont consignés dans le fichier de ÉTAPE 4 Configuration d'exécution. Statistiques Cette page présente les tendances en matière de consommation électrique, c'est-à-dire la consommation électrique moyenne au fil du temps.
Page 255 Gestion des ports • Consommation moyenne au cours de la dernière semaine : moyenne de toutes les mesures de consommation PoE au cours de la dernière semaine. Compteurs d'événements PoE • Compteur de surcharges : nombre de conditions de surcharge détectées. •...
Page 256 Gestion des ports Green Ethernet • Afficher les statistiques de toutes les interfaces : affiche les statistiques ci-dessus pour toutes les interfaces sous la forme d'un tableau. Indiquez l'intervalle de temps en heures, jours, semaines ou années. • Effacer les compteurs d'événements : efface les compteurs. Green Ethernet Cette section décrit la fonction Green Ethernet qui est conçue pour réduire la consommation d'énergie du périphérique.
Page 257 Gestion des ports Green Ethernet Outre les fonctions Green Ethernet ci-dessus, la fonction 802.3az Energy Efficient Ethernet (EEE) est disponible sur les périphériques prenant en charge les ports GE. EEE réduit la consommation électrique lorsqu'il n'y a pas de trafic sur le port. Pour plus d'informations, reportez-vous à...
Page 258 Gestion des ports Green Ethernet Fonction 802.3az Energy Efficient Ethernet (EEE) Cette section décrit la fonction 802.3az Energy Efficient Ethernet (EEE). Elle couvre les sujets suivants : • Présentation de 802.3az EEE • Négociation des fonctionnalités d'annonce • Détection du niveau de liaison pour 802.3az EEE •...
Page 259 Gestion des ports Green Ethernet Les deux extrémités d'une connexion (le port du périphérique et le périphérique en cours de connexion) doivent prendre en charge 802.3az EEE pour qu'elle fonctionne. Lorsqu'il n'y a aucun trafic, les deux extrémités envoient des signaux indiquant que la consommation va être réduite.
Page 260 Gestion des ports Green Ethernet Interactions entre les fonctions Les interactions de 802.3az EEE avec les autres fonctions sont décrites ci-après : • Si la négociation automatique n'est pas activée sur le port, l'état opérationnel de la fonction 802.3az EEE est désactivé. L'exception à cette règle est que si la vitesse de la liaison est de 1 Go, la fonction EEE est toujours activée même si la négociation automatique est désactivée.
Page 261 Gestion des ports Green Ethernet Pour consulter les informations associées à 802.3az EEE sur l'appareil distant, ouvrez les ÉTAPE 5 pages Informations de voisinage LLDP, puis affichez les informations contenues dans le bloc 802.3 Energy Efficient Ethernet (EEE). Propriétés La page Propriétés affiche et active la configuration du mode Green Ethernet pour le périphérique.
Page 262 Gestion des ports Green Ethernet Paramètres des ports La page Paramètres des ports affiche les modes Green Ethernet et EEE actuels de chaque port, et permet de configurer la fonction Green Ethernet sur un port par l'intermédiaire de la page Modifier le paramètre de port.
Page 263 Gestion des ports Green Ethernet • Courte portée : état du mode Courte portée sur le port : Administratif : indique si le mode Courte portée est activé. Opérationnel : indique si le mode Courte portée est actuellement opérationnel sur le port local.
Page 264 Port intelligent Ce document décrit la fonction Port intelligent. Il contient les rubriques suivantes : • Vue d'ensemble • Fonctionnement de la fonction Port intelligent • Port intelligent automatique • Gestion des erreurs • Configuration par défaut • Relations avec les autres fonctions •...
Page 265 Port intelligent Vue d'ensemble Il y a deux façons d'appliquer une macro Port intelligent par type de port intelligent à une interface : • Port intelligent statique : vous attribuez manuellement un type de port intelligent à une interface. La macro Port intelligent correspondante est alors appliquée à l'interface. •...
Page 266 Port intelligent Vue d'ensemble • Serveur • Hôte • Caméra IP • Téléphone IP • Téléphone IP+Bureau • Commutateur • Routeur • Point d'accès sans fil Les Types de port intelligent sont nommés pour décrire le type d'appareil connecté à une interface.
Page 267 Port intelligent Vue d'ensemble Type de port intelligent Pris en charge par le Port Pris en charge par le Port intelligent automatique intelligent automatique par défaut Invité Serveur Hôte Caméra IP Téléphone IP Téléphone IP de bureau Commutateur Routeur Point d'accès sans fil Types de port intelligent spéciaux Il existe deux types de port intelligent spéciaux : Par défaut et Inconnu.
Page 268 Port intelligent Vue d'ensemble • Inconnu Si une macro Port intelligent est appliquée à une interface et qu'une erreur se produit, l'état Inconnu est attribué à l'interface. Dans ce cas, les fonctions Smartport (Port intelligent) et Auto Smartport (Port intelligent automatique) ne sont pas actives sur l'interface tant que vous n'avez pas corrigé...
Page 269 Port intelligent Vue d'ensemble • Défini par l'utilisateur : ces macros sont écrites par les utilisateurs. Pour plus d'informations, reportez-vous au Guide de référence de l'interface de ligne de commande (CLI). Pour associer une macro définie par l'utilisateur à un Type de port intelligent, vous devez également définir son anti-macro.
Page 270 Port intelligent Fonctionnement de la fonction Port intelligent Échec de la macro et opération de réinitialisation Une macro Port intelligent peut échouer s'il y a un conflit entre la configuration existante de l'interface et une macro Port intelligent. Lorsqu'une macro Port intelligent échoue, un message SYSLOG contenant les paramètres suivants est envoyé...
Page 271 Port intelligent Port intelligent automatique Il y a deux façons d'appliquer une macro Port intelligent par type de port intelligent à une interface : • Port intelligent statique Vous attribuez manuellement un Type de port intelligent à une interface. La macro Port intelligent correspondante est appliquée à...
Page 272 Port intelligent Port intelligent automatique Activation du Port intelligent automatique Le port intelligent automatique peut être activé au niveau global sur la page Propriétés procédant comme suit : • Activé : active manuellement le Port intelligent automatique et le rend opérationnel immédiatement.
Page 273 Port intelligent Port intelligent automatique Utilisation des informations CDP/LLDP pour identifier les Types de port intelligent L'appareil détecte le type d'appareil associé au port, sur la base des fonctionnalités CDP/LLDP. Ce mappage est présenté dans les tableaux suivants : Mise en correspondance des fonctionnalités CDP avec le type de port intelligent Nom de la fonctionnalité...
Page 274 Port intelligent Port intelligent automatique Mise en correspondance des fonctionnalités LLDP avec le type de port intelligent (suite) Nom de la fonctionnalité Bit LLDP Type de port intelligent Station uniquement IETF RFC 4293 Hôte Composant C-VLAN d'un pont VLAN IEEE Commutateur Std.
Page 275 Port intelligent Gestion des erreurs Interface du Port intelligent automatique persistant Si l'État persistant d'une interface est activé, son Type de port intelligent et la configuration qui est déjà appliquée dynamiquement par le Port intelligent automatique sont conservés sur l'interface, même si l'appareil en cours d'association est arrivé à expiration, l'interface a été désactivée et l'appareil a été...
Page 276 Port intelligent Relations avec les autres fonctions Relations avec les autres fonctions La fonction Port intelligent automatique est activée par défaut. Vous avez la possibilité de la désactiver. Les OUI de téléphonie ne peuvent actuellement pas fonctionner avec les fonctions Port intelligent automatique et VLAN voix automatique.
Page 277 Port intelligent Tâches courantes de port intelligent Flux de travail 2 : pour configurer une interface en tant que port intelligent statique, procédez comme suit : Pour activer la fonction Smartport (Port intelligent) sur l'interface, ouvrez la page Paramètres ÉTAPE 1 d'interface.
Page 278 Port intelligent Tâches courantes de port intelligent Flux de travail 4 : pour réexécuter une macro Port intelligent si celle-ci a échoué, procédez comme suit : Sur la page Paramètres d'interface, sélectionnez une interface avec le type de port intelligent ÉTAPE 1 Unknown (Inconnu).
Page 279 Port intelligent Configuration de port intelligent à l'aide de l'interface Web Configuration de port intelligent à l'aide de l'interface Web Vous pouvez configurer la fonction Port intelligent sur les pages Port intelligent > Propriétés, Paramètres de type de port intelligent et Paramètres d'interface. Pour la configuration du VLAN vocal, reportez-vous à...
Page 280 Port intelligent Configuration de port intelligent à l'aide de l'interface Web • État LLDP opérationnel : affiche l'état opérationnel de LLDP. Activez LLDP si le Port intelligent automatique doit détecter le type de port intelligent à partir de l'annonce LLDP/LLDP-MED. •...
Page 281 Port intelligent Configuration de port intelligent à l'aide de l'interface Web Pour modifier les paramètres d'une macro ou attribuer une macro définie par l'utilisateur, ÉTAPE 3 sélectionnez un Type de port intelligent, puis cliquez sur Modifier. Renseignez les champs. ÉTAPE 4 •...
Page 282 Port intelligent Configuration de port intelligent à l'aide de l'interface Web Paramètres d'interface Utilisez la page Paramètres d'interface pour effectuer les tâches suivantes : • Appliquez de manière statique un type de port intelligent spécifique à une interface, avec des valeurs propres à l'interface pour les paramètres de macro. •...
Page 283 Port intelligent Configuration de port intelligent à l'aide de l'interface Web • Tous les points d'accès sans fil : les macros sont réappliquées à toutes les interfaces définies en tant que points d'accès. Pour réappliquer les macros Port intelligent associées à une interface spécifique, sélectionnez cette interface (elle doit être opérationnelle) et cliquez sur Reapply (Réappliquer) pour réappliquer la dernière macro appliquée à...
Page 284 Port intelligent Macros Port intelligent intégrées • Méthode d'application de port intelligent : si Port intelligent automatique est sélectionné, le type de port intelligent est automatiquement attribué en fonction de l'annonce CDP et/ou LLDP reçue des appareils en cours de connexion, et la macro Port intelligent correspondante est appliquée.
Page 285 Port intelligent Macros Port intelligent intégrées • host • ip_camera • ip_phone • ip_phone_desktop • switch • router • desktop [desktop] #interface configuration, for increased network security and reliability when connecting a desktop device, such as a PC, to a switch port. (configuration d'interface pour une sécurité...
Page 286 Port intelligent Macros Port intelligent intégrées no_desktop [no_desktop] #macro description No Desktop no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no port security no port security mode no port security max no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast spanning-tree portfast auto...
Page 287 Port intelligent Macros Port intelligent intégrées no_printer [no_printer] #macro description No printer no switchport access vlan no switchport mode no port security no port security mode no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast spanning-tree portfast auto guest [guest]...
Page 288 Port intelligent Macros Port intelligent intégrées no_guest]] [no_guest] #macro description No guest no switchport access vlan no switchport mode no port security no port security mode no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast spanning-tree portfast auto server [server]...
Page 289 Port intelligent Macros Port intelligent intégrées no_server [no_server] #macro description No server no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no port security no port security mode no port security max no smartport storm-control broadcast enable no smartport storm-control broadcast level spanning-tree portfast auto host...
Page 290 Port intelligent Macros Port intelligent intégrées no_host [no_host] #macro description No host no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no port security no port security mode no port security max no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast spanning-tree portfast auto...
Page 291 Port intelligent Macros Port intelligent intégrées no_ip_camera [no_ip_camera] #macro description No ip_camera no switchport access vlan no switchport mode no port security no port security mode no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast spanning-tree portfast auto ip_phone [ip_phone]...
Page 292 Port intelligent Macros Port intelligent intégrées no_ip_phone [no_ip_phone] #macro description no ip_phone #macro keywords $voice_vlan #macro key description: $voice_vlan: ID du VLAN voix #Default Values are #$voice_vlan = 1 smartport switchport trunk allowed vlan remove $voice_vlan no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no port security no port security mode...
Page 293 Port intelligent Macros Port intelligent intégrées smartport storm-control broadcast enable spanning-tree portfast no_ip_phone_desktop [no_ip_phone_desktop] #macro description no ip_phone_desktop #macro keywords $voice_vlan #macro key description: $voice_vlan: ID du VLAN voix #Default Values are #$voice_vlan = 1 smartport switchport trunk allowed vlan remove $voice_vlan no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no port security...
Page 294 Port intelligent Macros Port intelligent intégrées no_switch [no_switch] #macro description No switch #macro keywords $voice_vlan #macro key description: $voice_vlan: ID du VLAN voix no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no spanning-tree link-type router [router] #macro description router #macro keywords $native_vlan $voice_vlan...
Page 295 Port intelligent Macros Port intelligent intégrées no_router [no_router] #macro description No router #macro keywords $voice_vlan #macro key description: $voice_vlan: ID du VLAN voix no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all no smartport storm-control broadcast enable no smartport storm-control broadcast level no spanning-tree link-type [ap]...
Page 296 Gestion des VLAN Cette section couvre les sujets suivants : • VLAN standard • Paramètres de VLAN privé • Paramètres GVRP • Groupes VLAN • VLAN voix • Accès VLAN TV port de multidestination • VLAN TV port client multidiffusion Un VLAN (Virtual LAN, réseau local virtuel) est un groupe logique de ports qui permet aux périphériques qui lui sont associés de communiquer entre eux sur une couche MAC Ethernet, quel que soit le segment LAN physique du réseau ponté...
Page 297 Gestion des VLAN Si une trame est balisée VLAN, une balise VLAN à quatre octets est ajoutée à chaque trame Ethernet. La balise contient un ID VLAN compris entre 1 et 4 094, et une balise de priorité VLAN (VPT, VLAN Priority Tag) comprise entre 0 et 7. Pour plus d'informations sur VPT, reportez-vous à...
Page 298 Gestion des VLAN Les VLAN sur un périphérique peuvent être créés de façon statique ou dynamique en fonction des informations GVRP échangées par les périphériques. Un VLAN peut être statique ou dynamique (via GVRP), mais pas les deux. Pour plus d'informations sur le protocole GVRP, reportez-vous à...
Page 299 Gestion des VLAN Les types de ports suivants peuvent être membres d'un VLAN privé : • Proximité : un port de proximité peut communiquer avec tous les ports du même VLAN privé. Ces ports connectent les serveurs et les routeurs. •...
Page 300 Gestion des VLAN Un VLAN privé peut être configuré pour s'étendre sur plusieurs commutateurs en réglant les ports inter-commutateur comme des ports de liaison et en les ajoutant à tous les VLAN dans le VLAN privé. Les ports de liaison inter-commutateur envoient et reçoivent le trafic balisé des divers VLAN du VLAN privé...
Page 301 Gestion des VLAN La section suivante décrit le trafic serveur/routeur (réponse à l'hôte). Figure 2 Trafic des serveurs/routeurs vers les hôtes Serveur Promiscuité Promiscuité DNS principal Isolé Isolé Communauté Communauté Communauté Isolé 1 Isolé 2 Communauté 1 Communauté 1 Communauté 1 Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 302 Gestion des VLAN Interaction avec les autres fonctions Cette section décrit l'interaction entre les VLAN privés et d'autres fonctions du système. Fonctions prises en charge sur un VLAN privé Les fonctions suivantes peuvent être activées uniquement sur un VLAN principal (et pas sur un VLAN isolé...
Page 303 Gestion des VLAN Fonctions non prises en charge sur les modes de port VLAN privé Les fonctions suivantes ne sont pas prises en charge sur les modes de port VLAN privé : • GVRP • Détection automatique d'OUI de VLAN voix •...
Page 304 Gestion des VLAN VLAN standard Consignes relatives à la configuration Prenez note des consignes suivantes pour la configuration des fonctions : • MSTP : la même instance MSTP doit être affectée à tous les VLAN dans un VLAN privé. • Protection de la source IP : la liaison d'une ACL aux ports de protection de la source IP n'est pas recommandée sur un VLAN privé...
Page 305 Gestion des VLAN VLAN standard Présentation du VLAN standard Flux de travail de la configuration VLAN Pour configurer les VLAN : Créez les VLAN requis en suivant les instructions de la section Paramètres VLAN. ÉTAPE 1 Définissez la configuration VLAN souhaitée pour les ports et activez QinQ sur une interface, ÉTAPE 2 comme décrit dans la section Paramètres...
Page 306 Gestion des VLAN VLAN standard Paramètres VLAN Vous pouvez créer un VLAN, mais cela n'a aucun effet tant que le VLAN n'est pas manuellement ou dynamiquement lié à un port au moins. Les ports doivent toujours appartenir à un ou plusieurs VLAN. Le périphérique prend en charge jusqu'à...
Page 307 Gestion des VLAN VLAN standard Les VLAN pour les tunnels IPv6 et pour 802.1x sont pré-attribués, tandis que les VLAN pour la configuration IP des ports Ethernet/canaux de port sont affectés lors de l'application de la configuration IP. Des VLAN internes sont alloués en commençant par le VLAN libre dont le numéro est le plus élevé...
Page 308 Gestion des VLAN VLAN standard Entrez les valeurs des champs suivants : ÉTAPE 5 • Interface : sélectionnez un port/LAG. • Mode Port commuté : sélectionnez Couche 2 ou Couche 3. • Mode d'interface VLAN : sélectionnez le mode d'interface du VLAN. Les options sont les suivantes : Général : l'interface peut prendre en charge toutes les fonctions telles qu'elles sont définies dans la spécification IEEE 802.1q.
Page 309 Gestion des VLAN VLAN standard Admettre balisées uniquement : l'interface accepte uniquement les trames balisées. Admettre non balisées uniquement : l'interface accepte uniquement les trames de priorité et les trames non balisées. • Filtrage d'entrée : (uniquement disponible en mode Général) sélectionnez cette option pour activer le filtrage en entrée.
Page 310 Gestion des VLAN VLAN standard Lorsqu'une trame est envoyée sur une interface balisée « non-edge », elle est encapsulée avec une autre couche de balise S-VLAN sur laquelle l'ID C-VLAN d'origine est mappé. Les paquets transmis sur des trames d'interfaces de ce type font donc l'objet d'un double balisage, avec une balise S-VLAN externe et une balise C-VLAN interne.
Page 311 Gestion des VLAN VLAN standard Les fonctionnalités de couche 2 ci-dessous ne sont pas prises en charge sur les VLAN qui comportent des interfaces de bordure : • Surveillance IGMP/MLD • Surveillance DHCP • Sécurité du premier saut IPv6 Les protocoles suivants ne peuvent pas être activés sur les interfaces de bordure (UNI - Interfaces de réseau utilisateur) : •...
Page 312 Gestion des VLAN VLAN standard Dans le mode de mise en correspondance de VLAN « un à un », une interface appartient à tous les SVLAN pour lesquels la mise en correspondance est définie en tant qu'interface avec balise de sortie. Le PVID d'interface est défini sur 4095. Mise en correspondance de VLAN Pour configurer une mise en correspondance de VLAN : Cliquez sur Gestion des VLAN >...
Page 313 Gestion des VLAN VLAN standard • Mise en correspondance de tunnels : cette option s'affiche si vous avez sélectionné l'option « Mise en correspondance de tunnels » comme type de mise en correspondance. Sélectionnez l'une des options suivantes : VLAN client : sélectionnez Par défaut pour définir l'action requise pour les C- VLAN qui ne sont pas indiqués de façon spécifique ou Liste des VLAN pour définir précisément le comportement de tunnel VLAN pour les VLAN répertoriés.
Page 314 Gestion des VLAN VLAN standard Utilisez la page Port vers VLAN pour afficher et configurer les ports dans un VLAN spécifique. Pour mapper des ports ou des LAG à un VLAN : Cliquez sur Gestion des VLAN > Port vers VLAN. ÉTAPE 1 Sélectionnez un VLAN et le type d'interface (Port ou LAG), puis cliquez sur OK pour afficher ÉTAPE 2...
Page 315 Gestion des VLAN VLAN standard Appartenance VLAN des ports La page Appartenance VLAN des ports affiche tous les ports du périphérique, ainsi qu'une liste des VLAN auxquels chaque port appartient. Si la méthode d'authentification basée sur les ports pour une interface est 802.1x et que le Contrôle de port administratif est Auto, alors : •...
Page 316 Gestion des VLAN VLAN standard • Appartenance du mode d'accès (actif) Access VLAN ID (ID VLAN d'accès) : lorsque le port est en mode d'accès, il est membre de ce VLAN. VLAN TV multidiffusion : lorsque le port est en mode d'accès, il est membre de ce VLAN TV multidiffusion.
Page 317 Gestion des VLAN Paramètres de VLAN privé Sélectionnez un port et cliquez ensuite sur Détails pour afficher les champs suivants : ÉTAPE 5 • Administrative VLANs (VLAN administratifs) : le port est configuré pour ces VLAN. • Operational VLANs (VLAN opérationnels) : le port est actuellement membre de ces VLAN.
Page 318 Gestion des VLAN Paramètres GVRP Paramètres GVRP Les périphériques adjacents tenant compte du VLAN peuvent s'échanger les informations VLAN via le protocole GVRP (Generic VLAN Registration Protocol). Celui-ci est basé sur le protocole GARP (Generic Attribute Registration Protocol) et propage des informations VLAN à...
Page 319 Gestion des VLAN Groupes VLAN Cliquez sur Appliquer. Les paramètres GVRP sont modifiés et écrits dans le fichier de ÉTAPE 7 Configuration d'exécution. Groupes VLAN Cette section explique comment configurer les groupes de VLAN. Elle décrit les fonctionnalités suivantes : •...
Page 320 Gestion des VLAN Groupes VLAN Vous pouvez définir plusieurs groupes VLAN basés sur MAC, chaque groupe contenant différentes adresses MAC. Ces groupes basés sur MAC peuvent être attribués à des ports/LAG spécifiques. Les groupes VLAN basés sur MAC ne peuvent pas contenir de plages d'adresses MAC qui se chevauchent sur le même port.
Page 321 Gestion des VLAN Groupes VLAN Groupes basés sur MAC aux VLAN Reportez-vous au Tableau 1 pour obtenir une description de la disponibilité de cette fonction. Les ports/LAG doivent être en mode Général. Pour attribuer un groupe de VLAN basé sur MAC à un VLAN sur une interface : Cliquez sur Gestion des VLAN >...
Page 322 Gestion des VLAN Groupes VLAN Flux de travail Pour définir un groupe de VLAN basé sur un sous-réseau : 1. Définissez un groupe basé sur un sous-réseau (à l'aide de la page Groupes basés sur un sous- réseau). 2. Pour chaque interface requise, affectez le groupe basé sur un sous-réseau à un VLAN (en utilisant la page Groupes basés sur un sous-réseau au VLAN).
Page 323 Gestion des VLAN Groupes VLAN Pour mettre en correspondance le groupe de sous-réseaux et un VLAN : Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur un sous-réseau au ÉTAPE 1 VLAN. Les mappages actuellement définis s'affichent. Pour associer une interface à...
Page 324 Gestion des VLAN Groupes VLAN Groupes basés sur les protocoles Pour définir un ensemble de protocoles : Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur un protocole. ÉTAPE 1 La page Groupes basés sur les protocoles contient les champs suivants : •...
Page 325 Gestion des VLAN VLAN voix Pour mapper le port de protocole à un VLAN : Cliquez sur Gestion des VLAN > Groupes VLAN > Groupes basés sur un protocole aux ÉTAPE 1 VLAN. Les mappages actuellement définis s'affichent. Pour associer une interface à un groupe basé sur un protocole et au VLAN, cliquez sur ÉTAPE 2 Ajouter.
Page 326 UC3xx/UC5xx hébergé : tous les téléphones et points d'extrémité VoIP Cisco prennent en charge ce modèle de déploiement. Pour ce modèle (UC3xx/UC5xx), les téléphones et points d'extrémité VoIP Cisco résident sur le même VLAN voix. Par défaut, le VLAN voix de UC3xx/UC5xx est le VLAN 100.
Page 327 UC3xx/5xx et de commutateurs qui annoncent le VLAN voix dans CDP ou VSDP. VSDP est un protocole défini par Cisco pour la détection des services vocaux. À la différence du mode OUI de téléphonie qui détecte les périphériques vocaux basés sur le mode OUI de téléphonie, le mode VLAN voix automatique dépend de la...
Page 328 VLAN voix Points d'extrémité vocaux Pour qu'un VLAN voix fonctionne correctement, les périphériques vocaux tels que les téléphones et points d'extrémité VoIP Cisco doivent être attribués au VLAN pouvant envoyer et recevoir leur trafic vocal. Voici quelques exemples possibles : •...
Page 329 Unified Communication (UC), annoncent leur VLAN voix, le VLAN voix du périphérique ayant l'adresse MAC la plus basse est utilisé. En cas de connexion du périphérique à un périphérique UC Cisco, vous REMARQUE devrez peut-être configurer le port sur le périphérique UC à l'aide de la commande switchport voice vlan afin de vous assurer que le périphérique UC annonce...
Page 330 Gestion des VLAN VLAN voix • Lorsqu'un nouveau VLAN voix est configuré ou détecté, le périphérique le crée automatiquement et remplace toutes les appartenances de port du VLAN voix existant par celles du nouveau VLAN voix. Cette opération est susceptible d'interrompre ou de terminer des sessions vocales existantes, notamment lorsque la topologie réseau a été...
Page 331 Gestion des VLAN VLAN voix Contraintes du VLAN voix Les contraintes suivantes doivent être prises en compte : • Seul un VLAN voix est pris en charge. • Un VLAN défini en tant que VLAN voix ne peut pas être supprimé. En outre, les contraintes suivantes s'appliquent au OUI de téléphonie : •...
Page 332 Gestion des VLAN VLAN voix Sélectionnez la méthode Activation du VLAN voix automatique. ÉTAPE 4 Si le périphérique est actuellement en mode OUI de téléphonie, vous REMARQUE devez le désactiver pour pouvoir configurer le mode VLAN voix automatique. Cliquez sur Appliquer. ÉTAPE 5 Configurez les ports intelligents comme décrit dans la section Tâches courantes de port...
Page 333 Gestion des VLAN VLAN voix Propriétés du VLAN voix Utilisez la page Propriétés du VLAN voix pour effectuer les opérations suivantes : • Afficher les paramètres de configuration actuels du VLAN voix • Configurer l'ID de VLAN du VLAN voix •...
Page 334 Gestion des VLAN VLAN voix Les champs Dynamic Voice VLAN Settings (Paramètres du VLAN voix dynamique) s'affichent : • VLAN voix dynamique : sélectionnez ce champ pour désactiver ou activer la fonction VLAN voix de l'une des manières suivantes : Activer le VLAN voix automatique : active le VLAN voix dynamique en mode VLAN voix automatique.
Page 335 Gestion des VLAN VLAN voix Pour afficher les paramètres de VLAN voix automatique : Cliquez sur Gestion des VLAN > VLAN voix > VLAN voix automatique. ÉTAPE 1 Le bloc Operation Status (État opérationnel) figurant sur cette page affiche les informations sur le VLAN voix actuel et sur sa source : •...
Page 336 Gestion des VLAN VLAN voix • Type de source : type d'UC de provenance de la configuration de voix. Les options suivantes sont disponibles : Par défaut : configuration VLAN voix par défaut sur le périphérique. Statique : configuration VLAN voix définie par l'utilisateur programmée sur le périphérique.
Page 337 Gestion des VLAN VLAN voix Cette section couvre les sujets suivants : • Table des OUI de téléphonie • Interface des OUI de téléphonie Table des OUI de téléphonie Utilisez la page OUI de téléphonie pour configurer les propriétés QoS des OUI de téléphonie. Vous pouvez également configurer le Délai d'expiration d'appartenance automatique.
Page 338 Gestion des VLAN VLAN voix Pour ajouter un nouveau OUI, cliquez sur Ajouter. ÉTAPE 4 Entrez les valeurs des champs suivants : ÉTAPE 5 • OUI de téléphonie : saisissez un nouveau OUI. • Description : saisissez un nom d'identifiant OUI. Cliquez sur Appliquer.
Page 339 Gestion des VLAN Accès VLAN TV port de multidestination • Mode de QoS VLAN voix (Mode de QoS OUI de téléphonie sur la page principale) : sélectionnez l'une des options suivantes : Tous : les attributs QoS sont appliqués à tous les paquets catégorisés comme VLAN voix.
Page 340 Gestion des VLAN Accès VLAN TV port de multidestination Tout VLAN peut être configuré en tant que VLAN TV de multidiffusion. Un port affecté à un VLAN TV de multidiffusion : • Rejoint le VLAN TV de multidiffusion. • Les paquets traversant les ports de sortie dans le VLAN TV de multidiffusion ne sont pas balisés.
Page 341 Gestion des VLAN Accès VLAN TV port de multidestination Différences entre VLAN standard et VLAN TV de multidiffusion Tableau 1 Caractéristiques des VLAN normaux et des VLAN TV de multidiffusion VLAN standard VLAN TV multidestination Appartenance VLAN La source et tous les ports La source et les ports récepteurs récepteurs doivent être des ne peuvent pas être membres du...
Page 342 Gestion des VLAN Accès VLAN TV port de multidestination Pour définir la configuration d'un VLAN TV de multidiffusion : Cliquez sur Gestion des VLAN > Accès VLAN TV port multidiffusion > Groupe de ÉTAPE 1 multidestination aux VLAN. Les champs suivants s'affichent : •...
Page 343 Gestion des VLAN VLAN TV port client multidiffusion Appartenance VLAN du port multidiffusion Pour définir la configuration d'un VLAN TV de multidiffusion : Cliquez sur Gestion des VLAN > Accès VLAN TV port multidiffusion > Appartenance ÉTAPE 1 VLAN du port multidiffusion. Sélectionnez un VLAN dans VLAN TV de multidiffusion.
Page 344 Gestion des VLAN VLAN TV port client multidiffusion Tous les paquets allant de l'abonné au réseau du fournisseur de services sont encapsulés par le périphérique d'accès avec le VLAN de l'abonné configuré en tant que VLAN client (balise externe ou S-VID), à l'exception des messages de surveillance IGMP issus des récepteurs TV, qui sont associés au VLAN TV de multidiffusion.
Page 345 Gestion des VLAN VLAN TV port client multidiffusion Pour mapper des VLAN CPE : Cliquez sur Gestion des VLAN > VLAN TV port client multidiffusion > VLAN CPE à ÉTAPE 1 VLAN. Cliquez sur Ajouter. ÉTAPE 2 Renseignez les champs suivants : ÉTAPE 3 •...
Page 346 Arbre recouvrant Cette section décrit le protocole STP (Spanning Tree Protocol) (IEEE802.1D et IEEE802.1Q) et couvre les rubriques suivantes : • Types de STP • État STP et paramètres globaux • Paramètres d'interface STP • Paramètres d'interface RSTP • Présentation du protocole MST (Multiple Spanning Tree) •...
Page 347 Arbre recouvrant État STP et paramètres globaux Le périphérique prend en charge les versions de protocole STP suivantes : • Le STP classique fournit un chemin d'accès unique entre deux stations d'arrivée afin d'empêcher et d'éliminer les boucles. • Le STP rapide (RSTP) détecte les topologies de réseau afin de fournir une convergence du Spanning Tree plus rapide.
Page 348 Arbre recouvrant État STP et paramètres globaux • Mode de fonctionnement STP : sélectionnez un mode STP. • Gestion BPDU : définissez la façon dont les paquets BPDU sont gérés lorsque le protocole STP est désactivé sur le port ou le périphérique. Les BPDU servent à transmettre des informations du protocole STP.
Page 349 Arbre recouvrant Paramètres d'interface STP • Coût du chemin racine : coût du chemin entre ce pont et la racine. • Topology Changes Counts : nombre total des changements de topologie STP effectués. • Dernier changement de topologie : temps écoulé depuis le dernier changement de topologie.
Page 350 Arbre recouvrant Paramètres d'interface STP Désactivé : l'interface ne participe pas à l'arbre recouvrant. Limite : le port sur cette instance est un port frontière. Il hérite de son état de l'instance 0 et peut être affiché sur la page Paramètres d'interface STP. Sélectionnez une interface et cliquez sur Edit.
Page 351 Arbre recouvrant Paramètres d'interface STP • Protection BPDU : active ou désactive la fonction de protection BPDU (Bridge Protocol Data Unit) sur le port. La protection BPDU permet d'appliquer les frontières du domaine STP et de maintenir la topologie active prévisible. Les périphériques situés derrière les ports pour lesquels la protection BPDU est activée ne peuvent pas influencer la topologie STP.
Page 352 Arbre recouvrant Paramètres d'interface RSTP • Designated Cost : affiche le coût du port participant à la topologie STP. Les ports de coûts inférieurs sont peu susceptibles d'être bloqués si STP détecte des boucles. • Transitions de transfert : affiche le nombre de fois où le port est passé de l'état Blocage à...
Page 353 Arbre recouvrant Paramètres d'interface RSTP Configurez les paramètres suivants : ÉTAPE 7 • Interface : définissez l'interface et précisez le port ou LAG où RSTP doit être configuré. • État administratif point à point : définissez l'état de la liaison point à point. Les ports définis en tant que Full Duplex sont considérés comme liens de port point à...
Page 354 Arbre recouvrant Présentation du protocole MST (Multiple Spanning Tree) • État du port : affiche l'état RSTP sur le port spécifique. Désactivé : le protocole STP est actuellement désactivé sur le port. Blocage : le port est actuellement bloqué et ne peut ni transférer le trafic ni apprendre les adresses MAC.
Page 355 Arbre recouvrant Propriétés MSTP Propriétés MSTP Le protocole MSTP global configure un Spanning Tree distinct pour chaque groupe VLAN et bloque tous les chemins alternatifs possibles sauf un, et ce, dans chaque instance Spanning Tree. MSTP permet la formation de régions MST pouvant exécuter des instances MST multiples (MSTI).
Page 356 Arbre recouvrant VLAN vers instance MSTP Cliquez sur Appliquer. Les propriétés MSTP sont définies et le fichier de configuration ÉTAPE 5 d'exécution est mis à jour. VLAN vers instance MSTP La page VLAN vers instance MSTP vous permet de mapper chaque réseau VLAN sur une instance MSTI (Multiple Spanning Tree Instance).
Page 357 Arbre recouvrant Paramètres d'instance MSTP Cliquez sur Appliquer. Les mappages MSTP VLAN sont définis et le fichier de Configuration ÉTAPE 4 d'exécution est mis à jour. Paramètres d'instance MSTP La page Paramètres d'instance MSTP vous permet de configurer et d'afficher les paramètres par instance MST.
Page 358 Arbre recouvrant Paramètres d'interface MSTP Paramètres d'interface MSTP La page Paramètres d'interface MSTP vous permet de configurer les paramètres MSTP du port pour chaque instance MST et d'afficher les informations actuellement apprises par le protocole, comme le pont désigné par instance MST. Pour configurer les ports dans une instance MST : Cliquez sur Arbre recouvrant >...
Page 359 Arbre recouvrant Paramètres d'interface MSTP Transfert : le port sur cette instance est en mode Transfert. Il peut réacheminer du trafic et apprendre de nouvelles adresses MAC. Limite : le port sur cette instance est un port frontière. Il hérite de son état de l'instance 0 et peut être affiché...
Page 360 Arbre recouvrant Paramètres d'interface MSTP • Designated Cost : affiche le coût du port participant à la topologie STP. Les ports de coûts inférieurs sont peu susceptibles d'être bloqués si STP détecte des boucles. • Sauts restants : affiche le nombre de sauts restant jusqu'à la prochaine destination. •...
Page 361 Arbre recouvrant Paramètres d'interface MSTP Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 362 Gestion des tables d'adresses MAC Cette section explique comment ajouter des adresses MAC au système. Elle couvre les sujets suivants : • Adresses statiques • Adresses dynamiques • Adresses MAC réservées Il existe deux types d'adresses MAC : statiques et dynamiques. Selon leur type, les adresses MAC sont stockées dans la table des adresses statiques ou dans la table des adresses dynamiques avec les informations relatives aux VLAN et aux ports.
Page 363 Gestion des tables d'adresses MAC Adresses statiques Adresses statiques Les adresses MAC statiques sont affectées à une interface physique et à un VLAN spécifiques sur le périphérique. Si une adresse MAC est détectée sur une autre interface, elle est ignorée et n'est pas consignée dans la table des adresses.
Page 364 Gestion des tables d'adresses MAC Adresses dynamiques Adresses dynamiques La table des adresses dynamiques (table de pontage) contient les adresses MAC obtenues en surveillant les adresses source des trames entrant dans le périphérique. Pour éviter le débordement de cette table et garder de l'espace pour de nouvelles adresses MAC, une adresse est supprimée si elle ne reçoit aucun trafic pendant une période appelée délai d'expiration.
Page 365 Gestion des tables d'adresses MAC Adresses MAC réservées Adresses MAC réservées Lorsque le périphérique reçoit une trame utilisant une adresse MAC de destination qui appartient à une plage réservée (conformément à la norme IEEE), cette trame peut être éliminée ou pontée. L'entrée dans la table des adresses MAC réservées peut spécifier l'adresse MAC réservée ou l'adresse MAC réservée et un type de trame : Pour ajouter une entrée pour une adresse MAC réservée : Cliquez sur Tables d'adresses MAC >...
Page 366 Multidestination Cette section décrit la fonction de transfert de multidiffusion et couvre les rubriques suivantes : • Présentation du réacheminement multidestination • Propriétés • Adresse MAC de groupe • Adresse de groupe de multidestination IP • Configuration de la multidestination IPv4 •...
Page 367 Multidestination Présentation du réacheminement multidestination Par défaut, toutes les trames de multidiffusion sont envoyées à tous les ports du VLAN. Il est possible de transférer les données de façon sélective uniquement vers les ports concernés et de filtrer (éliminer) le flux de multidiffusion sur les autres ports en activant l'état du filtrage multidiffusion par ponts sur la page Propriétés.
Page 368 Multidestination Présentation du réacheminement multidestination Configuration de multidiffusion typique Alors que les routeurs de multidiffusion routent les paquets de multidiffusion d'un sous-réseau IP à un autre, les commutateurs de couche 2 compatibles avec la multidiffusion transfèrent les paquets de multidiffusion vers les nœuds enregistrés au sein d'un LAN ou d'un VLAN. La configuration type inclut un routeur qui transfère les flux de multidiffusion entre des réseaux IP privés et/ou publics, un périphérique doté...
Page 369 Multidestination Présentation du réacheminement multidestination Le périphérique ne prend en charge la surveillance IGMP/MLD que sur les VLAN statiques. Il REMARQUE ne prend pas en charge la surveillance IGMP/MLD sur les VLAN dynamiques. Lorsque vous activez la surveillance IGMP/MLD, globalement ou sur un VLAN, tous les paquets IGMP/MLD sont transmis au processeur.
Page 370 Multidestination Présentation du réacheminement multidestination Si le mécanisme de choix de l'émetteur de requêtes IGMP/MLD est désactivé, l'émetteur de requêtes de surveillance IGMP/MLD retarde l'envoi des messages de requête générale pendant 60 secondes après son activation. S'il n'y a aucun autre demandeur, il commence à envoyer les messages de requête générale.
Page 371 Multidestination Présentation du réacheminement multidestination Proxy IGMP/MLD Le Proxy IGMP/MLD est un protocole simple de multidiffusion IP. L'utilisation du Proxy IGMP/MLD pour répliquer le trafic de multidiffusion sur des périphériques, tels que « edge box », peut grandement simplifier la conception et la mise en œuvre de ces périphériques.
Page 372 Multidestination Propriétés Règles de transfert et émetteur de requêtes Les règles suivantes sont appliquées : • Un paquet de multidestination reçu sur l'interface amont est transmis : sur l'interface amont ; sur toutes les interfaces aval demandant le paquet, uniquement si le périphérique proxy est l'émetteur de requêtes sur les interfaces.
Page 373 Multidestination Adresse MAC de groupe Adresse du groupe IP spécifique source : transfère les paquets en fonction de l'adresse IPv6 source et de l'adresse IPv6 du groupe de multidestination. Si une adresse IPv6 est configurée sur le VLAN, la méthode de réacheminement opérationnelle pour la multidestination IPv6 sera Adresse du groupe IP.
Page 374 Multidestination Adresse MAC de groupe Pour définir et afficher des groupes de multidiffusion MAC : Cliquez sur Multidestination > Adresse MAC de groupe. ÉTAPE 1 Saisissez les paramètres de filtre. ÉTAPE 2 • ID VLAN est égal à : saisissez l'ID de VLAN du groupe à afficher. •...
Page 375 Multidestination Adresse de groupe de multidestination IP • Interdit : spécifie que ce port n'est pas autorisé à rejoindre ce groupe de multidiffusion sur ce VLAN. • Aucun : spécifie que le port n'est actuellement pas membre de ce groupe de multidiffusion sur ce VLAN.
Page 376 Multidestination Adresse de groupe de multidestination IP Cliquez sur Ajouter pour ajouter une adresse de groupe de multidestination IP statique. ÉTAPE 4 Saisissez les paramètres. ÉTAPE 5 • ID VLAN : définit l'ID de VLAN du groupe à ajouter. • Version IP : sélectionnez le type d'adresse IP.
Page 377 Multidestination Configuration de la multidestination IPv4 Configuration de la multidestination IPv4 Les pages suivantes décrivent la configuration de la multidiffusion IPv4 : • Surveillance IGMP • Paramètres d'interface IGMP • Paramètres de VLAN IGMP • Proxy IGMP Surveillance IGMP Pour prendre en charge le transfert sélectif de multidiffusion IPv4, vous devez activer le filtrage multidiffusion par ponts (sur la page Propriétés).
Page 378 Multidestination Configuration de la multidestination IPv4 Pour configurer IGMP sur une interface, sélectionnez un VLAN statique et cliquez ensuite sur ÉTAPE 2 Modifier. Renseignez les champs suivants : • État de surveillance IGMP : sélectionnez cette option pour activer la surveillance IGMP sur le VLAN.
Page 379 Multidestination Configuration de la multidestination IPv4 • Version du demandeur IGMP : sélectionnez la version IGMP utilisée si le périphérique devient le demandeur choisi. Sélectionnez IGMPv3 s'il existe des commutateurs et/ou des routeurs multidestination dans le VLAN qui réalisent le réacheminement de multidestination IP propre à...
Page 380 Multidestination Configuration de la multidestination IPv4 • Intervalle de requête du dernier membre (ms) : délai maximal de réponse à utiliser si le périphérique ne peut pas lire cette valeur dans les requêtes propres au groupe envoyées par le demandeur choisi. •...
Page 381 Multidestination Configuration de la multidestination IPv4 • Intervalle de requête du dernier membre (ms) : saisissez le délai maximal de réponse à utiliser si le périphérique ne le reconnaît pas à partir des requêtes propres au groupe envoyées par l'émetteur de requêtes choisi. •...
Page 382 Multidestination Configuration de la multidestination IPv4 • SSM IPv4 Access List (Liste d'accès IPv6 SSM) : définissez la liste contenant les adresses sources des paquets de multidiffusion : Liste par défaut : définit la plage d'accès SSM à 232.0.0.0/8. Liste d'accès définie par l'utilisateur : sélectionnez le nom de la liste d'accès IPv4 standard définissant la plage SSM.
Page 383 Multidestination Configuration de la multidestination IPv6 Configuration de la multidestination IPv6 Les pages suivantes décrivent la configuration de la multidiffusion IPv6 : • Surveillance MLD • Paramètres de l'interface MLD • Paramètres de VLAN MLD • Proxy MLD Surveillance MLD Pour prendre en charge le transfert sélectif de la multidiffusion IPv6, vous devez activer le filtrage multidiffusion par ponts (sur la page Propriétés).
Page 384 Multidestination Configuration de la multidestination IPv6 Pour configurer le proxy MLD sur une interface, sélectionnez un VLAN statique et cliquez ÉTAPE 3 ensuite sur Modifier. Renseignez les champs suivants : • État de surveillance MLD : sélectionnez cette option pour activer la surveillance MLD sur le VLAN.
Page 385 Multidestination Configuration de la multidestination IPv6 • Version du demandeur MLD : sélectionnez la version MLD utilisée si le périphérique devient le demandeur choisi. Sélectionnez MLDv2 s'il existe des commutateurs et/ou des routeurs multidestination dans le VLAN qui réalisent le réacheminement de multidestination IP propre à...
Page 386 Multidestination Configuration de la multidestination IPv6 La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés sur l'interface. La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface. Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent automatiquement des routeurs de bordure.
Page 387 Multidestination Configuration de la multidestination IPv6 La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés sur l'interface. La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface. Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent automatiquement des routeurs de bordure.
Page 388 Multidestination Groupe de multidestination IP de surveillance IGMP/MLD Pour ajouter une protection à un VLAN, cliquez sur Ajouter et renseignez les champs suivants : ÉTAPE 4 • Upstream Interface (Interface amont) : sélectionnez l'interface de sortie. • Downstream Interface (Interface aval) : sélectionnez l'interface d'entrée. •...
Page 389 Multidestination Port de routeur multidestination Pour émettre une requête de recherche d'un groupe de multidiffusion IP : Cliquez sur Multidestination > Groupe de multidestination IP de surveillance IGMP/ ÉTAPE 1 MLD. Définissez le type de groupe de traçage (Snooping) à rechercher : IGMP ou MLD. ÉTAPE 2 Saisissez tout ou partie des critères de filtrage des requêtes suivants : ÉTAPE 3...
Page 390 Multidestination Tout transférer Pour configurer de manière statique les ports qui sont connectés au routeur de multidiffusion, ou afficher ceux dynamiquement détectés : Cliquez sur Multidestination > Port de routeur multidestination. ÉTAPE 1 Saisissez tout ou partie des critères de filtrage des requêtes suivants : ÉTAPE 2 •...
Page 391 Multidestination Multidestination non enregistrée La page Forward All (Tout transférer) configure les ports et/ou les LAG qui doivent recevoir des flux de multidiffusion en provenance d'un VLAN spécifique. Cette fonction exige que vous activiez le filtrage multidiffusion par ponts sur la page Propriétés des adresses multidestination.
Page 392 Multidestination Multidestination non enregistrée Vous pouvez sélectionner un port pour qu'il reçoive ou refuse (filtre) les flux de multidiffusion non enregistrés. Cette configuration est valide pour tout VLAN dont le port est (ou sera) membre. Pour définir des paramètres de multidiffusion non enregistrée : Cliquez sur Multidestination >...
Page 393 Multidestination Multidestination non enregistrée Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 394 Configuration IP Les adresses d'interface IP peuvent être configurées manuellement par l'utilisateur ou automatiquement via un serveur DHCP. Cette section fournit des informations sur la définition des adresses IP du périphérique, soit manuellement soit en faisant du périphérique un client DHCP. Cette section couvre les sujets suivants : •...
Page 395 Configuration IP Présentation Si le périphérique n'a reçu aucune réponse DHCPv4 au bout de 60 secondes, il continue à lancer des requêtes DHCPDISCOVER et utilise l'adresse IPv4 : 192.168.1.254/24. Des collisions d'adresse IP se produisent lorsqu'une même adresse IP est utilisée par plusieurs périphériques sur un même sous-réseau IP.
Page 396 Configuration IP Interface de bouclage Interface de bouclage Présentation L'interface de bouclage est une interface virtuelle dont l'état opérationnel est toujours actif. Si l'adresse IP qui est configurée sur cette interface virtuelle est utilisée comme adresse locale lors de la communication avec les applications IP distantes, la communication ne sera pas interrompue même si la route vers l'application distante a été...
Page 397 Configuration IP Interfaces et gestion IPv4 • Relais UDP/Assistance IP • Fureteur/Relais DHCP • Serveur DHCP Interfaces IPv4 Pour que vous puissiez gérer le périphérique à l'aide de l'utilitaire de configuration Web, vous devez définir et connaître l'adresse de gestion IPv4 du périphérique. L'adresse IP de l'appareil peut être configurée manuellement ou reçue automatiquement depuis un serveur DHCP.
Page 398 Lorsque le système se trouve dans l'un des modes pile et comporte une unité principale de PRÉCAUTION sauvegarde, Cisco recommande de configurer l'adresse IP en tant qu'adresse statique afin d'éviter toute déconnexion du réseau lors d'un basculement de l'unité principale de la pile. La raison est que lorsque l'unité...
Page 399 ID d'objet de suivi : (pris en charge uniquement par les appareils de la gamme 550) ID d'élément suivi IP SLA (Accord de niveau de service IP Cisco) associé à cette entrée. Ce champ et le suivant ne s'affichent qu'en présence d'un accord de niveau de service.
Page 400 Configuration IP Interfaces et gestion IPv4 Saisissez les valeurs appropriées dans les champs suivants : ÉTAPE 3 • Préfixe IP de destination : saisissez le préfixe d'adresse IP de la destination. • Masque : sélectionnez l'un des éléments suivants, puis renseignez la valeur requise : Masque de réseau : préfixe de la route IP pour l'IP de destination sous forme de masque (nombre de bits alloués à...
Page 401 Configuration IP Interfaces et gestion IPv4 Table des adresses IPv4 Voici comment afficher la table de réacheminement IPv4 : Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Table de réacheminement ÉTAPE 1 IPv4. La table de réacheminement IPv4 s'affiche. Les champs suivants sont affichés pour chaque entrée : •...
Page 402 Configuration IP Interfaces et gestion IPv4 Le périphérique gère une table ARP (Address Resolution Protocol, protocole de résolution d'adresse) pour tous les périphériques connus résidant sur ses sous-réseaux IP à connexion directe. Un sous-réseau IP à connexion directe désigne un sous-réseau auquel une interface IPv4 du périphérique est connectée.
Page 403 Configuration IP Interfaces et gestion IPv4 • Adresse MAC : adresse MAC du périphérique IP. • État : indique si l'entrée a été saisie manuellement ou apprise de manière dynamique. Cliquez sur Ajouter. ÉTAPE 4 Configurez les paramètres suivants : ÉTAPE 5 •...
Page 404 Configuration IP Interfaces et gestion IPv4 Relais UDP/Assistance IP En général, les commutateurs ne routent pas les paquets de diffusion IP d'un sous-réseau IP à un autre. Toutefois, cette fonction permet au périphérique de relayer des paquets de diffusion UDP spécifiques reçus de ses interfaces IPv4 vers des adresses IP de destination spécifiques.
Page 405 Configuration IP Interfaces et gestion IPv4 Présentation Présentation de la surveillance DHCPv4 La surveillance DHCP est une méthode de sécurité qui empêche la réception de mauvais paquets de réponses DHCP et qui consigne les adresses DHCP. Pour ce faire, elle effectue une distinction entre les ports sécurisés ou non sécurisés du périphérique.
Page 406 Configuration IP Interfaces et gestion IPv4 L'objectif global de l'option 82 est d'aider le serveur DHCP à choisir le meilleur sous-réseau IP (groupe de réseaux) pour l'obtention d'une adresse IP. Les options suivantes sont disponibles au niveau du périphérique : •...
Page 407 Configuration IP Interfaces et gestion IPv4 Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive Le paquet arrive Le paquet arrive Le paquet arrive sans l'option 82 avec l'option 82 sans l'option 82 avec l'option 82 Insertion de Le paquet est Le paquet est...
Page 408 Configuration IP Interfaces et gestion IPv4 Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Insertion de Relais : le paquet Le paquet est Relais : le Relais : ignore l'option 82 est envoyé avec envoyé avec paquet est le paquet activée...
Page 409 Configuration IP Interfaces et gestion IPv4 Voici comment les paquets de réponses DHCP sont traités quand la surveillance DHCP est désactivée : Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet arrive Le paquet arrive Le paquet arrive Le paquet arrive sans l'option 82...
Page 410 Configuration IP Interfaces et gestion IPv4 Voici comment les paquets de réponses DHCP sont traités quand la surveillance DHCP et le relais DHCP sont activés : Relais DHCP Relais DHCP VLAN avec adresse IP VLAN sans adresse IP Le paquet Le paquet Le paquet arrive Le paquet arrive...
Page 411 Configuration IP Interfaces et gestion IPv4 Ports sécurisés DHCP Les ports DHCP peuvent être sécurisés ou non sécurisés. Par défaut, tous les ports sont non sécurisés. Pour créer un port sécurisé, utilisez la page Paramètres d'interface. Les paquets transitant par ces ports sont automatiquement transférés. Les paquets passant par des ports sécurisés sont utilisés pour créer la base de données de liaison et sont gérés comme décrit ci- dessous.
Page 412 Configuration IP Interfaces et gestion IPv4 Le périphérique transfère DHCPOFFER, DHCPACK ou DHCPNAK. ÉTAPE 6 Voici ci-dessous comment les paquets DHCP sont traités au niveau des ports sécurisés et non sécurisés. La base de données de liaison de surveillance DHCP est stockée dans la mémoire non volatile.
Page 413 Configuration IP Interfaces et gestion IPv4 Type de paquet Arrivée via une interface Arrivée via une interface d'entrée non sécurisée d'entrée sécurisée DHCPRELEASE Identique à DHCPDECLINE Identique à DHCPDECLINE DHCPINFORM Transfert vers des interfaces Transfert vers des interfaces sécurisées uniquement. sécurisées uniquement.
Page 414 Configuration IP Interfaces et gestion IPv4 Configurez les interfaces comme étant sécurisées ou non sécurisées sur la page Interfaces ÉTAPE 3 validées de surveillance DHCP. Facultatif. Ajoutez des entrées à la base de données de liaison de surveillance DHCP sur la ÉTAPE 4 page Base de données de liaison de surveillance...
Page 415 Configuration IP Interfaces et gestion IPv4 Paramètres d'interface Le relais et la surveillance DHCP peuvent être activés sur toutes les interfaces et sur tous les VLAN. Pour qu'un relais DHCP soit fonctionnel, une adresse IP doit être configurée sur le VLAN ou sur une interface.
Page 416 Configuration IP Interfaces et gestion IPv4 Veuillez noter les points suivants au sujet de la maintenance de la base de données de liaison de surveillance DHCP : • Le périphérique ne met pas à jour la base de données de liaison de surveillance DHCP lorsqu'une station est déplacée vers une autre interface.
Page 417 Configuration IP Interfaces et gestion IPv4 Renseignez les champs suivants : ÉTAPE 3 • ID du VLAN : VLAN sur lequel le paquet est attendu. • Adresse MAC : adresse MAC du paquet. • Adresse IP : adresse IP du paquet. •...
Page 418 Configuration IP Interfaces et gestion IPv4 Les modes suivants sont possibles : • Static Allocation (Allocation statique) : l'adresse matérielle ou l'identifiant client d'un hôte est mappée manuellement sur une adresse IP. Cette opération s'effectue sur la page Hôtes statiques. •...
Page 419 Configuration IP Interfaces et gestion IPv4 Effectuez cette opération sur la page Interfaces IPv4. Affichez les adresses IP attribuées à l'aide de la page Address Binding (Liaison d'adresses). ÉTAPE 7 Les adresses IP peuvent être supprimées sur cette page. Propriétés Pour configurer le périphérique en tant que serveur DHCPv4 : Cliquez sur Configuration IP >Interfaces et gestion IPv4 >...
Page 420 Configuration IP Interfaces et gestion IPv4 Pour créer un groupe d'adresses IP et définir leurs durées de bail : Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Serveur DHCP > Groupes de ÉTAPE 1 réseaux. Les groupes réseau précédemment définis s'affichent. Ces champs sont décrits ci-dessous sur la page Ajouter.
Page 421 Configuration IP Interfaces et gestion IPv4 • Adresse IP de routeur par défaut (option 3) : saisissez le routeur par défaut pour le client DHCP. • Adresse IP de serveur de noms de domaines (option 6) : sélectionnez l'un des serveurs DNS du périphérique (s'il est déjà...
Page 422 Configuration IP Interfaces et gestion IPv4 Adresses exclues Par défaut, le serveur DHCP suppose que toutes les adresses du groupe peuvent être attribuées aux clients. Il est possible d'exclure une seule adresse IP ou une plage d'adresses IP. Les adresses exclues sont exclues de tous les groupes DHCP. Pour définir une plage d'adresses exclues : Cliquez sur Configuration IP >...
Page 423 Configuration IP Interfaces et gestion IPv4 • Masque : saisissez le masque de réseau de l'hôte statique. Masque réseau : vérifiez et saisissez le masque réseau de l'hôte statique. Longueur du préfixe : vérifiez et saisissez le nombre de bits compris dans le préfixe de l’adresse.
Page 424 Configuration IP Interfaces et gestion IPv4 Peer-to-Peer (Homologue) : les communications point à point avec le serveur de nom NetBIOS sont utilisées pour enregistrer et traduire les noms d'ordinateur en adresses IP. Broadcast (Diffusion) : les messages de diffusion IP Broadcast sont utilisés pour enregistrer et traduire les noms NetBIOS en adresses IP.
Page 425 Configuration IP Interfaces et gestion IPv4 Cliquez sur Ajouter et renseignez les champs : ÉTAPE 3 • Nom du groupe : affiche le nom du groupe pour lequel le code est en cours de définition. • Code : saisissez le code d'option DHCP. •...
Page 426 Configuration IP Interfaces et gestion IPv4 Liaison d'adresse Utilisez la page Address Binding (Liaison d'adresses) pour afficher et supprimer les adresses IP attribuées par le périphérique ainsi que leurs adresses MAC correspondantes. Pour afficher et/ou supprimer les liaisons d'adresses : Cliquez sur Configuration IP >...
Page 427 Configuration IP Interfaces et gestion IPv6 Interfaces et gestion IPv6 Cette section couvre les sujets suivants : • Présentation • Configuration globale IPv6 • Interfaces IPv6 • Tunnel IPv6 • Adresses IPv6 • Configuration du routeur IPv6 • Liste des routeurs IPv6 par défaut •...
Page 428 Configuration IP Interfaces et gestion IPv6 La fonction de tunneling utilise un mécanisme ISATAP ou manuel (reportez-vous à la section Tunnel IPv6). La fonction Tunneling considère le réseau IPv4 comme une liaison locale IPv6 virtuelle, avec des mappages entre chaque adresse IPv4 et une adresse IPv6 de liaison locale. Le périphérique détecte les trames IPv6 d'après le type IPv6 Ethertype.
Page 429 Configuration IP Interfaces et gestion IPv6 Configuration globale IPv6 Pour définir des paramètres IPv6 globaux et les paramètres de client DHCPv6 : Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Configuration globale IPv6. ÉTAPE 1 Saisissez les valeurs appropriées dans les champs suivants : ÉTAPE 2 •...
Page 430 Configuration IP Interfaces et gestion IPv6 • DHCPv6 Unique Identifier (DUID) (Identificateur unique DHCPv6 (DUID)) : affiche l'identificateur sélectionné. Cliquez sur Appliquer. Les paramètres globaux IPv6 et les paramètres de client DHCPv6 sont ÉTAPE 3 mis à jour. Interfaces IPv6 Vous pouvez configurer l'interface IPv6 sur un port, un LAG, un VLAN, une interface de bouclage ou un tunnel.
Page 431 Configuration IP Interfaces et gestion IPv6 Pour configurer l'interface comme client DHCPv6, ce qui signifie activer l'interface pour ÉTAPE 6 recevoir des informations depuis le serveur DHCPv6, comme la configuration SNTP et des informations DNS, renseignez les champs Client DHCPv6 : •...
Page 432 Configuration IP Interfaces et gestion IPv6 Cliquez sur Appliquer pour activer le traitement IPv6 sur l'interface sélectionnée. Pour les ÉTAPE 8 interfaces IPv6 standard, les adresses suivantes sont configurées automatiquement : • Adresse de liaison locale, à l'aide de l'ID d'interface au format EUI-64, sur la base de l'adresse MAC d'un périphérique •...
Page 433 Configuration IP Interfaces et gestion IPv6 • Adresse du serveur DHCP : adresse du serveur DHCPv6. • DUID du serveur DHCP : identificateur unique du serveur DHCPv6. • DHCP Server Preference (Préférence du serveur DHCP) : priorité de ce serveur DHCPv6. •...
Page 434 Configuration IP Interfaces et gestion IPv6 Lors de la configuration d'un tunnel ISATAP, l'adresse IPv4 de destination est fournie par le routeur. Remarque : • Une adresse IPv6 de liaison locale est affectée à l'interface ISATAP. L'adresse IP initiale est affectée à l'interface, qui est alors activée. •...
Page 435 IPv6, s'il s'agit d'une adresse globale, et des 32 derniers bits de l'identifiant d'interface de l'adresse IPv6 du saut suivant IPv6, s'il s'agit d'une adresse de liaison locale. Ce tableau indique les tunnels compatibles avec les différents périphériques : Type du tunnel Sx350 SG350x SG350XG SG550X SG550XG...
Page 436 Table de tunnels IPv6 qui présente et permet de créer et de configurer des tunnels IPv6 tunnels (voir les étapes ci-dessous). Le Sx350 et le Sx350X prennent uniquement en charge les tunnels ISATAP. Pour ces appareils, le tunnel ISATAP est configuré en cliquant sur le bouton Créer un tunnel ISATAP et en saisissant les informations pour les champs Adresse IPv4 source et Nom du routeur ISATAP.
Page 437 Configuration IP Interfaces et gestion IPv6 • Destination : (pour le tunnel manuel uniquement) sélectionnez l'une des options suivantes pour spécifier l'adresse de destination du tunnel : Nom d'hôte : nom DNS de l'hôte distant. Adresse IPv4 : adresse IPv4 de l'hôte distant. •...
Page 438 Configuration IP Interfaces et gestion IPv6 Saisissez les valeurs des champs. ÉTAPE 4 • Interface IPv6 : affiche l'interface sur laquelle l'adresse IPv6 doit être définie. Si un astérisque (*) s'affiche, cela signifie que l'interface IPv6 n'est pas activée mais a été configurée. •...
Page 439 Configuration IP Interfaces et gestion IPv6 Configuration du routeur IPv6 Les sections suivantes décrivent comment configurer les routeurs IPv6. Il couvre les sujets suivants : • Annonce de routeur • Préfixes IPv6 Annonce de routeur Les routeurs IPv6 peuvent annoncer leur préfixes aux périphériques voisins. Cette fonction peut être activée ou supprimée par interface, comme suit : Cliquez sur Configuration IP >...
Page 440 Configuration IP Interfaces et gestion IPv6 • Other Stateful Configuration Flag (Indication de configuration d'autres informations avec conservation d'état) : cette indication permet d'indiquer aux hôtes connectés qu'ils doivent utiliser la configuration automatique avec conservation d'état pour obtenir d'autres informations (outre l'adresse). Si Managed Address Configuration Flag (Indication de configuration REMARQUE d'adresses gérées) est définie, un hôte connecté...
Page 441 Configuration IP Interfaces et gestion IPv6 Préfixes IPv6 Pour définir des préfixes à annoncer sur les interfaces du périphérique : Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Configuration du ÉTAPE 1 routeur IPv6 > Préfixes IPv6. Si nécessaire, activez le champ Filtre et cliquez sur OK. Le groupe d'interfaces correspondant ÉTAPE 2 au filtre s'affiche.
Page 442 Configuration IP Interfaces et gestion IPv6 • Configuration automatique : cette option permet d'activer la configuration automatique des adresses IPv6 à l'aide de la configuration automatique sans conservation d'état sur une interface et d'activer le traitement IPv6 sur cette interface. Les adresses sont configurées en fonction des préfixes reçus dans les messages Annonce de routeur.
Page 443 Configuration IP Interfaces et gestion IPv6 Pour définir un routeur par défaut : Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Liste des routeurs IPv6 par ÉTAPE 1 défaut. Cette page affiche les champs suivants pour chaque routeur par défaut : •...
Page 444 Configuration IP Interfaces et gestion IPv6 Voisins IPv6 La page Voisins IPv6 vous permet de configurer et d'afficher la liste des voisins IPv6 sur l'interface IPv6. La table Voisins IPv6, également appelée Cache de détection du voisinage IPv6, affiche les adresses MAC des voisins IPv6 qui font partie du même sous- réseau IPv6 que le périphérique.
Page 445 Configuration IP Interfaces et gestion IPv6 Sonde : le voisin n'est plus reconnu comme inaccessible et des sondes UNS (Unicast Neighbor Solicitation, sollicitation de voisinage Unicast) sont envoyées pour vérifier son accessibilité. • Routeur : spécifie si le voisin est un routeur (Oui ou Non). Pour ajouter un voisin à...
Page 446 Configuration IP Interfaces et gestion IPv6 longueur 32 bits complète. Si seul le paramètre Inférieur à est spécifié, la plage va de la valeur saisie pour l'argument réseau/longueur à la valeur Inférieur à. Si les arguments Inférieur à et Supérieur à sont tous les deux renseignés, la plage est comprise entre les valeurs utilisées pour Inférieur à...
Page 447 Configuration IP Interfaces et gestion IPv6 • Supérieur à : longueur minimale du préfixe devant être utilisée pour la correspondance. Sélectionnez l'une des options suivantes : Aucune limite : aucune longueur minimale du préfixe ne doit être utilisée pour la correspondance.
Page 448 Configuration IP Interfaces et gestion IPv6 • Prefix length (Longueur du préfixe) : saisissez la longueur du préfixe IPv6 source : • Action : sélectionnez une action pour la liste d'accès. Les options suivantes sont disponibles : Autoriser : permet d'autoriser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès.
Page 449 Configuration IP Interfaces et gestion IPv6 préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Page 450 Configuration IP Interfaces et gestion IPv6 Lorsque le client DHCPv6 n'est pas directement connecté au serveur DHCPv6, un agent de relais DHCPv6 (le périphérique) auquel ce client DHCPv6 est directement connecté encapsule les messages reçus du client DHCPv6 directement connecté et les transfère au serveur DHCPv6. Dans le sens inverse, l'agent de relais décapsule les paquets reçus du serveur DHCPv6 et les transfère au client DHCPv6.
Page 451 Configuration IP Routage basé sur une stratégie Paramètres d'interface Pour activer la fonction de relais DHCPv6 sur une interface et pour configurer une liste de serveurs DHCPv6 vers lesquels les paquets DHCPv6 sont relayés, lorsque ceux-ci sont reçus sur cette interface. Cliquez sur Configuration IP >...
Page 452 Configuration IP Routage basé sur une stratégie Mappage de route Le mappage de route permet de configurer le routage en fonction de la stratégie. Pour ajouter un mappage de route : Cliquez sur Configuration IP > Routage en fonction de la stratégie > Mappage de route. ÉTAPE 1 Cliquez sur Ajouter, puis renseignez les paramètres suivants : ÉTAPE 2...
Page 453 Configuration IP Routage basé sur une stratégie Liaison d'un mappage de route Tous les paquets arrivant sur une interface liée à un mappage de route et correspondant à une règle de mappage de route sont acheminés vers le saut suivant défini dans cette règle. Pour lier une interface à...
Page 454 (NFQDN), afin de les convertir en noms de domaine complets (FQDN). N'incluez pas le point initial qui sépare un nom incomplet du nom de REMARQUE domaine (comme cisco.com). Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 455 (FQDN). N'incluez pas le point initial qui sépare un nom incomplet du nom de REMARQUE domaine (comme cisco.com). Liste de recherche de domaine DHCP : cliquez sur Détails pour afficher la liste des serveurs DNS configurés sur le périphérique.
Page 456 Configuration IP Système de noms de domaine Vous pouvez définir jusqu'à huit serveurs DNS. Pour ajouter un serveur DNS, cliquez sur ÉTAPE 5 Ajouter. Saisissez les paramètres. ÉTAPE 6 • Version IP : sélectionnez Version 6 pour IPv6 ou Version 4 pour IPv4. •...
Page 457 Configuration IP Système de noms de domaine • Préférence : ordre dans lequel les domaines sont utilisés (du bas vers le haut). Cette option détermine efficacement l'ordre dans lequel les noms incomplets sont complétés au cours des requêtes DNS. Mappage d'hôtes Les mappages Nom d'hôte/Adresse IP sont enregistrés dans la zone Table de mappage d'hôtes (cache DNS).
Page 458 Configuration IP Système de noms de domaine OK : tentative réussie. Negative Cache (Cache négatif) : tentative échouée, ne réessayez pas. Pas de réponse : pas de réponse mais le système peut effectuer ultérieurement une nouvelle tentative. • TTL (s) : s'il s'agit d'une entrée dynamique, cette option indique sa durée de conservation dans le cache.
Page 459 Configuration IP Système de noms de domaine Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 460 Configuration IP : RIPv2 Cette section décrit la fonctionnalité RIP (Routing Information Protocol), version 2. Cette fonctionnalité n'est prise en charge que sur les appareils de la gamme 550. REMARQUE Elle couvre les sujets suivants : • Vue d'ensemble • Fonctionnement de RIP sur le périphérique •...
Page 461 Configuration IP : RIPv2 Fonctionnement de RIP sur le périphérique Fonctionnement de RIP sur le périphérique La section suivante décrit l'activation, la configuration du décalage, le mode passif, l'authentification, les compteurs de statistiques et la base de données des homologues de RIP. Activation de RIP •...
Page 462 Configuration IP : RIPv2 Fonctionnement de RIP sur le périphérique L'illustration suivante présente la configuration du décalage de métrique pour diverses interfaces, en fonction de la vitesse de port. Configuration du décalage (en fonction de la vitesse de port) Le routeur rD peut envoyer les données à rA via rB ou rC. Puisque rC prend uniquement en charge les ports Fast Ethernet (FE) et que rB prend en charge les ports Gigabit Ethernet (GE), le coût du chemin du routeur rD au routeur rA est supérieur via le routeur rC (plus 4 au coût du chemin) par rapport au chemin via le routeur rB (plus 2 au coût du chemin).
Page 463 Configuration IP : RIPv2 Fonctionnement de RIP sur le périphérique Filtrage des mises à jour du routage Vous pouvez filtrer les routes entrantes et sortantes pour une interface IP donnée à l'aide de deux listes d'accès standard : une pour les entrées et l'autre pour les sorties. La liste d'accès standard est une liste nommée et ordonnée de paires constituées d'un préfixe IP (adresse IP et longueur du masque IP) et d'une action.
Page 464 Configuration IP : RIPv2 Fonctionnement de RIP sur le périphérique La configuration de route peut être propagée par l'intermédiaire de l'une des options suivantes : • Paramètre par défaut Si cette option est sélectionnée, RIP utilise la valeur de métrique par défaut prédéfinie pour la configuration de route propagée.
Page 465 Configuration IP : RIPv2 Fonctionnement de RIP sur le périphérique Le routeur rA ne prend pas en charge RIP. Les entrées de routage pourvues d'une métrique appropriée sont donc configurées comme statiques sur ce routeur, alors que sur le routeur rB, la route vers le routeur rA est considérée comme connectée.
Page 466 Configuration IP : RIPv2 Configuration de RIP Base de données des homologues RIP Vous pouvez contrôler la base de données des homologues RIP par interface IP. Pour obtenir une description de ces compteurs, reportez-vous à la section Base de données d'homologues RIPv2.
Page 467 Configuration IP : RIPv2 Configuration de RIP Propriétés RIPv2 Cette fonctionnalité n'est prise en charge que sur les périphériques Sx550X/SG550XG. REMARQUE Pour activer/désactiver RIP sur l'appareil. Cliquez sur Configuration IP > Interfaces et gestion IPv4 > RIPv2 > Propriétés RIPv2. ÉTAPE 1 Sélectionnez les options suivantes selon vos besoins : ÉTAPE 2...
Page 468 Configuration IP : RIPv2 Configuration de RIP Redistribution de la route connectée : sélectionnez cette fonction pour l'activer (décrite à la ÉTAPE 5 section Redistribution de la configuration de route statique). Si la fonction Redistribute Connected Route (Redistribution de la route connectée) est ÉTAPE 6 activée, sélectionnez une option pour le champ Redistribute Connected Metric (Redistribuer le paramètre connecté).
Page 469 Configuration IP : RIPv2 Configuration de RIP • Décalage : indique le numéro métrique de l'interface IP spécifiée. Il reflète le coût supplémentaire d'utilisation de cette interface, en fonction de la vitesse de celle-ci. • Default Route Advertisement (Annonce de route par défaut) : cette option est définie de manière globale sur la page Propriétés RIPv2.
Page 470 Configuration IP : RIPv2 Configuration de RIP • Nom de la liste d'accès : permet d'indiquer le Nom de la liste d'accès (qui inclut une liste d'adresses IP) du filtrage des routes sortantes RIP pour une interface IP spécifiée. Pour obtenir une description des listes d'accès, reportez-vous à la section Paramètres de la liste d'accès.
Page 471 Configuration IP : RIPv2 Liste d'accès • Paquets incorrects reçus : spécifie le nombre de paquets incorrects identifiés par RIP sur l'interface IP. • Routes incorrectes reçues : spécifie le nombre de routes incorrectes reçues et identifiées par RIP sur l'interface IP. Les routes incorrectes sont des routes dont les paramètres de route sont incorrects.
Page 472 Configuration IP : RIPv2 Liste d'accès • Masque de la source IPv4 : entrez le type et la valeur du masque d'adresse IPv4 source. Les options suivantes sont disponibles : Masque de réseau : saisissez le masque de réseau. Longueur du préfixe : saisissez la longueur du préfixe. •...
Page 473 Configuration IP : RIPv2 Liste d'accès • Action : action pour la liste d'accès. Les options suivantes sont disponibles : Autoriser : permet d'autoriser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès. Refuser : permet de refuser l'entrée des paquets à partir des adresses IP contenues dans la liste d'accès.
Page 474 Configuration IP : VRRP Cette fonctionnalité n'est prise en charge que sur les commutateurs de la gamme 550. REMARQUE Ce chapitre décrit le fonctionnement du protocole VRRP (Virtual Router Redundancy Protocol) et la configuration des routeurs virtuels exécutant VRRP via une interface utilisateur graphique Web.
Page 475 Configuration IP : VRRP Topologie VRRP Topologie VRRP Vous allez découvrir la topologie d'un LAN sur lequel VRRP est configuré. Dans cet exemple, les routeurs A, B et C sont des routeurs VRRP et englobent un routeur virtuel. L'adresse IP du routeur virtuel est la même que celle configurée pour l'interface Ethernet du routeur A (198.168.2.1).
Page 476 Configuration IP : VRRP Topologie VRRP La priorité du routeur VRRP dépend des éléments suivants : si le routeur VRRP est le REMARQUE propriétaire, sa priorité est de 255 (la plus élevée) ; s'il n'est pas propriétaire, sa priorité est configurée manuellement (toujours inférieure à...
Page 477 Configuration IP : VRRP Éléments configurables de VRRP Dans cette topologie, deux routeurs virtuels sont configurés. Pour le routeur virtuel 1, rA est le propriétaire de l'adresse IP 192.168.2.1 et joue le rôle de routeur virtuel principal, et rB est le routeur virtuel de secours de rA.
Page 478 Configuration IP : VRRP Éléments configurables de VRRP La version VRRP est configurée sur chaque routeur virtuel. VRRPv2 est la version par défaut. Vous pouvez être confronté aux situations suivantes lors de la configuration d'un routeur virtuel : • Tous les routeurs VRRP existants du routeur virtuel sont exécutés en mode VRRPv3. Dans ce cas, choisissez également VRRPv3 pour votre nouveau routeur VRRP.
Page 479 Configuration IP : VRRP Éléments configurables de VRRP • Si un routeur VRRP (le routeur physique) est propriétaire des adresses IP du routeur virtuel, l'adresse IP du routeur virtuel doit être configurée manuellement sur le routeur VRRP ; elle ne doit pas être attribuée via DHCP. •...
Page 480 Configuration IP : VRRP Configuration de VRRP Dans la figure «Topologie VRRP de base», si le routeur A, étant le routeur virtuel principal, est en panne, un processus de sélection est lancé pour déterminer si les routeurs de secours B ou C doivent le remplacer.
Page 481 Configuration IP : VRRP Configuration de VRRP Les routeurs virtuels sont affichés. Les champs sont décrits sur la page Ajouter, sauf les champs suivants générés par le système : • État de l'unité principale/de secours : indique si le routeur virtuel est une unité principale, une unité...
Page 482 Configuration IP : VRRP Configuration de VRRP • Mode de contrôle d'acceptation : sélectionnez l'une des options suivantes : Accepter : le routeur virtuel dans l'état Maître acceptera les paquets à destination de l'adresse IP du routeur virtuel comme étant la sienne, même s'il n'en est pas le propriétaire.
Page 483 Configuration IP : VRRP Configuration de VRRP État de l'unité principale/de secours : indique si le routeur virtuel est l'unité principale ou l'unité de secours. Mode devancement : indique si le mode devancement est activé. Mode Accepter/Contrôler : affiche Abandonner ou Accepter. •...
Page 484 Configuration IP : VRRP Configuration de VRRP • Longueur de paquet non valide : affiche le nombre de paquets ayant des longueurs de paquet non valides. • TTL incorrect : affiche le nombre de paquets ayant des valeurs TTL (Time-to-Live) non valides.
Page 485 Configuration IP : VRRP Configuration de VRRP Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 486 Configuration IP : SLA Cette fonctionnalité n'est prise en charge que sur les commutateurs de la gamme 550. REMARQUE Ce chapitre décrit l'utilisation de la fonctionnalité de contrat de niveau de service (SLA). Il couvre les sujets suivants : • Vue d'ensemble •...
Page 487 Configuration IP : SLA Vue d'ensemble Le suivi des objets avec des contrats de niveau de service (SLA) IP repose sur les opérations IP SLA pour détecter une connexion vers une destination réseau donnée. Une opération de ce type envoie des paquets ICMP à l'adresse définie par l'utilisateur (le saut suivant requis) et surveille la réussite ou l'échec des réponses en provenance de l'hôte.
Page 488 Configuration IP : SLA Vue d'ensemble • État de l'objet de suivi : chaque objet de suivi conserve un état d'opération, à savoir : Actif ou Inactif. Après la création de l'objet, son état est défini sur Actif. Le tableau ci- dessous spécifie la conversion du code de retour de l'opération IP SLA en état d'objet : Code de retour de État de l'opération de suivi...
Page 489 Configuration IP : SLA Utilisation du contrat de niveau de service (SLA) Utilisation du contrat de niveau de service (SLA) Opérations ICMP-Echo Les opérations IP SLA ICMP-Echo peuvent être configurées sur cette page. Ces opérations seront exécutées conformément à la fréquence saisie. Cliquez sur Configuration IP >...
Page 490 Configuration IP : SLA Utilisation du contrat de niveau de service (SLA) • Adresse IP du saut suivant : sélectionnez Aucune ou Définie par l'utilisateur. Si l'option « Définie par l'utilisateur » est sélectionnée, entrez l'adresse IP du saut suivant. Ce paramètre doit être défini uniquement pour les opérations IP SLA utilisées pour les routes statiques.
Page 491 Configuration IP : SLA Utilisation du contrat de niveau de service (SLA) • Délai - Actif : indique le délai, en secondes, à observer pour passer de l'état Inactif à l'état Actif : Aucun : l'état du suivi est modifié immédiatement. Période de retard : l'état du suivi est modifié...
Page 492 Configuration IP : SLA Utilisation du contrat de niveau de service (SLA) Pour actualiser ces compteurs, cliquez sur : • Effacer les compteurs : efface les compteurs de l'opération sélectionnée. • Effacer les compteurs de toutes les opérations : efface les compteurs de toutes les opérations.
Page 493 Configuration IP : SLA Utilisation du contrat de niveau de service (SLA) Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 494 Sécurité Cette section décrit le contrôle d'accès et la sécurité du périphérique. Le système gère différents types de sécurité. La liste de rubriques suivante décrit les différents types de fonctions de sécurité présentées dans cette section. Certaines fonctionnalités sont utilisées pour plusieurs types de sécurité ou de contrôle et s'affichent donc à...
Page 495 Sécurité Configuration de TACACS+ Le contrôle d'accès au réseau des utilisateurs finaux par l'intermédiaire du périphérique est décrit dans les sections suivantes : • Méthode d'accès de gestion • Configuration de TACACS+ • RADIUS • Sécurité des ports • Authentification 802.1X La protection contre les autres utilisateurs du réseau est décrite dans les sections suivantes.
Page 496 Sécurité Configuration de TACACS+ • Autorisation : effectuée au moment de la connexion. Une fois la session d'authentification terminée, une session d'autorisation commence en utilisant le nom d'utilisateur authentifié. Le serveur TACACS+ vérifie ensuite les privilèges de l'utilisateur. • Comptabilité : activez la gestion de comptes des sessions de connexion à l'aide du serveur TACACS+.
Page 497 Sécurité Configuration de TACACS+ Valeurs par défaut Les valeurs par défaut suivantes concernent cette fonction : • Aucun serveur TACACS+ n'est défini par défaut. • Si vous configurez un serveur TACACS+, la fonction de gestion de comptes est désactivée par défaut. Interactions avec les autres fonctions Vous ne pouvez pas activer la gestion de comptes sur un serveur RADIUS et un serveur TACACS+.
Page 498 Sécurité Configuration de TACACS+ Pour configurer les paramètres du serveur TACACS+ : Cliquez sur Sécurité > TACACS+. ÉTAPE 1 Activez Gestion de comptes TACACS+ si nécessaire. Consultez l'explication fournie à la ÉTAPE 2 section Gestion de comptes utilisant un serveur TACACS+.
Page 499 Sécurité Configuration de TACACS+ • Définition du serveur : sélectionnez l'une des méthodes d'identification du serveur TACACS+ ci-après : Par adresse IP : si vous avez sélectionné cette option, entrez l'adresse IP du serveur dans le champ Nom/Adresse IP du serveur. Par nom : si vous avez sélectionné...
Page 500 Sécurité RADIUS • Délai de réponse : sélectionnez Défini par l'utilisateur et saisissez le laps de temps qui s'écoule avant l'expiration de la connexion entre le périphérique et le serveur TACACS+. Sélectionnez Valeurs par défaut pour utiliser la valeur par défaut affichée sur la page.
Page 501 Sécurité RADIUS • Autorisation : effectuée au moment de la connexion. Une fois la session d'authentification terminée, une session d'autorisation commence en utilisant le nom d'utilisateur authentifié. Le serveur RADIUS vérifie ensuite les privilèges de l'utilisateur. Comptabilité : activez la gestion de comptes des sessions de connexion à l'aide du serveur RADIUS.
Page 502 Sécurité RADIUS • Accès de gestion : spécifie que le serveur RADIUS est utilisé pour la gestion de comptes des connexions utilisateur. • Contrôle d'accès basé sur les ports et accès de gestion : spécifie que le serveur RADIUS est utilisé à la fois pour la gestion de comptes des connexions utilisateur et la gestion de comptes des ports 802.1x.
Page 503 Sécurité RADIUS Entrez les valeurs dans les champs pour chaque serveur RADIUS. Pour utiliser les valeurs par ÉTAPE 5 défaut entrées sur la page RADIUS, sélectionnez Valeurs par défaut. • Définition de serveur : indiquez si vous souhaitez spécifier le serveur RADIUS par son adresse IP ou son nom.
Page 504 Sécurité RADIUS • Port de gestion de comptes : saisissez le numéro de port UDP du port du serveur RADIUS pour les demandes de gestion de comptes. • Tentatives : sélectionnez Défini par l'utilisateur et entrez le nombre de demandes envoyées au serveur RADIUS avant que l'on considère qu'une défaillance est survenue.
Page 505 Sécurité RADIUS • Port d'authentification : saisissez le numéro de port UDP du port du serveur RADIUS pour les demandes d'authentification. • Port de gestion de comptes : saisissez le numéro de port UDP du port du serveur RADIUS pour les demandes de gestion de comptes. Paramètres de filtre •...
Page 506 Sécurité RADIUS Pour ajouter une clé secrète, cliquez sur Ajouter et renseignez les champs suivants : ÉTAPE 4 • Adresse NAS : adresse du commutateur où réside le client RADIUS. • Clé secrète : adresse du commutateur où réside le client RADIUS. Utiliser la clé...
Page 507 Sécurité RADIUS Utilisateurs du serveur RADIUS Pour ajouter un utilisateur : Cliquez sur Sécurité > Serveur RADIUS > Utilisateurs du serveur RADIUS. ÉTAPE 1 Les utilisateurs actuels sont affichés. Cliquez sur Ajouter. ÉTAPE 2 • Nom d'utilisateur : saisissez le nom d'un utilisateur. •...
Page 508 Sécurité RADIUS • Méthode d'authentification : méthode d'authentification utilisée. Affiche S/O si le type d'événement est Changement de date/heure ou Réinitialisation. • Adresse NAS : adresse du commutateur où réside le client RADIUS. Affiche S/O si le type d'événement est Changement de date/heure ou Réinitialisation. •...
Page 509 Sécurité RADIUS Utilisateurs rejetés par le serveur RADIUS Pour afficher les utilisateurs qui ont tenté de s'authentifier à l'aide du serveur RADIUS et qui ont été rejetés : Cliquez sur Sécurité > Serveur RADIUS > Utilisateurs rejetés par RADIUS. ÉTAPE 1 Les utilisateurs rejetés sont affichés avec les champs suivants : •...
Page 510 Sécurité RADIUS Entrées NAS inconnues du serveur RADIUS Pour afficher les refus d'authentification dus au fait que les serveurs NAS étaient inconnus du serveur RADIUS : Cliquez sur Sécurité > Serveur RADIUS > Entrées NAS inconnues du serveur RADIUS. ÉTAPE 1 Les champs suivants s'affichent : •...
Page 511 Sécurité RADIUS • Acceptations d'accès envoyées : nombre d'acceptations d'accès envoyées. • Rejets d'accès envoyés : nombre de rejets d'accès envoyés. • Challenges d'accès envoyés : nombre de challenges d'accès envoyés. • Demandes d'accès en entrée de format incorrect : nombre de demandes d'accès reçues dans un format incorrect.
Page 512 Sécurité du mot de passe Sécurité du mot de passe Le nom d'utilisateur/mot de passe par défaut est cisco/cisco. Lors de votre première ouverture de session avec le nom d'utilisateur et le mot de passe par défaut, vous devez saisir un nouveau mot de passe.
Page 513 Sécurité Gestion des clés • Ne pas répéter ou inverser le nom d'utilisateur ou toute variante obtenue en changeant la casse des caractères. • Ne pas répéter ou inverser le nom du fabricant ou toute variante obtenue en changeant la casse des caractères. Si les Paramètres de complexité...
Page 514 Sécurité Gestion des clés Il couvre les sujets suivants : • Chaîne de clé • Paramètres de la clé Chaîne de clé Cette fonctionnalité n'est prise en charge que sur les périphériques Sx550X/SG550XG. REMARQUE Procédure de création d'une chaîne de clé : Cliquez sur Sécurité...
Page 515 Sécurité Gestion des clés Les champs suivants sont pertinents pour les champs Accept Life Time (Accepter la durée de service) et Send Life Time (Envoyer la durée de service) : • Date de début : entrez la date de début de validité de l'identifiant de la clé. •...
Page 516 Sécurité Gestion des clés Vous pouvez entrer les valeurs Accepter la durée de service et Envoyer REMARQUE la durée de service. La valeur Accepter la durée de service indique quand l'identifiant de la clé est valide pour la réception des paquets. La valeur Envoyer la durée de service indique quand l'identifiant de la clé...
Page 517 Sécurité Méthode d'accès de gestion Méthode d'accès de gestion Cette rubrique décrit les règles d'accès correspondant à diverses méthodes de gestion. Elle couvre les sujets suivants : • Profil d'accès • Règles de profils Les profils d'accès déterminent la façon d'authentifier les utilisateurs et de les autoriser à accéder au périphérique via différentes méthodes d'accès.
Page 518 Sécurité Méthode d'accès de gestion Profil d'accès La page Access Profiles affiche les profils d'accès définis et permet de sélectionner un profil d'accès en tant que profil actif. Lorsqu'un utilisateur tente d'accéder au périphérique par le biais d'une méthode d'accès, le périphérique vérifie si le profil d'accès actif autorise explicitement l'accès de gestion au périphérique via cette méthode.
Page 519 Sécurité Méthode d'accès de gestion Saisissez les paramètres. ÉTAPE 6 • Rule Priority : saisissez la priorité des règles. Lorsque le paquet est mis en correspondance avec une règle, les groupes d'utilisateurs se voient accorder ou refuser l'accès au périphérique. La priorité des règles est indispensable pour faire correspondre les paquets aux règles, la correspondance des paquets étant établie sur une base de première correspondance.
Page 520 Sécurité Méthode d'accès de gestion • Applies to Source IP Address : sélectionnez le type d'adresse IP source auquel le profil d'accès s'applique. Le champ Adresse IP source est valide pour un sous-réseau. Sélectionnez l'une des valeurs suivantes : Tout : s'applique à tous les types d'adresses IP. User Defined : s'applique uniquement aux types d'adresses IP définis dans les champs.
Page 521 Sécurité Méthode d'accès de gestion Pour ajouter des règles de profil à un profil d'accès : Cliquez sur Sécurité > Méthode d'accès de gestion > Règles de profil. ÉTAPE 1 Sélectionnez le champ Filtre et un profil d'accès. Cliquez sur Go. ÉTAPE 2 Le profil d'accès sélectionné...
Page 522 Sécurité Authentification de l'accès de gestion • Applies to Interface : sélectionnez l'interface rattachée à la règle. Les options sont les suivantes : All : s'applique à tous les ports, VLAN et LAG. Défini par l'utilisateur : s'applique uniquement au port, VLAN ou LAG sélectionné. •...
Page 523 • RADIUS : l'utilisateur est autorisé/authentifié sur un serveur RADIUS. Vous devez avoir configuré un ou plusieurs serveurs RADIUS. Pour que le serveur RADIUS accorde l'accès à l'utilitaire de configuration Web, ce serveur doit renvoyer cisco-avpair = shell:priv-lvl=15. • TACACS+ : l'utilisateur est autorisé/authentifié sur le serveur TACACS+. Vous devez avoir configuré...
Page 524 Sécurité Gestion sécurisée des données sensibles La méthode d'authentification Local ou None doit toujours être REMARQUE sélectionnée en dernier. Toutes les méthodes d'authentification sélectionnées après Local ou None sont ignorées. Cliquez sur Appliquer. Les méthodes d'authentification sélectionnées sont associées à la ÉTAPE 5 méthode d'accès.
Page 525 Sécurité Serveur SSL Paramètres d'authentification de serveur SSL Il peut être nécessaire de générer un nouveau certificat pour remplacer le certificat par défaut présent sur l'appareil. Pour créer un certificat : Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL. ÉTAPE 1 Les informations relatives aux numéros de certificats actifs SSL 1 et 2 apparaissent dans la Table des clés de serveur SSL.
Page 526 Sécurité Serveur SSL Procédure d'importation d'un certificat : Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL. ÉTAPE 1 Cliquez sur Importer le certificat. ÉTAPE 2 Renseignez les champs suivants : ÉTAPE 3 • ID de certificat : sélectionnez le certificat actif. •...
Page 527 Sécurité Serveur SSH • Longueur de clé : sélectionnez soit Utiliser la valeur par défaut soit Définie par l'utilisateur et saisissez la longueur. • Nom commun : entrez . • Unité organisationnelle : indiquez l'unité organisationnelle liée au certificat. • Emplacement : saisissez l'emplacement de l'unité...
Page 528 Sécurité Services TCP/UDP Pour configurer les services TCP/UDP : Cliquez sur Sécurité > Services TCP/UDP. ÉTAPE 1 Activez ou désactivez les services TCP/UDP suivants sur les services affichés. ÉTAPE 2 • Service HTTP : indique si le service HTTP est activé ou désactivé. •...
Page 529 Sécurité Contrôle des tempêtes Contrôle des tempêtes Cette section décrit le contrôle des tempêtes. Elle couvre les sujets suivants : • Contrôle des tempêtes • Statistiques de contrôle des tempêtes Lorsque des trames de Diffusion (Broadcast), Multidiffusion (Multicast) ou Monodiffusion inconnue (Unknown Unicast) sont reçues, elles sont dupliquées et une copie est envoyée à...
Page 530 Sécurité Contrôle des tempêtes • Shutdown on Storm (Arrêt en cas de tempête) : sélectionnez cette option pour arrêter un port lorsqu'une tempête se produit sur celui-ci. Si cette option n'est pas sélectionnée, le trafic supplémentaire est ignoré. Contrôle des tempêtes de multidiffusion •...
Page 531 Sécurité Contrôle des tempêtes • Shutdown on Storm (Arrêt en cas de tempête) : sélectionnez cette option pour arrêter un port lorsqu'une tempête se produit sur celui-ci. Si cette option n'est pas sélectionnée, le trafic supplémentaire est ignoré. Cliquez sur Appliquer. Le contrôle des tempêtes est modifié et le fichier de Configuration ÉTAPE 4 d'exécution est mis à...
Page 532 Sécurité Sécurité des ports Sécurité des ports ou sur La sécurité des ports ne peut pas être activée sur les ports sur lesquels 802.1X est activé REMARQUE les ports qui ont été définis comme destination SPAN Vous pouvez accroître la sécurité réseau en limitant l'accès à un port pour des utilisateurs disposant d'adresses MAC spécifiques.
Page 533 Sécurité Sécurité des ports Lorsque l'adresse MAC sécurisée est détectée sur un autre port, la trame est transmise mais l'adresse MAC n'est pas apprise sur ce port. Outre l'une de ces actions, vous pouvez également générer des interceptions ainsi qu'en limiter la fréquence ou le nombre afin d'éviter de surcharger les appareils.
Page 534 Sécurité Authentification 802.1X • Action en cas de violation : sélectionnez l'action à appliquer aux paquets qui arrivent sur un port verrouillé. Les options sont les suivantes : Abandonner : supprime les paquets en provenance d'une source non apprise. Transférer : transfère les paquets en provenance d'une source inconnue sans apprendre l'adresse MAC.
Page 535 Sécurité Protection de la source IP Si le paquet correspond à une entrée contenue dans la base de données, le périphérique le transfère. Sinon, le paquet est supprimé. Cette section décrit la fonction de protection de la source IP. Elle couvre les sujets suivants : •...
Page 536 Sécurité Protection de la source IP Filtrage Si la protection de la source IP est activée sur un port : • Les paquets DHCP autorisés par la surveillance DHCP sont autorisés. • Si le filtrage des adresses IP sources est activé : Trafic IPv4 : seul le trafic avec une adresse IP source associée au port est autorisé.
Page 537 Sécurité Protection de la source IP Paramètres d'interface Si la protection de la source IP est activée sur un port/LAG non sécurisé, les paquets DHCP autorisés par la surveillance DHCP sont transmis. Si le filtrage des adresses IP sources est activé, la transmission des paquets est autorisée comme suit : •...
Page 538 Sécurité Protection de la source IP Pour afficher la base de données de liaison de surveillance DHCP et connaître l'utilisation de TCAM, définissez l'option Insertion inactive : Cliquez sur Sécurité > Protection de la source IP > Base de données de liaison. ÉTAPE 1 La base de données de liaison de surveillance DHCP utilise des ressources TCAM pour gérer ÉTAPE 2...
Page 539 Sécurité Inspection ARP Inspection ARP ARP permet la communication IP au sein d'un domaine de diffusion de couche 2 (Layer 2) en mappant les adresses IP à des adresses MAC. Un utilisateur malveillant peut attaquer les hôtes, les commutateurs et les routeurs connectés à un réseau en mode de couche 2 en empoisonnant les caches ARP des systèmes connectés au sous-réseau et en interceptant le trafic destiné...
Page 540 Sécurité Inspection ARP trafic destiné à IA ou IB, permettant ainsi à l'hôte C d'intercepter ce trafic. L'hôte C connaissant les véritables adresses MAC associées à IA et IB, il peut réacheminer le trafic intercepté vers ces hôtes en utilisant l'adresse MAC correcte en guise de destination. L'hôte C s'est par conséquent inséré...
Page 541 Sécurité Inspection ARP • Si l'adresse IP du paquet est introuvable et si le DHCP Snooping est activé pour le VLAN du paquet, le système recherche la paire <VLAN - adresse IP> du paquet dans la base de données de liaison de DHCP Snooping. Si la paire <VLAN - adresse IP> a été...
Page 542 Sécurité Inspection ARP Valeurs ARP par défaut Le tableau suivant décrit les valeurs ARP par défaut : Option État par défaut Inspection ARP dynamique Non activée Validation de paquet ARP Désactivée Inspection ARP activée sur VLAN Désactivée Intervalle du tampon du journal La génération d'un message SYSLOG pour les paquets supprimés est activée avec un intervalle de 5 secondes.
Page 543 Sécurité Inspection ARP • Intervalle du tampon du journal : sélectionnez l'une des options suivantes : Fréquence des tentatives : active l'envoi de messages SYSLOG pour les paquets supprimés. Saisissez la fréquence à laquelle les messages sont envoyés. Jamais désactive l'envoi de messages SYSLOG pour les paquets supprimés. Cliquez sur Appliquer.
Page 544 Sécurité Inspection ARP Renseignez les champs suivants : ÉTAPE 3 • Nom de contrôle d'accès ARP : saisissez un nom créé par l'utilisateur. • Adresse IP : adresse IP du paquet. • Adresse MAC : adresse MAC du paquet. Cliquez sur Appliquer. Les paramètres sont définis et le fichier de Configuration d'exécution ÉTAPE 4 est mis à...
Page 545 SCT. La fonction SCT est activée par défaut sur le périphérique et ne peut pas être désactivée. Le périphérique Cisco est un périphérique avancé qui gère le trafic de gestion, de protocole et de surveillance, outre le trafic de l'utilisateur final (TCP).
Page 546 Sécurité Prévention du déni de service La fonction SCT garantit que le périphérique reçoive et traite le trafic de gestion et de protocole, quel qu'il soit le trafic reçu. Ceci est possible en limitant le débit du trafic TCP sur le processeur.
Page 547 Sécurité Prévention du déni de service Utilisation de routines automatiques pour exploiter des failles dans les programmes qui acceptent des connexions distantes sur le hôtes distants ciblés. Chaque module de traitement peut contrôler jusqu'un millier d'agents. • Cheval de Troie Invasor : un cheval de Troie permet au pirate de télécharger un agent zombie (si le cheval de Troie n'en contient pas un).
Page 548 Sécurité Prévention du déni de service Configuration par défaut La fonctionnalité Prévention du déni de service (DoS) est configurée par défaut comme suit : • La fonctionnalité Prévention du déni de service (DoS) est désactivée par défaut. • La protection SYN-FIN est activée par défaut (même si la fonctionnalité Prévention du déni de service (DoS) est désactivée).
Page 549 Sécurité Prévention du déni de service Si vous sélectionnez la Protection de niveau système ou la Protection de niveau système et ÉTAPE 5 de niveau interface, activez une ou plusieurs des options de Protection contre les DoS suivantes : • Distribution Stacheldraht : abandonne les paquets TCP dont le port TCP source est 16660.
Page 550 Sécurité Prévention du déni de service Si le nombre est supérieur au seuil spécifique défini par l'utilisateur, un SYN de déni avec une règle « MAC-to-me » est appliqué sur le port. Cette règle est supprimée de l'intervalle défini par l'utilisateur du port (période de protection SYN). Pour configurer la protection SYN : Cliquez sur Sécurité...
Page 551 Sécurité Prévention du déni de service Adresses martiennes La page Martian Addresses (Adresses martiennes) permet de saisir les adresses IP qui indiquent une attaque si elles sont détectées sur le réseau. Les paquets provenant de ces adresses sont abandonnés. Le périphérique prend en charge un ensemble d'adresses martiennes réservées qui sont incorrectes du point de vue du protocole IP.
Page 552 Sécurité Prévention du déni de service • Adresse IP : saisissez une adresse IP à rejeter. Ce champ peut prendre les valeurs suivantes : De la liste réservée : sélectionnez une adresse IP bien connue dans la liste réservée. Nouvelle adresse IP : saisissez une adresse IP. •...
Page 553 Sécurité Prévention du déni de service • Port TCP : sélectionnez le port TCP de destination filtré : Ports connus : sélectionnez un port dans la liste. Défini par l'utilisateur : saisissez un numéro de port. Tous les ports : sélectionnez cette option pour indiquer que tous les ports seront filtrés.
Page 554 Sécurité Prévention du déni de service • Limite du débit SYN : saisissez le nombre des paquets SYN pouvant être reçus. Cliquez sur Appliquer. La protection du débit SYN est définie et le fichier de Configuration ÉTAPE 4 d'exécution est mis à jour. Filtrage ICMP La page ICMP Filtering (Filtrage ICMP) permet de bloquer les paquets ICMP en provenance de certaines sources.
Page 555 Sécurité Prévention du déni de service Filtrage de fragments IP La page IP Fragmented (IP fragmenté) permet de bloquer les paquets IP fragmentés. Pour configurer le blocage IP fragmenté : Cliquez sur Sécurité > Prévention du déni de service > Filtrage de fragments IP. ÉTAPE 1 Cliquez sur Ajouter.
Page 556 Sécurité : Authentification 802.1X Cette section décrit l'authentification 802.1X. Elle couvre les rubriques suivantes : • Présentation • Propriétés • Authentification des ports • Authentification hôtes et sessions • Hôtes authentifiés • Clients verrouillés • Personnalisation de l'authentification Web • Informations d'identification du demandeur Présentation L'authentification 802.1x empêche les clients non autorisés de se connecter à...
Page 557 Sécurité : Authentification 802.1X Présentation Il est décrit dans la figure ci-dessous : Client Authentificateur Serveur d'authentification Client Sur chaque port, un périphérique réseau peut être un client/demandeur, un authentificateur ou les deux. Client ou demandeur Un client ou un demandeur est un périphérique réseau qui demande accès au LAN. Le client est connecté...
Page 558 Sécurité : Authentification 802.1X Présentation Avec l'authentification MAC ou Web, l'authentificateur exécute lui-même la partie client EAP du logiciel pour les clients qui souhaitent accéder au réseau. Les ports sont configurés sur les modes d'authentification. Pour plus d'informations, reportez- vous à la section Modes hôte de port.
Page 559 Sécurité : Authentification 802.1X Présentation États d'authentification du port L'état d'authentification du port détermine si le client a accès au réseau. L'état administratif du port peut être configuré sur la page Authentification des ports. Les valeurs suivantes sont disponibles : •...
Page 560 Sécurité : Authentification 802.1X Présentation Lorsqu'un port est autorisé, le trafic balisé et non balisé provenant de l'hôte autorisé est ponté en fonction de la configuration du port d'appartenance au VLAN statique. Le trafic provenant des autres hôtes est abandonné. Un utilisateur peut spécifier que le trafic non balisé...
Page 561 Sécurité : Authentification 802.1X Présentation Méthodes d'authentification multiples Si plus d'une méthode d'authentification est activée sur le commutateur, la hiérarchie suivante des méthodes d'authentification est appliquée : • Authentification 802.1x : la plus haute • Authentification Web • Authentification MAC : la plus basse Plusieurs méthodes peuvent être exécutées simultanément.
Page 562 Sécurité : Authentification 802.1X Présentation Authentification MAC L'authentification MAC est une alternative à l'authentification 802.1X qui offre un accès réseau aux périphériques (comme les imprimantes et les téléphones IP) ne disposant pas de la fonctionnalité de demandeur 802.1X. L'authentification MAC utilise l'adresse MAC du périphérique qui se connecte pour accorder ou refuser l'accès au réseau.
Page 563 Sécurité : Authentification 802.1X Présentation Tous les paquets HTTP/HTTPS sur IPv4 issus des clients non autorisés sont interceptés par le processeur sur le commutateur. Si l'authentification Web est activée sur le port, une page de connexion apparaît avant que la page demandée ne s'affiche. L'utilisateur doit saisir son nom d'utilisateur et son mot de passe qui sont authentifiés par un serveur RADIUS utilisant le protocole EAP.
Page 564 Sécurité : Authentification 802.1X Présentation VLAN non authentifiés et VLAN invité Les VLAN non authentifiés et le VLAN invité permettent d'accéder aux services qui ne nécessitent pas que les ports ou appareils demandeurs disposent d'une authentification et d'une autorisation. Le VLAN invité est le VLAN attribué à un client non autorisé. Vous pouvez configurer le VLAN invité...
Page 565 Sécurité : Authentification 802.1X Présentation Affectation VLAN RADIUS ou Affectation VLAN dynamique Un client autorisé peut se voir attribuer un VLAN par le serveur RADIUS, si l'option est activée sur la page Authentification des ports. Elle porte le nom d'Affectation dynamique de VLAN (AVD) ou d'Affectation VLAN RADIUS.
Page 566 Sécurité : Authentification 802.1X Présentation Le tableau suivant décrit la prise en charge de l'affectation VLAN invité et VLAN RADIUS en fonction de la méthode d'authentification et du mode de port. Prise en charge de l'affectation VLAN RADIUS Méthode Hôte unique Hôtes Sessions multiples d'authentification...
Page 567 Sécurité : Authentification 802.1X Présentation Période silencieuse La période silencieuse est une période au cours de laquelle le port (mode Hôte unique ou Hôtes multiples) ou le client (mode Sessions multiples) ne peut pas effectuer de tentative d'authentification suite à l'échec d'un échange d'authentification. En mode Hôte unique ou Hôtes multiples, la période est définie par port ;...
Page 568 Sécurité : Authentification 802.1X Présentation Comportement des modes Le tableau suivant décrit la façon dont le trafic authentifié et non authentifié est traité dans diverses situations. Trafic non authentifié Trafic authentifié Avec VLAN invité Sans VLAN invité Avec VLAN Radius Sans VLAN Radius Non balisé...
Page 569 Sécurité : Authentification 802.1X Présentation Trafic non authentifié Trafic authentifié Avec VLAN invité Sans VLAN invité Avec VLAN Radius Sans VLAN Radius Non balisé Balisé Non balisé Balisé Non balisé Balisé Balisé balisé Sessions Les trames Les trames Les trames Les trames Les trames Les trames...
Page 570 Sécurité : Authentification 802.1X Présentation Tâches courantes Flux de travail 1 : activer l'authentification 802.1x sur un port Cliquez sur Sécurité > Authentification 802.1X > Propriétés pour activer globalement ÉTAPE 1 l'authentification 802.1X. Activez l'authentification basée sur les ports. ÉTAPE 2 Sélectionnez la Méthode d'authentification.
Page 571 Sécurité : Authentification 802.1X Présentation Renseignez les champs requis pour le port. ÉTAPE 3 Les champs de cette page sont décrits à la section Authentification des ports. Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour. ÉTAPE 4 Utilisez le bouton Copier les paramètres pour copier les paramètres d'un port vers un autre.
Page 572 Sécurité : Authentification 802.1X Propriétés Flux de travail 7 : configurer un demandeur 802.1X sur une interface Cliquez sur Sécurité > 802.1X > Informations d'identification du demandeur pour ÉTAPE 1 configurer les informations d'identification du demandeur. Cliquez sur Sécurité > 802.1X > Authentification des ports. ÉTAPE 2 Sélectionnez le port souhaité...
Page 573 Sécurité : Authentification 802.1X Propriétés RADIUS : authentifie l'utilisateur sur le serveur RADIUS. Si aucune authentification n'est effectuée, la session n'est pas autorisée. Aucune : n'authentifie pas l'utilisateur. Autorise la session. • VLAN invité : sélectionnez cette option pour permettre l'utilisation d'un VLAN invité pour les ports non autorisés.
Page 574 Sécurité : Authentification 802.1X Authentification des ports Interceptions de réussite d'authentification Web : sélectionnez cette option pour générer une interception si l'authentification Web réussit. Interceptions silencieuses d'authentification Web : sélectionnez cette option pour générer une interception si une période silencieuse commence. La Table d'authentification des VLAN affiche tous les VLAN et indique si l'authentification a été...
Page 575 Sécurité : Authentification 802.1X Authentification des ports Sélectionnez un port (autre que le port OOB) et cliquez sur Modifier. ÉTAPE 2 Saisissez les paramètres. ÉTAPE 3 • Interface : sélectionnez un port (autre que le port OOB). • Contrôle de port actuel : affiche l'état actuel de l'autorisation du port. Si l'état est Autorisé, le port est authentifié...
Page 576 Sécurité : Authentification 802.1X Authentification des ports • MAC Based Authentication (Authentification MAC) : sélectionnez cette option pour activer l'authentification du port en fonction de l'adresse MAC du demandeur. Seules huit authentifications basées sur MAC peuvent être utilisées sur le port. Pour que l'authentification MAC réussisse, le nom d'utilisateur et le mot REMARQUE de passe de demandeur du serveur RADIUS doivent être l'adresse MAC du demandeur.
Page 577 Sécurité : Authentification 802.1X Authentification des ports • Maximum WBA Silence Period (Période de silence WBA maximale) : saisissez la durée maximale de la période de silence pour l'authentification Web autorisée sur l'interface. Sélectionnez Infini pour ne spécifier aucune limite ou Défini par l'utilisateur pour spécifier une limite.
Page 578 Sécurité : Authentification 802.1X Authentification hôtes et sessions Authentification hôtes et sessions La page Authentification hôtes et sessions permet de définir le mode de fonctionnement de 802.1X sur le port, ainsi que l'action à réaliser si une violation a été détectée. Pour obtenir une explication de ces modes, reportez-vous à...
Page 579 Sécurité : Authentification 802.1X Hôtes authentifiés Hôtes authentifiés Pour consulter les informations sur les utilisateurs authentifiés, cliquez sur Sécurité > Authentification 802.1X > Hôtes authentifiés. Cette rubrique affiche les champs suivants : • Nom d'utilisateur : nom des demandeurs authentifiés sur chaque port. •...
Page 580 Sécurité : Authentification 802.1X Personnalisation de l'authentification Web Personnalisation de l'authentification Web Cette page permet de concevoir des pages d'authentification Web dans différentes langues. Vous pouvez ajouter 4 langues maximum. Jusqu'à 5 utilisateurs HTTP et 1 utilisateur HTTPS peuvent demander simultanément REMARQUE l'authentification Web.
Page 581 Sécurité : Authentification 802.1X Personnalisation de l'authentification Web Pour personnaliser les pages d'authentification Web, procédez comme suit : Cliquez sur Sécurité > Authentification 802.1X > Personnalisation de l'authentification ÉTAPE 1 Web. Cette page affiche les langues pouvant être personnalisées. Cliquez sur Modifier la page de connexion. ÉTAPE 2 La page suivante s'affiche : Cliquez sur Modifier l'étiquette 1.
Page 582 Sécurité : Authentification 802.1X Personnalisation de l'authentification Web Couleur du texte des en-têtes et pieds de page : entrez le code ASCII de la couleur du texte des en-têtes et pieds de page. La couleur sélectionnée apparaît dans le champ Texte. Couleur du lien hypertexte : entrez le code ASCII de la couleur du lien hypertexte.
Page 583 Sécurité : Authentification 802.1X Personnalisation de l'authentification Web • Zone de texte nom d'utilisateur : sélectionnez cette option pour afficher une zone de texte de nom d'utilisateur. • Étiqu. zone de texte nom d'utilisateur : sélectionnez l'étiquette à afficher avant la zone de texte de nom d'utilisateur.
Page 584 Sécurité : Authentification 802.1X Informations d'identification du demandeur Cliquez sur Modifier la page de réussite. ÉTAPE 13 Figure 4 La page suivante s'affiche Cliquez sur le bouton Modifier à droite sur la page. ÉTAPE 14 Saisissez le Message de réussite. Il s'agit du texte qui s'affichera si l'utilisateur réussit à se ÉTAPE 15 connecter.
Page 585 Sécurité : Authentification 802.1X Informations d'identification du demandeur • Description : saisissez un texte décrivant l'événement. • Mot de passe : sélectionnez un type de mot de passe parmi Chiffré ou Texte en clair, puis ajoutez le mot de passe. Cliquez sur Appliquer.
Page 586 Sécurité : Gestion sécurisée des données sensibles Secure Sensitive Data (SSD) est une architecture qui simplifie la protection des données confidentielles, comme les mots de passe et les clés, sur un appareil. Cette fonctionnalité utilise les mots de passe, le cryptage, le contrôle d'accès et l'authentification des utilisateurs afin de fournir une solution sécurisée pour la gestion des données confidentielles.
Page 587 Sécurité : Gestion sécurisée des données sensibles Gestion SSD SSD offre aux utilisateurs la flexibilité de configurer le niveau de protection souhaité pour leurs données confidentielles, à savoir aucune protection des données confidentielles sous forme de texte en clair, une protection minimale avec un cryptage basé sur le mot de passe par défaut ou une protection améliorée avec un cryptage basé...
Page 588 Spécifique : la règle s'applique à un utilisateur spécifique. Utilisateur par défaut (cisco) : la règle s'applique à l'utilisateur par défaut (cisco). Niveau 15 : la règle s'applique aux utilisateurs ayant le niveau de privilège 15.
Page 589 Sécurité : Gestion sécurisée des données sensibles Règles SSD Non sécurisé : spécifie que cette règle s'applique uniquement aux canaux non sécurisés. Selon le périphérique, elle peut prendre en charge tous les canaux non sécurisés suivants ou seulement certains d'entre eux : Telnet, TFTP et HTTP.
Page 590 Sécurité : Gestion sécurisée des données sensibles Règles SSD • Mode de lecture par défaut : tous les modes de lecture par défaut sont sujets à l'autorisation en lecture de la règle. Les options suivantes sont disponibles, mais certaines sont susceptibles d'être refusées en fonction de l'autorisation en lecture. Si l'autorisation en lecture définie par l'utilisateur pour un utilisateur est Exclure (par exemple), et que le mode de lecture par défaut est Chiffré, l'autorisation en lecture définie par l'utilisateur s'applique.
Page 591 Sécurité : Gestion sécurisée des données sensibles Règles SSD • Les utilisateurs SNMP sur un canal SNMP et XML non sécurisé (SNMPv1, v2 et v3 sans confidentialité) sont considérés comme Tous les utilisateurs. • Les noms de communauté SNMP ne sont pas utilisés comme noms d'utilisateur pour correspondre aux règles SSD.
Page 592 Sécurité : Gestion sécurisée des données sensibles Règles SSD Règles SSD par défaut Les règles par défaut suivantes sont définies pour le périphérique : Clé de règle Action de règle Utilisateur Canal Autorisation en Mode de lecture par défaut lecture Niveau 15 SNMP XML Texte en clair...
Page 593 Sécurité : Gestion sécurisée des données sensibles Propriétés SSD Propriétés SSD Les propriétés SSD sont un ensemble de paramètres qui, conjointement avec les règles SSD, définissent et contrôlent l'environnement SSD d'un appareil. L'environnement SSD comporte les propriétés suivantes : • Contrôle de la façon dont les données confidentielles sont chiffrées.
Page 594 Sécurité : Gestion sécurisée des données sensibles Propriétés SSD Mot de passe local Un appareil conserve un mot de passe local qui est celui de sa configuration d'exécution. SSD effectue normalement le cryptage et le décryptage des données confidentielles avec la clé générée à...
Page 595 Sécurité : Gestion sécurisée des données sensibles Fichiers de configuration Contrôle de l'intégrité du fichier de configuration Un utilisateur peut protéger un fichier de configuration contre toute altération ou modification en créant le fichier de configuration avec le Contrôle de l'intégrité du fichier de configuration. Il est recommandé...
Page 596 Sécurité : Gestion sécurisée des données sensibles Fichiers de configuration Un fichier de Configuration d'exécution contient la configuration actuellement utilisée par un appareil. La configuration dans un fichier de Configuration de démarrage devient la configuration d'exécution une fois le redémarrage effectué. Les fichiers de Configuration d'exécution et de Configuration de démarrage ont un format interne.
Page 597 Sécurité : Gestion sécurisée des données sensibles Fichiers de configuration Fichier de Configuration de démarrage L'appareil prend actuellement en charge la copie depuis les fichiers de Configuration d'exécution, de secours, miroir et à distance vers un fichier de Configuration de démarrage. Les configurations définies dans la configuration de démarrage sont effectives et deviennent la configuration d'exécution une fois le redémarrage effectué.
Page 598 Sécurité : Gestion sécurisée des données sensibles Fichiers de configuration • L'appareil configure le mot de passe, le contrôle du mot de passe et l'intégrité du fichier le cas échéant à partir du bloc de contrôle SSD dans le fichier de configuration source vers le fichier de Configuration de démarrage.
Page 599 Sécurité : Gestion sécurisée des données sensibles Fichiers de configuration Fichier de configuration de secours et miroir Un appareil génère fréquemment son fichier de Configuration miroir à partir du fichier de Configuration de démarrage si le service de configuration miroir automatique est activé. Un appareil génère toujours un fichier de Configuration miroir avec des données confidentielles chiffrées.
Page 600 Sécurité : Gestion sécurisée des données sensibles Fichiers de configuration L'appareil prend actuellement en charge la Configuration automatique, qui est activée par défaut. Lorsque la Configuration automatique est activée sur un appareil et que l'appareil reçoit les options DHCP qui spécifient un serveur de fichiers et un fichier de démarrage, l'appareil télécharge le fichier de démarrage (fichier de configuration à...
Page 601 Sécurité : Gestion sécurisée des données sensibles Canaux de gestion SSD Canaux de gestion SSD Les appareils peuvent être gérés via des canaux de gestion comme telnet, SSH et web. SSD classe les canaux selon les types suivants en fonction de leur sécurité et/ou leurs protocoles : sécurisé, non sécurisé, SNMP XML sécurisé...
Page 602 Sécurité : Gestion sécurisée des données sensibles Interface de ligne de commande (CLI) et récupération du mot de passe Interface de ligne de commande (CLI) et récupération du mot de passe L'interface de ligne de commande (CLI) est uniquement accessible aux utilisateurs dont les autorisations en lecture sont Les deux ou Texte en clair uniquement.
Page 603 Utilisateur spécifique : sélectionnez et entrez le nom d'utilisateur spécifique auquel cette règle s'applique (cet utilisateur ne doit pas nécessairement être défini). Utilisateur par défaut (cisco) : indique que cette règle s'applique à l'utilisateur par défaut. Niveau 15 : indique que cette règle s'applique à tous les utilisateurs ayant le niveau de privilège 15.
Page 604 Sécurité : Gestion sécurisée des données sensibles Configuration de SSD • Canal : définit le niveau de sécurité du canal d'entrée auquel la règle s'applique : Sélectionnez l'une des options suivantes : Sécurisé : indique que cette règle s'applique uniquement aux canaux sécurisés (console, SCP, SSH et HTTPS), mais pas les canaux SNMP et XML.
Page 605 Sécurité : Gestion sécurisée des données sensibles Configuration de SSD Les actions suivantes peuvent être effectuées sur les règles sélectionnées : ÉTAPE 4 • Ajouter, Modifier ou Supprimer des règles ou Restaurer les valeurs par défaut. • Restore All Rules to Default (Restaurer toutes les règles par défaut) : rétablit les valeurs d'origine d'une règle par défaut qui a été...
Page 606 Sécurité : Serveur SSH Cette section décrit la façon d'établir une session SSH sur le périphérique. Elle couvre les sujets suivants : • Vue d'ensemble • Tâches courantes • Authentification des utilisateurs SSH • Authentification du serveur SSH Vue d'ensemble La fonction SSH Server (Serveur SSH) permet aux utilisateurs distants de créer des sessions SSH sur le périphérique.
Page 607 Sécurité : Serveur SSH Tâches courantes Tâches courantes Cette section décrit quelques tâches courantes réalisées à l'aide de la fonction Serveur SSH. Flux de travail 1 : procédure de création d'une session SSH sans authentification des utilisateurs SSH : Activez le serveur SSH sur la page Services TCP/UDP.
Page 608 Sécurité : Serveur SSH Authentification des utilisateurs SSH Authentification des utilisateurs SSH Utilisez la page SSH User Authentication (Authentification des utilisateurs SSH) pour activer l'authentification des utilisateurs SSH par clé publique et/ou par mot de passe. Un utilisateur faisant appel à une clé publique pour créer un serveur SSH doit saisir son nom d'utilisateur et sa clé...
Page 609 Sécurité : Serveur SSH Authentification du serveur SSH • Authentification des utilisateurs SSH par clé publique : permet l'authentification des utilisateurs client SSH à l'aide de la clé publique. • Connexion automatique : l'activation de ce champ dépend de la sélection de la fonctionnalité...
Page 610 Sécurité : Serveur SSH Authentification du serveur SSH La page d'authentification du serveur SSH génère/importe la clé privée/publique du périphérique en tant que serveur SSH. Un utilisateur doit copier la clé publique (ou l'empreinte) du serveur SSH de ce périphérique dans l'application s'il souhaite utiliser l'authentification du serveur SSH dans ses sessions SSH.
Page 611 Sécurité : Serveur SSH Authentification du serveur SSH Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 612 Sécurité : Client SSH Cette section décrit l'appareil lorsqu'il fonctionne en tant que client SSH. Elle couvre les sujets suivants : • Vue d'ensemble • Authentification des utilisateurs SSH • Authentification du serveur SSH • Modification du mot de passe utilisateur du serveur SSH Vue d'ensemble Secure Copy (SCP) et SSH Secure Shell ou SSH est un protocole réseau qui permet aux données d'être échangées sur un...
Page 613 Sécurité : Client SSH Vue d'ensemble Lorsque des fichiers sont téléchargés via SCP, les informations sont téléchargées du serveur SCP vers l'appareil via un canal sécurisé. La création de ce canal sécurisé est précédée d'une authentification, ce qui garantit que l'utilisateur est autorisé à effectuer l'opération. Les informations d'authentification doivent être entrées par l'utilisateur sur l'appareil et le serveur SSH, même si ce guide ne décrit pas les opérations réalisées sur le serveur.
Page 614 Sécurité : Client SSH Vue d'ensemble • Le périphérique recherche l'adresse IP/le nom d'hôte du serveur SSH dans la Table des serveurs SSH de confiance. Trois cas peuvent se présenter : Si une correspondance est trouvée pour l'adresse IP/le nom d'hôte du serveur et son empreinte, le serveur est authentifié.
Page 615 Sécurité : Client SSH Vue d'ensemble Clés publiques/privées Pour utiliser la méthode de clé publique/privée afin d'authentifier le client via un serveur, créez un utilisateur et générez/importez une clé publique/privée sur le périphérique qui est un client SSH. Créez ensuite le même utilisateur sur le serveur SSH et copiez la clé publique (ou l'empreinte) générée/saisie via le client SSH sur le serveur SSH.
Page 616 Sécurité : Client SSH Vue d'ensemble L'utilisateur doit configurer les informations suivantes pour l'authentification : • La méthode d'authentification à utiliser. • Le nom d'utilisateur/mot de passe ou la paire de clés publique/privée. Algorithmes pris en charge Lorsque la connexion entre un appareil (en tant que client SSH) et un serveur SSH est établie, le client et le serveur SSH échangent des données afin de déterminer les algorithmes à...
Page 617 Sécurité : Client SSH Vue d'ensemble Tâches courantes Cette section décrit certaines tâches courantes réalisées par le périphérique en tant que client SSH. Toutes les pages référencées sont disponibles sous la branche Client SSH de l'arborescence du menu. Flux de travail 1 : pour configurer le client SSH et transférer des données de/vers un serveur SSH distant, procédez comme suit : Déterminez la méthode à...
Page 618 Sécurité : Client SSH Vue d'ensemble Flux de travail 2 : pour importer des clés publiques/privées d'un appareil vers un autre : Générez une clé publique/privée sur la page Authentification des utilisateurs SSH. ÉTAPE 1 Définissez les propriétés SSD et créez un nouveau mot de passe local sur la page ÉTAPE 2 Propriétés SSD.
Page 619 Sécurité : Client SSH Authentification des utilisateurs SSH Authentification des utilisateurs SSH Utilisez cette page pour sélectionner une méthode d'authentification des utilisateurs SSH, définir un nom d'utilisateur et un mot de passe sur l'appareil, si la méthode du mot de passe est sélectionnée ou générer une clé...
Page 620 Sécurité : Client SSH Authentification du serveur SSH Pour gérer une clé RSA ou DSA, sélectionnez RSA ou DSA et effectuez l'une des actions ÉTAPE 6 suivantes : • Générer : générez une nouvelle clé. • Modifier : affichez les clés pour effectuer un copier/coller vers un autre appareil. •...
Page 621 Sécurité : Client SSH Modification du mot de passe utilisateur du serveur SSH • Version IP : si vous avez choisi de définir le serveur SSH par son adresse IP, indiquez s'il s'agit d'une adresse IPv6 IPv4. • IPv6 Address Type (Type d'adresse IPv6) : si l'adresse IP du serveur SSH est une adresse IPv6, sélectionnez le type d'adresse correspondant, à...
Page 622 Sécurité : Client SSH Modification du mot de passe utilisateur du serveur SSH • IPv6 Address Type (Type d'adresse IPv6) : si l'adresse IP du serveur SSH est une adresse IPv6, sélectionnez le type d'adresse correspondant, à savoir IPv6. Les options sont les suivantes : Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une liaison de réseau unique.
Page 623 Sécurité : Client SSH Modification du mot de passe utilisateur du serveur SSH Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 624 Sécurité : Sécurité du premier saut IPv6 Cette section décrit le fonctionnement de la Sécurité du premier saut IPv6 (First Hop Security, FHS) et la procédure de configuration correspondante dans l'interface utilisateur graphique. Elle couvre les rubriques suivantes : • Présentation de la Sécurité...
Page 625 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 La Sécurité du premier saut IPv6 (IPv6 FHS) est une suite de fonctionnalités conçues pour sécuriser les opérations de liaison dans un réseau IPv6. Elle est basée sur le protocole Neighbor Discovery Protocol (NDP) et les messages DHCPv6.
Page 626 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 Description FCFS-SAVI First Come First Served - Source Address Validation Improvement Message NA Message Neighbor Advertisement Neighbor Discovery Protocol Message NS Message Neighbor Solicitation Message RA Message Router Advertisement Message RS Message Router Solicitation...
Page 627 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 Canal de Sécurité du premier saut IPv6 Si la Sécurité du premier saut IPv6 est activée sur un VLAN, le commutateur intercepte les messages suivants : •...
Page 628 Sécurité : Sécurité du premier saut IPv6 Présentation de la Sécurité du premier saut IPv6 Périmètre de la Sécurité du premier saut IPv6 Les commutateurs de la Sécurité du premier saut IPv6 peuvent former un périmètre séparant une zone non sécurisée d'une zone sécurisée. Tous les commutateurs situés à l'intérieur du périmètre prennent en charge la Sécurité...
Page 629 Sécurité : Sécurité du premier saut IPv6 Protection Router Advertisement Protection Router Advertisement La protection Router Advertisement (RA) est la première fonction FHS qui traite les messages RA interceptés. La protection RA prend en charge les fonctions suivantes : • Filtrage des messages de redirection RA, CPA et ICMPv6 reçus.
Page 630 Sécurité : Sécurité du premier saut IPv6 Protection DHCPv6 Filtrage en sortie L'inspection ND bloque le transfert des messages RS et CPS sur les interfaces configurées comme interfaces hôtes. Protection DHCPv6 La protection DHCPv6 traite les messages DHCPv6 interceptés. La protection DHCPv6 prend en charge les fonctions suivantes : •...
Page 631 Sécurité : Sécurité du premier saut IPv6 Intégrité de la liaison de voisin Validation des adresses IPv6 globales L'intégrité de la liaison de voisin procède aux validations suivantes : • Si l'adresse cible dans un message NS ou NA est une adresse IPv6 globale, elle doit appartenir à...
Page 632 Sécurité : Sécurité du premier saut IPv6 Intégrité de la liaison de voisin Méthode NBI-NDP La méthode NBI-NDP utilisée est basée sur la méthode FCFS- SAVI spécifiée dans RFC6620, avec les différences suivantes : • À la différence de FCFS-SAVI, qui prend uniquement en charge la liaison pour les adresses IPv6 de liaison locale, NBI-NDP prend également en charge les adresses IPv6 de liaison globale.
Page 633 Sécurité : Sécurité du premier saut IPv6 Protection de la source IPv6 NBI-NDP prend en charge un minuteur de durée de vie. Une valeur du minuteur est configurable sur la page Paramètres de liaison de voisin. Le minuteur est redémarré à chaque fois que l'adresse IPv6 liée est confirmée.
Page 634 Sécurité : Sécurité du premier saut IPv6 Protection contre les attaques La fonction Protection de la source IPv6 valide les adresses sources de tous les messages IPv6 reçus au moyen de la table Liaison de voisin, à l'exception des messages ci-dessous qui sont transmis sans validation : •...
Page 635 Sécurité : Sécurité du premier saut IPv6 Protection contre les attaques Protection contre l'usurpation de résolution d'adresse IPv6 Un hôte malveillant peut envoyer des messages NA qui l'annoncent lui-même comme hôte IPv6 disposant de l'adresse IPv6 donnée. L'intégrité de la liaison de voisin offre une protection contre ces attaques comme suit : •...
Page 636 Sécurité : Sécurité du premier saut IPv6 Stratégies, paramètres globaux et valeurs par défaut du système Un hôte malveillant peut envoyer des messages de réponse DHCPv6 qui l'annoncent lui-même comme serveur DHCPv6 et fournissant des adresses IPv6 et des informations sans état contrefaites.
Page 637 Sécurité : Sécurité du premier saut IPv6 Stratégies, paramètres globaux et valeurs par défaut du système Stratégies par défaut Il existe des stratégies par défaut vides pour chaque fonction FHS. Par défaut, elles sont associées aux VLAN et aux interfaces. Les stratégies par défaut sont nommées : «...
Page 638 Sécurité : Sécurité du premier saut IPv6 Tâches courantes • Les règles globales sont ajoutées au groupe si elles n'ont pas été ajoutées au niveau du VLAN ou du port. Les règles définies au niveau du port remplacent les règles définies au niveau du VLAN. Les règles définies au niveau du VLAN remplacent les règles configurées de manière globale.
Page 639 Sécurité : Sécurité du premier saut IPv6 Tâches courantes Flux de travail de protection DHCPv6 Sur la page Paramètres de protection DHCPv6, entrez la liste des VLAN sur lesquels cette ÉTAPE 1 fonction est activée. Sur cette même page, définissez les valeurs de configuration globale utilisées si aucune valeur ÉTAPE 2 n'est définie dans une stratégie.
Page 640 Sécurité : Sécurité du premier saut IPv6 Configuration et paramètres par défaut Ajoutez toutes les entrées manuelles requises sur la page Table de liaisons de voisins. ÉTAPE 4 Associez la stratégie à un VLAN, un port ou un LAG à l'aide de la page Association de ÉTAPE 5 stratégie (VLAN)
Page 641 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Paramètres FHS Utilisez la page Paramètres FHS pour activer la fonction Sécurité du premier saut IPv6 commune sur un groupe de VLAN spécifique, ainsi que pour définir la valeur de configuration globale pour la journalisation des paquets abandonnés.
Page 642 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Cliquez sur Appliquer pour ajouter les paramètres au fichier de Configuration d'exécution. ÉTAPE 5 Pour associer cette stratégie à une interface : ÉTAPE 6 •...
Page 643 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Managed Configuration Flag (Drapeau de configuration gérée) : ce champ spécifie la vérification du drapeau Configuration d'adresse gérée annoncé au sein d'une stratégie de protection RA IPv6.
Page 644 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Minimal Hop Limit (Limite de saut minimale) : indique si la stratégie Protection RA contrôle la limite de saut minimale du paquet reçu. Inherited (Hérité) : la fonction est héritée du VLAN ou du paramètre système par défaut (client).
Page 645 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Maximal Router Preference (Préférence de routeur maximale) : ce champ indique si la stratégie Protection RA vérifie la valeur maximale Préférence de routeur par défaut annoncée dans les messages RA dans le cadre d'une stratégie Protection RA.
Page 646 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Pour configurer la fonction Protection DHCPv6 : Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres de protection ÉTAPE 1 DHCPv6.
Page 647 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Rôle du périphérique : sélectionnez Serveur ou Client afin de spécifier le rôle du périphérique associé au port pour la protection DHCPv6. Hérité...
Page 648 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Maximal Preference (Préférence maximale) : ce champ indique si la stratégie Protection DHCPv6 contrôle la valeur maximale de préférence annoncée du paquet reçu.
Page 649 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Drop Unsecure (Supprimer non sûr) : sélectionnez cette option pour activer l'élimination des messages sans option Signature RSA ou CGA au sein d'une stratégie Inspection ND IPv6.
Page 650 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Aucune vérification : désactive la vérification du niveau de sécurité. Défini par l'utilisateur : spécifiez le niveau de sécurité du message à transférer. •...
Page 651 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Device Role (Rôle du périphérique) : affiche le rôle par défaut global du périphérique (périmètre). • Neighbor Binding Lifetime (Durée de vie de la liaison de voisins) : entrez la durée pendant laquelle les adresses sont conservées dans la table de liaisons de voisins.
Page 652 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Renseignez les champs suivants : ÉTAPE 5 • Policy Name (Nom de la stratégie) : saisissez un nom de stratégie défini par l'utilisateur. •...
Page 653 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Statique : seule la configuration automatique statique est autorisée pour les adresses IPv6 globales liées à partir des messages NDP. Désactiver : la liaison à...
Page 654 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Pour configurer la fonction Protection de la source IPv6 : Cliquez sur Sécurité > Sécurité du premier saut IPv6 > Paramètres de la Protection de la ÉTAPE 1 source IPv6.
Page 655 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Pour associer une stratégie à un VLAN, cliquez sur Ajouter et renseignez les champs ÉTAPE 2 suivants : • Type de stratégie : sélectionnez le type de stratégie à associer à l'interface. •...
Page 656 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • Dynamique uniquement : efface toutes les entrées dynamiques de la table. • Dynamique et statique : efface toutes les entrées statiques et dynamiques de la table. Les champs suivants s'affichent pour chaque stratégie (seuls les champs de la page Add [Ajouter] sont affichés) : •...
Page 657 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Table des préfixes de voisins Vous pouvez ajouter des préfixes statiques aux adresses IPv6 globales liées à partir de messages NDP dans la table des préfixes de voisins. Les entrées dynamiques font l'objet d'un apprentissage, comme décrit dans Apprentissage des préfixes IPv6 annoncés.
Page 658 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web État FHS Pour afficher la configuration globale des fonctions Sécurité du premier saut (First Hop Security, FHS) : Cliquez sur Sécurité > Sécurité du premier saut IPv6 > État FHS. ÉTAPE 1 Sélectionnez un port, LAG ou VLAN pour lequel l'état FHS est indiqué.
Page 659 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web • État de protection DHCPv6 DHCPv6 Guard State on Current VLAN (État de protection DHCPv6 sur le VLAN actuel) : indique si la fonction Protection DHCPv6 est activée sur le VLAN actuel. Rôle du périphérique : rôle du périphérique DHCP.
Page 660 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web Max Entries per VLAN (Entrées max par VLAN) : nombre maximal autorisé d'entrées de Table de liaisons de voisins dynamiques par VLAN. Max Entries per Interface (Entrées max par interface) : nombre maximal autorisé...
Page 661 Sécurité : Sécurité du premier saut IPv6 Configuration de la Sécurité du premier saut IPv6 via l'interface utilisateur graphique Web REDIR : messages de redirection NS : messages Neighbor Solicitation NA : messages d'annonce de voisin RS : messages Router Solicitation •...
Page 662 Contrôle d'accès La fonction de liste de contrôle d'accès (ACL, Access Control List) fait partie intégrante du mécanisme de sécurité. Les définitions ACL permettent, entre autres, de définir les flux de trafic auxquels est attribuée une qualité de service (QoS) spécifique. Pour plus d'informations, reportez-vous à...
Page 663 3 000 3 000 SG350XG 2 000 2 000 SG350 et Sx350 1 000 1 000 Sx250 Jusqu'à 256 ACE peuvent être configurés sur un seul port ou dans une seule ACL. Lorsqu'un paquet correspond à un filtre ACE, l'action ACE est appliquée et le traitement de cette ACL est arrêté.
Page 664 Contrôle d'accès Présentation Pour associer plusieurs ACL à un port, vous devez utiliser une stratégie comportant un ou plusieurs mappages de classe. Les types suivants d'ACL peuvent être définis (selon la partie de l'en-tête de la trame qui est examinée) : •...
Page 665 Contrôle d'accès Présentation Le nombre de flux pris en charge est défini ainsi : • Gamme SG350xx : 150 par unité • Gamme SG550XG : 150 par unité dans la pile Messages SYSLOG Les messages SYSLOG présentent le niveau de gravité Information. Ils indiquent si le paquet correspond à...
Page 666 Contrôle d'accès Présentation Création d'un flux de travail d'ACL Pour créer des ACL et les associer à une interface, procédez comme suit : 1. Créez un ou plusieurs des types d'ACL suivants : a. ACL basée sur MAC en utilisant la page ACL basée sur MAC et la page ACE basé...
Page 667 Contrôle d'accès Création d'ACL basées sur MAC Création d'ACL basées sur MAC Les ACL basées sur MAC sont utilisées pour filtrer le trafic basé sur les champs de la Couche 2. Ces ACL vérifient toutes les trames à la recherche d'une correspondance. Les ACL basées sur MAC sont définies sur la page ACL basée sur MAC.
Page 668 Contrôle d'accès Création d'ACL basées sur MAC • Action : sélectionnez l'action à appliquer en cas de correspondance. Les options sont les suivantes : Autoriser : transfère les paquets qui répondent aux critères de l'ACE. Refuser : abandonne les paquets qui répondent aux critères de l'ACE. Arrêter : abandonne les paquets qui répondent aux critères de l'ACE et désactive le port à...
Page 669 Contrôle d'accès Création d'ACL basées sur IPv4 • ID VLAN : saisissez la partie ID VLAN de la balise VLAN à mettre en correspondance. • 802.1p : sélectionnez Inclure pour utiliser 802.1p. • 802.1p Value : saisissez la valeur 802.1p à ajouter à la balise VPT. •...
Page 670 Contrôle d'accès Création d'ACL basées sur IPv4 ACL basée sur IPv4 Pour définir une ACL basée sur IPv4 : Cliquez sur Contrôle d'accès > ACL basée sur IPv4. ÉTAPE 1 Cette page affiche toutes les ACL basées sur IPv4 actuellement définies. Cliquez sur Add.
Page 671 Contrôle d'accès Création d'ACL basées sur IPv4 • Journalisation : sélectionnez cette option pour activer les flux ACL correspondant à la règle ACL. • Période : limite l'utilisation de l'ACL à une période spécifique. • Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser. Les périodes sont définies dans la section Configuration de l'heure système.
Page 672 Contrôle d'accès Création d'ACL basées sur IPv4 OSPF : Open Shortest Path First IPIP : IP in IP PIM : Protocol Independent Multicast L2TP : Layer 2 Tunneling Protocol ISIS : protocole spécifique à IGP ID protocole de mise en correspondance : au lieu de sélectionner le nom, saisissez l'ID du protocole.
Page 673 Contrôle d'accès Création d'ACL basées sur IPv4 Unique par le numéro : saisissez un seul port TCP/UDP source avec lequel les paquets sont mis en correspondance. Ce champ n'est actif que si 800/6-TCP ou 800/ 17-UDP est sélectionné dans le menu déroulant Sélectionner dans la liste. Range : sélectionnez une plage de ports source TCP/UDP avec lesquels le paquet est mis en correspondance.
Page 674 Contrôle d'accès Création d'ACL basées sur IPv6 • IGMP : si l'ACL est basée sur IGMP, sélectionnez le type de message IGMP à utiliser afin de filtrer. Sélectionnez le type de message en fonction de son nom ou saisissez le numéro du type de message : Indiffér.
Page 675 Contrôle d'accès Création d'ACL basées sur IPv6 ACE basé sur IPv6 Chaque règle basée sur IPv6 consomme deux règles TCAM. REMARQUE Cliquez sur Contrôle d'accès > ACE basé sur IPv6. ÉTAPE 1 Cette fenêtre affiche les ACE (règles) d'une ACL spécifiée (groupe de règles). Sélectionnez une ACL et cliquez sur Go.
Page 676 Contrôle d'accès Création d'ACL basées sur IPv6 UDP : User Datagram Protocol. Transmet les paquets mais ne garantit pas leur livraison. ICMP : fait correspondre les paquets au protocole ICMP (Internet Control Message Protocol). ID protocole de mise en correspondance : saisissez l'ID du protocole avec lequel établir la correspondance.
Page 677 Contrôle d'accès Création d'ACL basées sur IPv6 • Étiquette de flux : Classe le trafic IPv6 en fonction d'un champ d'étiquette de flux IPv6. Il s'agit d'un champ de 20 bits qui fait partie de l'en-tête de paquet IPv6. Une étiquette de flux IPv6 peut être utilisée par une station source pour étiqueter un jeu de paquets appartenant au même flux.
Page 678 Contrôle d'accès Liaison ACL • Code ICMP : les messages ICMP peuvent disposer d'un champ de code indiquant comment gérer le message. Sélectionnez l'une des options suivantes pour indiquer si le filtrage s'effectuera en fonction de ce code : Indiffér. : tous les codes sont acceptés. Défini par l'utilisateur : saisissez un code ICMP à...
Page 679 Contrôle d'accès Liaison ACL Sélectionnez l'une des options suivantes : ÉTAPE 3 • ACL basée sur MAC : sélectionnez une ACL basée sur MAC à lier à l'interface. • ACL basée sur IPv4 : sélectionnez une ACL basée sur IPv4 à lier à l'interface. •...
Page 680 Contrôle d'accès Liaison ACL Sélectionnez une interface et cliquez sur Edit. ÉTAPE 4 Saisissez les informations suivantes pour les ACL d'entrée et de sortie : ÉTAPE 5 ACL d'entrée • ACL basée sur MAC : sélectionnez une ACL basée sur MAC à lier à l'interface. •...
Page 681 Contrôle d'accès Liaison ACL Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 682 Qualité de service La fonction QoS (Quality of Service, qualité de service) est appliquée à l'ensemble du réseau pour garantir que le trafic réseau est géré en fonction des critères fixés et que les données voulues reçoivent un traitement préférentiel. Cette section couvre les sujets suivants : •...
Page 683 Qualité de service Fonctions et composants QoS Fonctions et composants QoS La fonction QoS permet d'optimiser les performances du réseau. La QoS fournit les éléments suivants : • Classification du trafic entrant en différentes classes sur la base d'attributs, notamment : Configuration du périphérique Interface d'entrée Contenu des paquets...
Page 684 Qualité de service Fonctions et composants QoS Modes QoS Le mode de QoS sélectionné s'applique à toutes les interfaces du système. • Mode de base : CoS (Class of Service, classe de service). Tout le trafic d'une même classe reçoit un traitement identique, à savoir l'action unique de QoS consistant à...
Page 685 Qualité de service Fonctions et composants QoS Lorsque vous changez de mode, les événements suivants se produisent : • Lorsque vous passez du mode de QoS avancé à un autre mode, les définitions de profil de stratégie et les mappages de classe sont supprimés. Les ACL directement liées aux interfaces restent liées.
Page 686 Qualité de service Fonctions et composants QoS Configurez le mode sélectionné en réalisant l'une des opérations suivantes : ÉTAPE 8 a. Configurez le mode De base comme le décrit la section Flux de travail de configuration du mode de base de QoS b.
Page 687 Qualité de service Général Général Cette section couvre les sujets suivants : • Propriétés de QoS • File d'attente • CoS/802.1p vers une file d'attente • DSCP vers file d'attente • Bande passante • Modelage de sortie par file d'attente •...
Page 688 Qualité de service Général • CoS par défaut : Valeur VPT par défaut pour les paquets entrants qui ne possèdent pas de balise VLAN. La valeur CoS par défaut est 0. La valeur par défaut s'applique seulement aux trames non balisées et uniquement lorsque le système fonctionne en mode De base et que l'option CoS de confiance est sélectionnée sur la page Paramètres globaux.
Page 689 Qualité de service Général Vous sélectionnez les modes de mise en file d'attente dans la page File d'attente. Lorsque la mise en file d'attente se fait par priorité stricte, l'ordre de priorité définit l'ordre de traitement des files d'attente, en commençant parcelle dont la priorité est la plus élevée, puis en passant à la file d'attente de niveau immédiatement inférieur à...
Page 690 Excellent effort Application critique - SIP pour téléphone LVS Vidéo Voix - Valeur par défaut de téléphone IP Cisco Contrôle de l’interfonctionnement RTP pour téléphone LVS Contrôle du réseau En modifiant le mappage CoS/802.1p vers file d'attente (CoS/802.1p vers file d'attente), et la méthode de planification des files d'attente ainsi que l'allocation de la bande passante (page...
Page 691 Qualité de service Général La file d'attente 1 est celle qui dispose de la priorité la plus basse, tandis que la priorité la plus élevée est affectée à la file d'attente 8 des gammes 350 et 550. Pour mapper des valeurs de CoS sur des files d'attente de sortie : Cliquez sur Qualité...
Page 692 Qualité de service Général Le tableau suivant décrit le mappage DSCP vers file d'attente par défaut pour un système à 8files d'attente, dans lequel la file d'attente 7 a la priorité la plus élevée et la file d'attente 8 est utilisée à des fins de contrôle de pile. DSCP File d'attente...
Page 693 Qualité de service Général système à 8 files d'attente où 8 est la valeur la plus élevée : DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente DSCP File d'attente Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 694 Qualité de service Général Pour mapper DSCP à des files d'attente : Cliquez sur Qualité de service > Général > DSCP vers file d'attente. ÉTAPE 1 La page DSCP vers file d'attente contient DSCP d'entrée. Il affiche la valeur DSCP du paquet entrant et la classe associée.
Page 695 Qualité de service Général Remplissez les champs pour l'interface sélectionnée : ÉTAPE 4 • Limite de débit d'entrée : sélectionnez cette option pour activer la limite de débit d'entrée, que vous définissez ensuite dans le champ situé au-dessous. (Cela ne concerne pas les LAG.) •...
Page 696 Qualité de service Général Pour définir la mise en forme en sortie pour chaque file d'attente : Cliquez sur Qualité de service > Général > Modelage de sortie par file d'attente. ÉTAPE 1 La page Modelage de sortie par file d'attente affiche la limite de débit et la taille de rafale applicables à...
Page 697 Qualité de service Général • Cela s'applique au niveau du périphérique et dans le périphérique au niveau du processeur de paquets. S'il y a plusieurs processeurs de paquets sur le périphérique, la valeur limite de débit configurée sur le VLAN est appliquée à chacun des processeurs de paquets, de manière indépendante.
Page 698 Qualité de service Général Le trafic iSCSI est identifié par le port TCP sur lequel les cibles iSCSI écoutent les demandes et éventuellement par l'adresse IPv4 sur laquelle ces mêmes cibles écoutent les demandes. Deux flux iSCSI IPv4 avec des ports TCP 3260 et 860 bien connus sont définis par défaut sur le périphérique.
Page 699 Qualité de service Mode de base de QoS Évitement des congestions TCP La page Évitement de l'encombrement TCP vous permet d'activer un algorithme d'évitement de l'encombrement TCP. Cet algorithme casse ou évite la synchronisation TCP globale sur un nœud encombré lorsque la congestion est due au fait que plusieurs sources envoient des paquets munis de mêmes nombres d'octets.
Page 700 Qualité de service Mode de base de QoS S'il existe un port qui fait exception et ne doit pas faire confiance au marquage CoS entrant, désactivez l'état de QoS sur ce port à l'aide de la page Paramètres d'interface. Activez ou désactivez le mode de confiance sélectionné au niveau global sur les divers ports via la page Paramètres d'interface.
Page 701 Qualité de service Mode de base de QoS Si vous avez activé l'option Remplacer DSCP d'entrée, cliquez sur Table de substitution ÉTAPE 4 DSCP pour reconfigurer le DSCP. (Voir Table de substitution DSCP). DSCP en entrée affiche la valeur DSCP du paquet entrant qui doit à nouveau être marqué ÉTAPE 5 d'une autre valeur.
Page 702 Qualité de service Mode de QoS avancé Mode de QoS avancé Cette section couvre les sujets suivants : • Vue d'ensemble • Flux de travail de configuration du mode de QoS avancé • Paramètres globaux • Nouveau marquage du DSCP hors profil •...
Page 703 Qualité de service Mode de QoS avancé La fonctionnalité 2R3C (2 Rate 3 Color) est prise en charge sur l'appareil. Ainsi, chaque gestionnaire de stratégie dispose de deux seuils. Si le premier seuil est atteint, une Action si dépassement configurée par l'utilisateur est effectuée. Si le second seuil est atteint, une Action si violation configurée par l'utilisateur est appliquée (reportez- vous à...
Page 704 Qualité de service Mode de QoS avancé • Si les valeurs DSCP internes sont différentes de celles utilisées dans les paquets entrants, mappez les valeurs externes sur des valeurs internes via la page Nouveau marquage DSCP hors profil. Cette opération ouvre alors la page Nouveau marquage DSCP.
Page 705 Qualité de service Mode de QoS avancé • DSCP : tout le trafic IP est mappé sur des files d'attente en fonction du champ DSCP de l'en-tête IP. Vous pouvez configurer le mappage DSCP vers file d'attente sur la page DSCP vers file d'attente.
Page 706 Qualité de service Mode de QoS avancé Nouveau marquage du DSCP hors profil Lorsque vous associez un gestionnaire de stratégie à un mappage de classe (flux), vous pouvez définir l'action à exécuter lorsque la quantité de trafic de ce flux dépasse les limites définies par la QoS.
Page 707 Qualité de service Mode de QoS avancé Sélectionnez la valeur DSCP en sortie correspondant à l'endroit sur lequel la valeur entrante ÉTAPE 2 est mappée. Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour avec la nouvelle ÉTAPE 3 table Nouveau marquage DSCP.
Page 708 Qualité de service Mode de QoS avancé Cliquez sur Add. ÉTAPE 2 Vous ajoutez un nouveau mappage de classe en sélectionnant une ou plusieurs ACL et en attribuant un nom au mappage de classe. Si un mappage de classe inclut deux ACL, vous pouvez spécifier que les trames doivent correspondre à...
Page 709 Qualité de service Mode de QoS avancé Un gestionnaire de stratégie est configuré avec une spécification de QoS. Il existe deux types de gestionnaire de stratégie : • Gestionnaire de stratégie individuelle (standard) : le gestionnaire de stratégie individuelle applique la QoS à un seul mappage de classe et à un seul flux, sur la base de la spécification de QoS qu'il contient.
Page 710 Qualité de service Mode de QoS avancé • Débit maximal autorisé, appelé CIR (Committed Information Rate, débit minimal garanti), mesuré en kbit/s. • Quantité de trafic, mesurée en octets, appelée CBS (Committed Burst Size, taille de rafale garantie). Il s'agit du trafic autorisé à transiter sous forme de rafale temporaire, même s'il dépasse le débit maximal défini.
Page 711 Qualité de service Mode de QoS avancé • Contrôle de la crête : sélectionnez cette option pour appliquer une action en cas de dépassement de la taille de rafale maximale. • Débit minimal crête (PIR) : saisissez le débit crête du trafic (PIR) en Kbit par seconde (Kbit/s).
Page 712 Qualité de service Mode de QoS avancé Saisissez le nom de la nouvelle stratégie dans le champ Nom de la nouvelle stratégie. ÉTAPE 3 Cliquez sur Appliquer. Le profil de stratégie QoS est ajouté et le fichier de Configuration ÉTAPE 4 d'exécution est mis à...
Page 713 Qualité de service Mode de QoS avancé Définir : si vous sélectionnez cette option, le système utilise le contenu saisi dans le champ Nouvelle valeur afin de déterminer la file d'attente de sortie des paquets concordants comme suit : Si la nouvelle valeur (0..7) est une priorité CoS/802.1p, utilisez la valeur de priorité ainsi que le contenu de la table CoS/802.1p vers file d'attente afin de déterminer la file d'attente de sortie de tous les paquets concordants.
Page 714 Qualité de service Mode de QoS avancé Si vous définissez Police Type (Type de gest. de stratégie) sur Aggregate (Agrégat), définissez ÉTAPE 5 le paramètre Aggregate Policer (Gestionnaire de stratégies d'agrégats). Si Type de gest. de stratégie indique individuelle, saisissez les paramètres de QoS suivants : ÉTAPE 6 •...
Page 715 Qualité de service Mode de QoS avancé Lorsque vous liez une stratégie à un port, ce dernier filtre et applique la QoS au trafic qui correspond aux flux définis au sein de cette stratégie. Pour modifier une stratégie, vous devez d'abord la supprimer (annuler la liaison) de tous les ports auxquels elle est liée.
Page 716 Qualité de service Statistiques de QoS Tout autoriser : sélectionnez cette option pour transférer des paquets sur l'interface s'ils ne correspondent à aucune stratégie. L'option Tout autoriser ne peut être définie que si la protection de la REMARQUE source IP n'est pas activée sur l'interface. Cliquez sur Appliquer.
Page 717 Qualité de service Statistiques de QoS • Octets dans le profil : nombre d'octets conformes au profil reçus. • Octets hors profil : nombre d'octets hors profil reçus. Cliquez sur Ajouter. ÉTAPE 2 Saisissez les paramètres. ÉTAPE 3 • Interface : sélectionnez l'interface pour laquelle cumuler les statistiques. •...
Page 718 Qualité de service Statistiques de QoS Statistiques des files d'attente La page Statistiques des files d'attente affiche les statistiques concernant les files d'attente, dont le nombre de paquets transférés et éliminés, ceci sur la base de l'interface, de la file d'attente et de la priorité...
Page 719 Qualité de service Statistiques de QoS Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 720 SNMP Cette section décrit la fonctionnalité SNMP (Simple Network Management Protocol), qui fournit une méthode de gestion des unités de réseau. Elle couvre les sujets suivants : • Vue d'ensemble • ID de moteur • Vues • Groupes • Utilisateurs •...
Page 721 SNMP Vue d'ensemble SNMPv1 et v2 Pour contrôler l'accès au système, une liste d'entrées de communauté est définie. Chaque entrée de communauté est constituée d'une chaîne de communauté et de son privilège d'accès. Le système répond uniquement aux messages SNMP spécifiant la communauté qui dispose des autorisations correctes et de l'opération correcte.
Page 722 SNMP Vue d'ensemble Ci-dessous figure une série d'actions recommandées pour la configuration de SNMP : Si vous décidez d'utiliser SNMPv1 ou v2 : Accédez à la page Communautés, puis cliquez sur Add (Ajouter). La communauté peut être ÉTAPE 1 associée à des droits d'accès et à un affichage en mode De base ou à un groupe en mode Avancé.
Page 723 SNMPv3. Bases MIB prises en charge Pour obtenir la liste des bases MIB prises en charge, visitez l'URL suivante et accédez à la zone de téléchargement nommée Cisco MIBS : www.cisco.com/cisco/software/navigator.html ID d'objet du modèle Vous trouverez, ci-dessous, les ID d'objet pour la gamme 550 / 350 .
Page 724 SNMP Vue d'ensemble Nom de la Nom de la gamme ID d'objet référence SG350XG-48T SG350XG-48T - Commutateur administrable 9.6.1.91.48.9 empilable Base-T 10G 48 ports SG350XG-2F10 SG350XG-2F10 - Commutateur 9.6.1.91.12.9 administrable empilable 10 G à 12 ports SG350-8PD 9.6.1.95.8.11 SG350X-8PMD 9.6.1.94.8.12 SG350X-24PD 9.6.1.94.24.11 SG350-10...
Page 725 24 ports (2 ports combo) avec prise en charge d'une alimentation redondante SG550XG-48T SG550XG-48T - Commutateur administrable 9.6.1.90.48.9 empilable Base-T 10G 48 ports Les ID d'objet privés sont placés sous : enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1).switch001(101). Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 726 SNMP ID de moteur ID de moteur L'ID de moteur est utilisé par des entités SNMPv3 afin de les identifier de façon unique. Un agent SNMP est considéré comme un moteur SNMP faisant autorité. Cela signifie que l'agent répond aux messages entrants (Get, GetNext, GetBulk, Set) et qu'il envoie des interceptions à un gestionnaire.
Page 727 SNMP Vues Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour. ÉTAPE 3 La table ID de moteur distant affiche le mappage entre les adresses IP du moteur et l'ID de moteur. Pour ajouter l'adresse IP d'un ID de moteur : Cliquez sur Ajouter.
Page 728 SNMP Vues Chaque sous-arborescence est soit incluse, soit exclue dans la vue en cours de définition. La page Vues permet de créer et de modifier des vues SNMP. Les vues par défaut (Default, DefaultSuper) ne peuvent pas être modifiées. Vous pouvez joindre des vues à des groupes via la page Groupes ou à...
Page 729 SNMP Groupes Groupes Dans SNMPv1 et SNMPv2, une chaîne de communauté est envoyée accompagnée des trames SNMP. La chaîne de communauté agit en tant que mot de passe pour accéder à un agent SNMP. Cependant, ni les trames, ni la chaîne de communauté ne sont cryptées. Par conséquent, SNMPv1 et SNMPv2 ne sont pas sécurisés.
Page 730 SNMP Utilisateurs Il est possible de définir trois types de vues avec différents niveaux de sécurité. Pour chaque niveau de sécurité, sélectionnez les vues correspondant aux privilèges Lecture, Écriture et Notifier en saisissant les champs suivants : • Activer : sélectionnez ce champ pour activer le niveau de sécurité. •...
Page 731 SNMP Utilisateurs L'utilisateur configuré a les attributs de son groupe et dispose des privilèges d'accès définis dans la vue associée. Les groupes permettent aux gestionnaires de réseaux d'affecter des droits d'accès à un groupe d'utilisateurs plutôt qu'à un utilisateur unique. Un utilisateur peut être membre d'un seul groupe.
Page 732 SNMP Communautés • Nom du groupe : sélectionnez le groupe SNMP auquel appartient l'utilisateur SNMP. Vous pouvez définir les groupes SNMP sur la page Ajouter un groupe. Les utilisateurs appartenant à des groupes qui ont été supprimés sont REMARQUE conservés, mais sont inactifs. •...
Page 733 SNMP Communautés Les communautés sont uniquement définies dans SNMPv1 et v2, car SNMPv3 fonctionne avec des utilisateurs et non avec des communautés. Les utilisateurs appartiennent à des groupes qui disposent de droits d'accès qui leur sont affectés. La page Communauté associe des communautés à des droits d'accès, soit directement (mode de base), soit via des groupes (mode avancé) : •...
Page 734 SNMP Communautés • Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, spécifiez si la réception s'effectue via VLAN ou ISATAP. • Adresse IP : saisissez l'adresse IP de la station de gestion SNMP. • Chaîne de communauté : saisissez le nom de la communauté permettant d'authentifier la station de gestion sur le périphérique.
Page 735 SNMP Paramètres de filtre Paramètres de filtre La page Paramètres de filtre permet de spécifier si les notifications SNMP doivent être envoyées à partir du périphérique, et à quelles conditions. Les destinataires des notifications SNMP peuvent être configurés via la page Destinataires de notifications SNMPv1.2 ou la page Destinataires de notifications...
Page 736 SNMP Destinataires de notifications Une notification SNMP est un message envoyé depuis le périphérique vers la station de gestion SNMP, qui indique qu'un événement spécifique s'est produit, tel que l'activation ou la désactivation d'une liaison. Vous pouvez également filtrer certaines notifications. Pour ce faire, vous devez créer un filtre sur la page Filtre de notification et le joindre à...
Page 737 SNMP Destinataires de notifications • Type d'adresse IPv6 : sélectionnez soit Liaison locale, soit Global. Link Local (Liaison locale) : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication que sur le réseau local.
Page 738 SNMP Destinataires de notifications Destinataires de notifications SNMPv3 Pour définir un destinataire dans SNMPv3 : Cliquez sur SNMP > Destinataires de notifications SNMPv3. ÉTAPE 1 Cette page affiche les destinataires pour SNMPv3. • Informe l'interface IPv4 source : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme adresse IPv4 source dans les messages d'information utilisés dans les communications avec les serveurs SNMP IPv4.
Page 739 SNMP Destinataires de notifications • Adresse IP/Nom du destinataire : saisissez l'adresse IP ou le nom du serveur où les interceptions sont envoyées. • Port UDP : saisissez le port UDP utilisé pour les notifications sur l'unité du destinataire. • Type de notification : indiquez le type de données à...
Page 740 SNMP Filtre de notification Filtre de notification La page Filtre de notification permet de configurer des filtres de notification SNMP et des ID d'objet (OID) soumis à vérification. Après la création d'un filtre de notification, il est possible de le joindre à un destinataire de notification via la page Destinataires de notifications SNMPv1.2 et via la page...
Page 741 SNMP Filtre de notification Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 742 Smart Network Application (SNA) Cette section décrit le système Smart Network Application (SNA), qui présente une vue d'ensemble de la topologie de réseau comportant des informations détaillées sur les périphériques et le trafic. Il permet d'afficher et de modifier les configurations au niveau global sur tous les périphériques pris en charge du réseau.
Page 743 Smart Network Application (SNA) Sessions SNA Sessions SNA Pour lancer le système SNA : Ouvrez un navigateur Web. ÉTAPE 1 Saisissez l'adresse IP du périphérique que vous configurez dans la barre d'adresse du ÉTAPE 2 navigateur, puis appuyez sur Entrée. Lorsque la fenêtre de connexion s'affiche, saisissez votre nom d'utilisateur et votre mot de ÉTAPE 3 passe, puis sélectionnez Gestion du réseau.
Page 744 Smart Network Application (SNA) Graphismes SNA Une session SNA peut offrir les niveaux d'autorisation d'accès suivants : Complet : une session commence en mode d'accès complet. Toutes les opérations SNA sont possibles. Lecture seule : après une période d'inactivité de 15 minutes, la session devient une session en lecture seule.
Page 745 Smart Network Application (SNA) Graphismes SNA Le système SNA utilise les icônes suivantes : Tableau 1 Description d'icônes Icône Description Cloud Périphérique backbone Le numéro orange correspond au nombre de notifications existant pour le périphérique. Périphérique hors connexion (grisé) Point d'accès PC client Téléphone client Périphérique inconnu client...
Page 746 Smart Network Application (SNA) Menu en haut à droite Tableau 1 Description d'icônes Icône Description Connexion via panneau latéral Multisélection via panneau latéral Port du panneau latéral Menu en haut à droite Diverses opérations peuvent être effectuées depuis le menu en haut à droite. Ce menu s'affiche ainsi : Cliquez sur chaque icône pour effectuer les actions suivantes : •...
Page 747 Smart Network Application (SNA) Menu en haut à droite • D : ouvrir cette fenêtre : Cette fenêtre affiche ou active les options suivantes : Affiche vos autorisations d'accès. Déconnectez-vous du système en cliquant sur Déconnexion. Modifiez vos autorisations en cliquant sur Modifier le niveau d'autorisation. •...
Page 748 Smart Network Application (SNA) Vue de la topologie Vue de la topologie La vue de la topologie est la vue principale du système SNA. Figure 1 est une représentation graphique illustrant un exemple de réseau incluant des informations sur des périphériques et des connexions entre les deux. Figure 1 Vue de la topologie : Reportez-vous aux Description d'icônes...
Page 749 Smart Network Application (SNA) Vue de la topologie Diverses superpositions peuvent être sélectionnées pour modifier la représentation des éléments dans les vues de la topologie. Reportez-vous à la section Superpositions topologiques. Le mécanisme de détection de la topologie utilise des informations récupérées depuis les TLV LLDP et CDP afin d'identifier les périphériques du réseau.
Page 750 Smart Network Application (SNA) Vue de la topologie Cliquez sur un périphérique pour afficher les informations suivantes dans le panneau situé à droite (si ces informations sont disponibles) : • Type de périphérique : la forme de l'icône indique le type de périphérique. Les types de périphériques incluent : commutateur, point d'accès, PC ou téléphone IP.
Page 751 Smart Network Application (SNA) Vue de la topologie Un périphérique prenant en charge le système SNA ou un périphérique géré sera détecté tant qu'il restera connecté au réseau via l'adresse IP qu'il utilisait au préalable. • Périphériques hors ligne : périphériques backbone préalablement ajoutés à la topologie (soit manuellement, soit par détection automatique).
Page 752 Smart Network Application (SNA) Vue de la topologie Si un périphérique est connecté à au moins un périphérique client, un + s'affiche : Cliquez sur le + pour afficher les clients. L'exemple suivant présente le cas de deux clients connectés à un périphérique cloud : un PC client et un périphérique de type inconnu.
Page 753 Smart Network Application (SNA) Vue de la topologie Les caractéristiques suivantes s'affichent : • Nom du port • Unité • État administrateur • État opérationnel (y compris le motif de désactivation si le port a été désactivé par le logiciel). •...
Page 754 Smart Network Application (SNA) Vue de la topologie Lorsque vous sélectionnez un port dans ce panneau, des informations supplémentaires s'affichent sur le panneau latéral, comme illustré ci-dessous : Définition du nom de l'interface Les noms des interfaces correspondant aux périphériques SNA ou SNA partiels sont constitués des éléments suivants : •...
Page 755 Smart Network Application (SNA) Vue de la topologie L'épaisseur des connexions entre les commutateurs sur la carte de topologie fournit une indication de la bande passante totale disponible sur cette connexion, celle-ci étant déterminée par le débit opérationnel des liaisons utilisées dans cette connexion. Les épaisseurs de connexion suivantes sont disponibles (de la plus fine à...
Page 756 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Panneau d'informations s'affichant à droite La zone située à droite de la vue de la topologie présente un panneau d'informations regroupant les caractéristiques des éléments sélectionnés et permet d'agir sur ces éléments. Ce panneau d'informations contient les sections suivantes : •...
Page 757 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Figure 2 illustre un exemple de panneau d'informations s'affichant à droite : Figure 2 Panneau d'informations s'affichant à droite Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 758 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Section d'en-tête Cette section présente les icônes correspondant aux éléments sélectionnés. S'il s'agit d'un élément seul, cette section d'en-tête affiche ses informations d'identification, comme illustré ci-dessous. Les informations suivantes s'affichent dans la section d'en-tête, selon le type d'élément sélectionné...
Page 759 Smart Network Application (SNA) Panneau d'informations s'affichant à droite • Connexions : les informations d'identification correspondent aux deux attributs d'identification les plus importants des périphériques des deux côtés de la connexion (nom d'hôte  adresse IP  adresse MAC). Une connexion peut contenir une ou plusieurs liaisons.
Page 760 Smart Network Application (SNA) Panneau d'informations s'affichant à droite • Explorer le périphérique : cette option n'est disponible que pour les commutateurs SNA et à condition qu'un seul périphérique soit sélectionné. Lorsque vous sélectionnez cette action, vous ouvrez l'explorateur du périphérique correspondant au commutateur sélectionné.
Page 761 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Les informations suivantes sont affichées pour chaque périphérique backbone : Nom du Notes Exemple paramètre Nom de produit D'après la description de la MIB (base SG500-52P – Commutateur d'information de gestion) de l'appareil. administrable empilable PoE 52 ports Gigabit Ce champ ne s'affiche que si le...
Page 762 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Nom du Notes Exemple paramètre VLAN existants Une liste des VLAN créés sur le 1, 6, 13-19, 1054, 2012- périphérique Des lignes en pointillé 2100, 4094 sont utilisées pour relier des VLAN consécutifs.
Page 763 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Les informations suivantes sont affichées pour les périphériques backbone hors ligne sous la mention Dernières informations connues. Nom du Notes Exemple paramètre Nom de produit Issu de la description de la MIB (base SG500-52P –...
Page 764 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Nom du Notes Exemple paramètre Adresse MAC Adresse MAC de base du 00:00:b0:83:1f:ac périphérique. Type d'appareil Le type d'appareil client. Téléphone Hôte Inconnu Interface L'interface via laquelle le périphérique GE1/14 connectée se connecte au commutateur le plus proche.
Page 765 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Les informations suivantes sont affichées pour chaque groupe client : Nom du Notes Exemple paramètre Nom d'hôte C'est le nom d'hôte du périphérique parent du RND_1 groupe client. Ce paramètre et toutes les autres informations relatives au périphérique parent s'affichent sous un titre Connecté...
Page 766 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Nom du Notes Exemple paramètre Description de Utilise la description MIB ifAlias de « WS 28 » l'interface l'interface. Chaîne d'une longueur maximale de 64 caractères Débit 100M opérationnel Appartenance Affiché uniquement pour les ports. LAG15 Peut être Aucune ou le nom du LAG.
Page 767 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Nom du Notes Exemple paramètre Consommation S'affiche uniquement pour les ports prenant en 8900 MW énergétique de charge l'alimentation PoE. l'appareil PoE État spanning tree Affiche l'état STP de l'interface. Blocage Transfert Désactivé...
Page 768 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Balises Les balises permettent d'identifier les éléments de la topologie via leurs attributs (voir Balises). La section Balises du panneau d'informations situé à droite affiche toutes les balises assignées à l'élément par l'utilisateur ou de manière automatique. Vous pouvez également gérer les balises pour les éléments sélectionnés dans cette partie du panneau.
Page 769 Smart Network Application (SNA) Panneau d'informations s'affichant à droite Les données s'affichent sous forme de pourcentage (de 0 à 100) en précisant le nombre et la fréquence des échantillonnages en fonction de la durée affichée : • Dernières cinq minutes : 20 échantillons (un toutes les 15 secondes) •...
Page 770 Smart Network Application (SNA) Panneau d'informations s'affichant à droite • Dernière semaine : 7 échantillons (un par jour) • Dernière année : 52 échantillons (un par semaine) Graphique représentant le trafic (octets) Ce graphique représente le trafic total sur une interface, exprimé en octets, pour une durée donnée, au niveau de l'interface.
Page 771 Smart Network Application (SNA) Opérations Opérations La vue de la topologie affiche les éléments et leurs connexions dans le réseau. Des opérations peuvent être effectuées sur les éléments affichés dans la vue de la topologie. Quand vous sélectionnez un élément dans la topologie, il est possible d'effectuer l'une des actions suivantes : •...
Page 772 Smart Network Application (SNA) Opérations Saisissez l'adresse IP du commutateur que vous souhaitez ajouter. Le message suivant ÉTAPE 2 s'affiche : Si le périphérique n'est pas détecté, un message s'affiche, puis le périphérique est ajouté à la vue de la topologie en tant que commutateur hors ligne non géré. Les périphériques ajoutés selon cette méthode restent sur la carte de topologie jusqu'à...
Page 773 Smart Network Application (SNA) Opérations Il affiche un tableau des ports et des LAG existant dans le commutateur. Chaque entrée du tableau a plusieurs colonnes principales ainsi que des colonnes supplémentaires qui n'apparaissent que si la superposition correspondante est activée. Vous pouvez également modifier et enregistrer le nom d'hôte du périphérique depuis cet écran.
Page 774 Smart Network Application (SNA) Opérations Consommation électrique : ne s'affiche que dans le tableau des ports. Affiche la consommation électrique constatée en mW. Si un port ne prend pas en charge l'alimentation PoE, la mention N/A s'affiche. • Quand la superposition VLAN est sélectionnée, les colonnes suivantes s'affichent : Mode Switchport : mode VLAN actif de l'interface.
Page 775 Smart Network Application (SNA) Opérations Pour chaque liaison dans la connexion, les informations de base suivantes s'affichent : • Les noms des interfaces de part et d'autre de la liaison. • Le nom du LAG (le cas échéant) de part et d'autre de la liaison. •...
Page 776 Smart Network Application (SNA) Superpositions Utilisation de la réception : utilisation de la réception par le périphérique (transmission du port connecté), exprimée en pourcentage du débit actuel. • Colonne de la superposition PoE Consommation électrique : puissance électrique consommée par le périphérique en mW.
Page 777 Smart Network Application (SNA) Superpositions Les superpositions suivantes sont prises en charge : • Utilisation des liaisons • Informations PoE • Appartenance VLAN • Informations sur le fournisseur de téléphonie Internet (ITSP) Utilisation des liaisons Cette superposition ajoute des informations à la carte de topologie et aux écrans des explorateurs concernant le niveau d'utilisation actuel (pour les 15 dernières secondes) des connexions du réseau.
Page 778 Smart Network Application (SNA) Superpositions Pour le calcul de la liaison la plus utilisée dans le cas d'un affichage agrégé sur la carte de topologie, chaque sens de circulation dans une liaison est pris en compte comme une liaison distincte. Par exemple, si la circulation dans un sens de la liaison est utilisée à 5 % et l'autre à 92 %, la connexion agrégée s'affiche en rouge sur la carte de topologie, puisque l'utilisation la plus élevée est de 92 %.
Page 779 Smart Network Application (SNA) Superpositions Appartenance VLAN Cette superposition permet d'afficher les appartenances VLAN de divers ports et périphériques dans le réseau. Par exemple, dans la figure ci-dessous, les lignes jaunes présentent des connexions asymétriques. Cela signifie que l'une des extrémités de la liaison fait partie du VLAN sélectionné, tandis que l'autre non.
Page 780 Smart Network Application (SNA) Balises La connexion associant une agrégation de liaisons (LAG) entre des périphériques de la carte de topologie est identifiée conformément aux règles suivantes : • Si au moins une liaison est mise en évidence, la connexion l'est également. •...
Page 781 Smart Network Application (SNA) Balises Balises prédéfinies Ces balises s'appliquent automatiquement aux nœuds dès qu'ils sont ajoutés à la topologie. Elles peuvent être persistantes ou changer en fonction de l'état de chaque nœud. Tant que la balise s'applique au périphérique, elle ne peut en être supprimée. Voici une liste des balises prédéfinies : Balises Méthodes pour attribuer une balise...
Page 782 Smart Network Application (SNA) Balises Afficher les balises Voici comment afficher une liste de toutes les balises : Cliquez sur le menu à trois barres horizontales situé à gauche de la vue de la topologie : ÉTAPE 1 Les informations suivantes s'affichent : Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 783 Smart Network Application (SNA) Balises Sélectionnez Ouvrir l'inventaire des balises. Une liste des balises s'affiche, comme illustré ÉTAPE 2 ci-dessous : Cliquez sur l'icône de recherche pour trouver une balise spécifique dans la colonne Fermer et ÉTAPE 3 trouver des périphériques pour afficher une liste des périphériques affectés de la balise sélectionnée.
Page 784 Smart Network Application (SNA) Balises Pour créer une nouvelle balise, procédez comme suit : Dans la section Balises, cliquez sur le champ Ajouter un nom de balise, puis saisissez un ÉTAPE 1 nom de balise. Cliquez sur AJOUTER+. Le nom de balise s'affiche alors. L'illustration ci-dessous montre ÉTAPE 2 que la balise first_floor a été...
Page 785 Smart Network Application (SNA) Recherche Recherche Utilisez la fonctionnalité de recherche pour trouver des périphériques spécifiques dans la vue de la topologie. Le terme de recherche saisi est recherché dans les informations connues du système SNA. Les champs suivants peuvent faire l'objet d'une recherche : •...
Page 786 Smart Network Application (SNA) Tableau de bord Voici un exemple de recherche par balise : Cliquez dans le champ de recherche : ÉTAPE 1 Saisissez le mot-clé « Tag » (Balise) et le nom de cette balise, comme illustré ci-dessous : ÉTAPE 2 Cliquez sur .
Page 787 Smart Network Application (SNA) Tableau de bord • Total de l'énergie économisée grâce aux stratégies relatives à la gestion de l'alimentation, exprimé en watts. • Estimation projetée de l'énergie économisée annuellement grâce aux stratégies relatives à la gestion de l'alimentation, exprimée en watts. Alertes Cette section affiche les dix alertes les plus récentes sur le réseau.
Page 788 Smart Network Application (SNA) Notifications • Une surcharge est constatée au niveau de l'alimentation PoE (une demande d'alimentation PoE ne peut être satisfaite en raison d'une capacité dépassée). • L'utilisation du trafic d'une connexion atteint ou dépasse les 70/90 %. •...
Page 789 Smart Network Application (SNA) Notifications Les notifications du système SNA sont séparées en fonction des catégories basées sur le niveau de sévérité SYSLOG. La couleur de la notification indique son niveau de sévérité : • Niveau 1 (rouge) : Critique, Alerte ou Urgence. •...
Page 790 Smart Network Application (SNA) Fonctionnalité DAC (contrôle des autorisations des périphériques) • Cliquez sur Afficher les notifications pour développer la liste du panneau d'informations situé à droite pour afficher un tableau contenant les 100 dernières entrées SYSLOG enregistrées sur le périphérique. Cette option est disponible pour tous les commutateurs SNA et affiche les 100 dernières entrées SYSLOG, que celles-ci aient été...
Page 791 Smart Network Application (SNA) Flux de travail DAC Flux de travail DAC Le flux de travail DAC comprend les étapes suivantes : Activez la fonctionnalité DAC. Reportez-vous à la section Accéder à la fonctionnalité DAC. ÉTAPE 1 Configurez un périphérique serveur RADIUS et les périphériques clients. Reportez-vous à la ÉTAPE 2 section Préciser un serveur RADIUS et les...
Page 792 Smart Network Application (SNA) Flux de travail DAC Préciser un serveur RADIUS et les clients Cliquez sur Mode de modification DAC dans le menu Options ÉTAPE 1 L'application lance le mode de modification de la fonctionnalité DAC (signalé par le cadre ÉTAPE 2 bleu autour de la carte de topologie et panneau de contrôle en base de l'écran).
Page 793 Smart Network Application (SNA) Flux de travail DAC Cliquez sur Terminé. ÉTAPE 7 Le serveur RADIUS DAC est mis en évidence dans la vue de la topologie. Placez-vous sur le serveur, puis cliquez sur le menu du périphérique que vous souhaitez ÉTAPE 8 ajouter en tant que client.
Page 794 Smart Network Application (SNA) Flux de travail DAC Une fois la fonctionnalité DAC configurée, une alerte s'affiche à chaque fois qu'un périphérique ne figurant pas sur la liste noire est rejeté par le réseau via un serveur RADIUS où la fonctionnalité DAC est activée. Vous devez alors indiquer si vous souhaitez ajouter ce périphérique à...
Page 795 Smart Network Application (SNA) Flux de travail DAC Ce rapport contient les champs suivants : Champ Valeur Commentaires Appareil Les identifiants du périphérique (Nom d'hôte, adresse IP) Action Actions possibles pour le serveur DAC : Il est possible (et probable) que plusieurs actions •...
Page 796 Smart Network Application (SNA) Flux de travail DAC Champ Valeur Commentaires Avertissem Avertissements possibles pour le serveur Les avertissements ents. DAC : contiennent également des liens permettant d'accéder • L'IP de l'interface sélectionnée est aux sections de la dynamique. fonctionnalité DAC permettant de résoudre les Avertissements possibles pour les clients problèmes détectés.
Page 797 Smart Network Application (SNA) Services Sélectionnez les périphériques que vous souhaitez ajouter à la liste noire, puis cliquez sur ÉTAPE 3 Ajouter à la liste noire. Cliquez sur Appliquer. Les paquets accédant aux ports du périphérique sont authentifiés sur le ÉTAPE 4 serveur RADIUS.
Page 798 Smart Network Application (SNA) Services Pour appliquer un service, sélectionnez un ou plusieurs périphériques ou interfaces dans la vue de la topologie, soit de façon manuelle, dans la carte, ou les sélectionnant parmi les résultats de recherche. Vous pouvez activer tous les services correspondant aux éléments sélectionnés. Lorsqu'un service a été...
Page 799 Smart Network Application (SNA) Services Pour chacun des services proposés au niveau des périphériques, les tickets affichant les configurations actuelles des périphériques sélectionnés contiennent les informations d'identification suivantes, en plus des paramètres spécifiques au service : • Nom d'hôte du périphérique. •...
Page 800 Smart Network Application (SNA) Services S'il existe plus d'un serveur RADIUS correspondant au niveau de priorité le plus bas, un serveur unique s'affiche, dans cet ordre : Premier serveur RADIUS (par ordre alphabétique), défini par nom d'hôte Serveur RADIUS ayant l'adresse IPv4 la plus basse Serveur RADIUS ayant l'adresse IPv6 la plus basse L'entrée créée par le service a un niveau de priorité...
Page 801 Smart Network Application (SNA) Services Configuration de client DNS Le service de configuration de client DNS permet de définir le serveur DNS utilisé par les périphériques sélectionnés. Configuration actuelle Pour chaque périphérique sélectionné, la configuration actuelle affiche le serveur DNS actuel en utilisant la préférence 1 du côté...
Page 802 Smart Network Application (SNA) Services Paramètres affichés/modifiables Pour définir un nouveau SYSLOG server, saisissez son adresse IPv4 ou IPv6. Étant donné que le nom d'hôte n'est pas enregistré, le système SNA effectue une résolution d'adresse IP dans le cadre de l'envoi de l'adresse du serveur. Par conséquent, l'adresse de serveur figurant sur le ticket s'affiche toujours sous forme d'adresse IP.
Page 803 Smart Network Application (SNA) Services • Serveur SNTP défini par l'utilisateur : cette option s'affiche si la source d'horloge est SNTP et la configuration actuelle comprend au moins un serveur SNTP défini par l'utilisateur. Dans ce cas, le serveur SNTP supérieur s'affiche selon l'ordre de priorité suivant : Premier serveur SNTP (par ordre alphabétique), défini par nom d'hôte Serveur SNTP ayant l'adresse IPv4 la plus basse...
Page 804 Smart Network Application (SNA) Services Configuration actuelle La configuration actuelle affiche la version active du microprogramme comme suit : Opérations Les opérations suivantes sont disponibles avec ce service : • Téléchargement du microprogramme via HTTP Permet de télécharger un nouveau fichier de microprogramme. Dans le système de fichier local, accédez au fichier de microprogramme, puis sélectionnez-le.
Page 805 Smart Network Application (SNA) Services Lorsque vous sélectionnez cette opération, vous pouvez également exiger que tous les périphériques ayant terminé le téléchargement redémarrent automatiquement afin de finaliser leur mise à jour (cette option est sélectionnée par défaut). • Téléchargement de la configuration via HTTP Permet de télécharger un nouveau fichier de configuration.
Page 806 Smart Network Application (SNA) Services Lorsque vous activez ce téléchargement, vous pouvez exiger le redémarrage de tous les périphériques ayant téléchargé la configuration afin d'activer les nouvelles configurations. Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 807 Smart Network Application (SNA) Services • Redémarrage : Cliquez sur Aller à pour redémarrer les périphériques sans effectuer d'autres actions. Stratégies relatives à la gestion de l'alimentation (au niveau du périphérique) Ce service permet de définir des règles relatives à l'alimentation pour les périphériques sélectionnés.
Page 808 Smart Network Application (SNA) Services Personnalisé : s'affiche si une planification créée par le système SNA ne s'applique pas de façon uniforme à tous les ports d'accès. Les ports d'accès sont ceux dont le mode VLAN est Accès. Ports configurés : une liste de tous les ports régis par la planification créée par le système SNA.
Page 809 Smart Network Application (SNA) Services Définir une stratégie relative à la gestion de l'alimentation Pour définir une stratégie relative à la gestion de l'alimentation, procédez comme suit : Cliquez sur un périphérique dans la vue de la topologie. ÉTAPE 1 Sélectionnez le service Gestion de l'alimentation dans le panneau d'informations situé...
Page 810 Smart Network Application (SNA) Services Cliquez sur +Ajouter un horaire planifié. ÉTAPE 5 Complétez les champs (voir les descriptions plus haut), puis cliquez sur Aller à. ÉTAPE 6 Vous venez de définir une stratégie relative à la gestion de l'alimentation. Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5...
Page 811 Smart Network Application (SNA) Services Appartenance VLAN (au niveau du périphérique) Ce service configure l'appartenance VLAN des interfaces pour plusieurs périphériques. Configuration actuelle Pour chaque périphérique, les paramètres suivants s'affichent : • Ports d'accès : une liste des ports en mode VLAN d'accès. Cette liste est groupée par VLAN d'accès auxquels les ports appartiennent.
Page 812 Smart Network Application (SNA) Services Services au niveau des interfaces Certains services s'appliquent aux interfaces plutôt qu'aux périphériques. Lorsque vous les activez, sélectionnez une ou plusieurs interfaces, puis un service parmi ceux qui figurent dans la liste qui s'affiche. Les services suivants sont disponibles pour les interfaces : •...
Page 813 Smart Network Application (SNA) Services • Planification de l'alimentation SNA (Appliquée/Non appliquée) : ce paramètre ne s'affiche que si le périphérique a une planification de l'alimentation créée par le système SNA. • Comportement planifié : cette information ne s'affiche que si le port a une planification de l'alimentation définie par le système SNA.
Page 814 Smart Network Application (SNA) Services Appartenance VLAN (au niveau de l'interface) Ce service configure l'appartenance VLAN des interfaces sélectionnées. Paramètres affichés/modifiables • Nom de l'interface (Écriture seule). • Mode Switchport : pour l'affichage, il peut être défini sur Accès, Liaison, Général, Client, Hôte-Privé, Privé-De proximité.
Page 815 Smart Network Application (SNA) Enregistrement des paramètres SNA • Mode duplex administratif : ce paramètre ne s'affiche que si la Négociation automatique est désactivée. Les valeurs peuvent être Semi-duplex ou Duplex intégral. • Mode Duplex actuel : Semi-duplex ou Duplex intégral Paramètres modifiables •...
Page 816 Smart Network Application (SNA) Détails techniques Les paramètres suivants peuvent être enregistrés : • Position de tous les périphériques backbone dans le réseau. • Tout périphérique client désigné comme un périphérique backbone conserve son état. • Toute balise ajoutée manuellement aux éléments du réseau. •...
Page 817 Cisco et le logo Cisco sont des marques commerciales ou des marques commerciales déposées de Cisco Systems et/ou de ses filiales aux États-Unis et dans d'autres pays. Pour consulter la liste des marques commerciales Cisco, accédez à l'adresse : www.cisco.com/go/trademarks. Les autres marques commerciales mentionnées sont la propriété de leurs détenteurs respectifs.

Ce manuel est également adapté pour:

Sg350x Sg350xg Sx550x Sg550xg

Cisco Sx350 Guide D'administration

Liens rapides

Manuels Connexes pour Cisco Sx350

Sommaire des Matières pour Cisco Sx350

Ce manuel est également adapté pour: