Cisco 250 Series Smart Switches Manuel utilisateur

GUIDE
D'ADMINISTRATION
Commutateurs administrables Cisco Sx250, microprogramme
2.4.x, version 0.3
Sommaire
Table des matières
Chapter 1: Mise en route rapide
Avant de commencer
9
9
Commutateur à montage en rack
10
Considérations relatives à l'alimentation électrique par câble Ethernet (PoE)
11
Configuration des commutateurs
13
Configuration du commutateur à l'aide du port de console
16
Port USB
17
Caractéristiques du commutateur
17
Chapter 2: Informations générales
22
Mode d'affichage de base ou avancé
22
Configuration de l'appareil - Démarrage rapide
23
Conventions de nommage de l'interface
24
Navigation dans les fenêtres
25
Fonction de recherche
29
Chapter 3: Tableau de bord
30
Gestion de la grille
31
Intégrité du système
32
Utilisation des ressources
33
Identification
34
Utilisation du port
35
Utilisation du PoE
36
Derniers journaux
37
Interfaces suspendues
38
Erreurs de trafic
39
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Sommaire
Chapter 4: Assistants de configuration
41
Assistant de mise en route
41
Assistant de configuration des VLAN
43
Assistant ACL
44
Chapter 5: État et statistiques
48
Récapitulatif du système
49
Utilisation du processeur
51
Interface
52
Etherlike
53
Utilisation du port
54
GVRP
55
802.1X EAP
56
ACL
58
Utilisation des ressources matérielles
58
Intégrité et alimentation
59
Analyseur de port commuté (SPAN)
63
Diagnostics
65
RMON
69
Affichage des journaux
77
Chapter 6: Administration
80
Paramètres système
81
Comptes d'utilisateur
82
Expiration de la session inactive
83
Paramètres d'heure
83
Journaux système
84
Gestion des fichiers
87
Plug-n-Play (PNP)
88
Redémarrage
91
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
2
Sommaire
Détection - Bonjour
93
Détection - LLDP
93
Détection - CDP
93
Localiser le périphérique
93
Ping
94
Traceroute
96
Chapter 7: Administration : Gestion des fichiers
97
Fichiers système
97
Opérations du microprogramme
99
Opérations de fichiers
104
Répertoire de fichiers
113
Configuration/mise à jour automatique de l'image DHCP
113
Chapter 8: Administration : Paramètres d'heure
124
Configuration de l'heure système
125
Modes SNTP
126
Heure système
127
SNTP monodiffusion
130
SNTP multidestination/pluridiffusion
132
Authentification SNTP
133
Plage horaire
134
Période récurrente
136
Chapter 9: Administration : Détection
137
Bonjour
137
LLDP et CDP
138
Détection - LLDP
140
Détection - CDP
163
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
3
Sommaire
Chapter 10: Gestion des ports
174
Flux de travail
174
Paramètres des ports
175
Paramètres de reprise après erreur
179
Paramètres de détection de bouclage
180
Agrégation de liaisons
183
PoE
191
Green Ethernet
200
Chapter 11: Port intelligent
209
Présentation
209
Fonctionnement de la fonction Port intelligent
215
Port intelligent automatique
215
Gestion des erreurs
219
Configuration par défaut
220
Relations avec les autres fonctions
220
Tâches courantes de port intelligent
220
Configuration de port intelligent à l'aide de l'interface Web
223
Macros Port intelligent intégrées
228
Chapter 12: Gestion des VLAN
239
VLAN standard
241
Paramètres GVRP
249
VLAN voix
250
Chapter 13: Arbre recouvrant
264
Types de STP
264
État STP et paramètres globaux
265
Paramètres d'interface STP
267
Paramètres d'interface RSTP
269
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
4
Sommaire
Présentation du protocole MST (Multiple Spanning Tree)
272
Propriétés MSTP
272
VLAN vers instance MSTP
273
Paramètres d'instance MSTP
275
Paramètres d'interface MSTP
276
Chapter 14: Gestion des tables d'adresses MAC
279
Adresses statiques
280
Adresses dynamiques
281
Chapter 15: Multidestination
282
Présentation du réacheminement multidestination
282
Propriétés
288
Adresse MAC de groupe
289
Adresse de groupe de multidestination IP
291
Configuration de la multidestination IPv4
293
Configuration de la multidestination IPv6
296
Groupe de multidestination IP de surveillance IGMP/MLD
299
Port de routeur multidestination
300
Tout transférer
302
Multidestination non enregistrée
303
Chapter 16: Configuration IP
304
Présentation
304
Interface de bouclage
306
Interfaces et gestion IPv4
306
Interfaces et gestion IPv6
316
Système de noms de domaine
338
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
Sommaire
Chapter 17: Sécurité
344
RADIUS
345
Sécurité du mot de passe
349
Méthode d'accès de gestion
351
Authentification de l'accès de gestion
356
Serveur SSL
358
Client SSH
361
Services TCP/UDP
361
Contrôle des tempêtes
363
Sécurité des ports
366
Authentification 802.1X
368
Prévention du déni de service
368
Chapter 18: Sécurité : Authentification 802.1X
379
Présentation
379
Propriétés
388
Authentification des ports
389
Authentification hôtes et sessions
392
Hôtes authentifiés
393
Chapter 19: Sécurité : Gestion sécurisée des données sensibles
394
Introduction
394
Gestion SSD
395
Règles SSD
395
Propriétés SSD
401
Fichiers de configuration
404
Canaux de gestion SSD
409
Interface de ligne de commande (CLI) et récupération du mot de passe
410
Configuration de SSD
410
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Sommaire
Chapter 20: Sécurité : Serveur SSH
414
Vue d'ensemble
414
Tâches courantes
415
Authentification des utilisateurs SSH
416
Authentification du serveur SSH
418
Chapter 21: Sécurité : Client SSH
420
Vue d'ensemble
420
Authentification des utilisateurs SSH
426
Authentification du serveur SSH
428
Modification du mot de passe utilisateur du serveur SSH
429
Chapter 22: Contrôle d'accès
431
Présentation
431
Création d'ACL basées sur MAC
435
Création d'ACL basées sur IPv4
438
Création d'ACL basées sur IPv6
443
Liaison ACL
447
Chapter 23: Qualité de service
450
Fonctions et composants QoS
450
Général
454
Mode de base de QoS
465
Mode de QoS avancé
468
Statistiques de QoS
481
Chapter 24: SNMP
484
Vue d'ensemble
484
ID de moteur
489
Vues
490
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
7
Sommaire
Groupes
492
Utilisateurs
494
Communautés
496
Paramètres de filtre
498
Destinataires de notifications
498
Filtre de notification
503
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
8
1
Mise en route rapide
Cette section couvre les sujets suivants :
Avant de commencer
Commutateur à montage en rack
Considérations relatives à l'alimentation électrique par câble Ethernet (PoE)
Configuration des commutateurs
Configuration du commutateur à l'aide du port de console
Port USB
Caractéristiques du commutateur
Avant de commencer
Avant de commencer à installer votre appareil, vérifiez que les éléments suivants sont
disponibles :
•
Des câbles Ethernet RJ-45 pour la connexion des appareils réseau. Un câble de
catégorie 6a ou supérieure est nécessaire pour les ports 10G. Un câble de catégorie 5e
ou supérieure est nécessaire pour tous les autres ports.
•
Un câble de console pour gérer le commutateur à partir du port de console.
•
Des outils pour l'installation du matériel. Le kit de montage en rack fourni avec le
commutateur contient quatre pieds en caoutchouc pour une installation sur un bureau
ainsi que deux supports et douze vis pour le montage en rack. Si vous perdez les vis
fournies, utilisez des vis de rechange de taille suivante :
-
Diamètre de la tête de vis : 6,9 mm
-
Longueur de la vis, de la tête à la base : 5,9 mm
-
Diamètre de la tige : 3,94 mm
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
1
Mise en route rapide
Commutateur à montage en rack
•
Un ordinateur équipé d'Internet Explorer (versions 9.0, 10.0, 11.0), de Firefox (version
36.0, 37.0 ou ultérieures) ou de Chrome (versions 40, 41, 42 ou ultérieures), pour
utiliser l'interface Web ou le port de console pour gérer votre commutateur.
Commutateur à montage en rack
Vous pouvez monter les commutateurs dans un rack d'une largeur standard de 48 cm environ
(19 pouces). Il nécessite un espace d'une unité de rack (RU), ce qui correspond à une hauteur
de 44,45 mm (1,75 pouce).
!
PRÉCAUTION
Pour garantir une bonne stabilité, chargez le rack en partant du bas, où vous placerez les
appareils les plus lourds. Si la charge est trop importante dans la partie supérieure du rack, il
risque d'être instable et de basculer.
Pour installer le commutateur dans un châssis standard de 19 pouces :
ÉTAPE 1 Placez l'un des supports fournis sur le côté du commutateur de façon à ce que les quatre trous
du support soient alignés sur les trous réservés aux vis, et fixez-le à l'aide des quatre vis
fournies.
ÉTAPE 2 Renouvelez cette étape pour fixer l'autre support sur le côté opposé du commutateur.
ÉTAPE 3 Lorsque les supports sont correctement fixés, vous pouvez installer le commutateur dans un
rack standard de 19 pouces.
.
,
400925
,
10
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Mise en route rapide
Considérations relatives à l'alimentation électrique par câble Ethernet (PoE)
Considérations relatives à l'alimentation électrique par câble Ethernet
(PoE)
AVERTISSEMENT
Le commutateur ne doit être relié qu'à des réseaux PoE sans branchement sur secteur.
Certains périphériques prennent en charge la fonctionnalité PoE, d'autres non. Les modèles
prenant en charge la fonctionnalité PoE comportent un P à la fin de leur nom, par exemple :
SF250-48HP.
Les champs PoE sont décrits sur toutes les pages concernées, mais ils ne s'appliquent qu'aux
périphériques prenant en charge la fonctionnalité PoE.
Si votre commutateur est un modèle alimenté par câble Ethernet (PoE), prenez en
considération les exigences suivantes en matière d'alimentation :
Tableau 1
Commutateurs avec alimentation PoE
Nom de la
référence
Description
Type de jeu de
puces PoE PD
Type de jeu de
puces PoE PSE
PoE PD AF/
AT/60W
PoE PSE AF/AT/
60W
SF250-24P
SF250-24P Commutateur
intelligent PoE
10/100 à 24 ports
S/O
3*69208M
(0x4B42)
S/O
AF/AT
SF250-48HP
SF250-48HP Commutateur
intelligent PoE
10/100 à 48 ports
S/O
6* PD69208
(0x4AC2) /
6*69208M
(0x4B42) (au 2.2.7)
S/O
AF/AT
SG250-08HP
SG250-08HP Commutateur
intelligent PoE
8 ports Gigabit
S/O
1*69208M
(0x4B42)
S/O
AF/AT
SG250-10P
SG250-10P Commutateur
intelligent PoE
10 ports Gigabit
2x PD70210 + 2x
PD70222 + 1?x
LX7309
1* PD69208
(0x4AC2) /
1*69208M
(0x4B42)
AF/AT/60W
AF/AT
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
1
Mise en route rapide
Considérations relatives à l'alimentation électrique par câble Ethernet (PoE)
Tableau 1 Commutateurs avec alimentation PoE (suite)
Nom de la
référence
Description
Type de jeu de
puces PoE PD
Type de jeu de
puces PoE PSE
PoE PD AF/
AT/60W
PoE PSE AF/AT/
60W
SG250-26HP
SG250-26HP Commutateur
intelligent PoE
26 ports Gigabit
S/O
3* PD69208
(0x4AC2) /
3*69208M
(0x4B42)
S/O
AF/AT
SG250-26P
SG250-26P Commutateur
intelligent PoE
26 ports Gigabit
S/O
3* PD69208
(0x4AC2) /
3*69208M
(0x4B42)
S/O
AF/AT
SG250-50HP
SG250-50HP Commutateur
intelligent PoE
50 ports Gigabit
S/O
6*69208M
(0x4B42)
S/O
AF/AT
SG250-50P
SG250-50P Commutateur
intelligent PoE
50 ports Gigabit
S/O
6*69208M
(0x4B42)
S/O
AF/AT
SG250X-24P
SG250X-24P Commutateur
intelligent PoE
24 ports Gigabit,
avec 4 ports
10 Gigabit
S.O.
3*69208M
(0x4B42)
S.O.
AF/AT
SG250X-48P
SG250X-48P Commutateur
intelligent PoE
48 ports Gigabit,
avec
4 ports 10 Gigabit
S.O.
6*69208M
(0x4B42)
S.O.
AF/AT
REMARQUE
12
Le PoE de 60 watts étend la norme IEEE Power over Ethernet Plus pour doubler la puissance
par port et obtenir une puissance de 60 watts.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Mise en route rapide
Configuration des commutateurs
!
PRÉCAUTION
Lorsque vous connectez un commutateur capable d'alimenter des appareils PoE, tenez compte
des éléments suivants :
Les commutateurs PoE sont des appareils PSE (Power Sourcing Equipment) capables
d'alimenter en courant continu les appareils connectés. Il peut s'agir notamment de téléphones
VoIP, de caméras IP et de points d'accès sans fil. Les commutateurs PoE peuvent détecter et
alimenter d'anciens appareils PoE préstandard. En raison de la prise en charge de l'ancienne
norme PoE, un commutateur PoE agissant en tant qu'appareil PSE peut détecter et alimenter à
tort un appareil PSE connecté, y compris d'autres commutateurs PoE.
Même si les commutateurs PoE sont des appareils PSE qui doivent être alimentés par courant
alternatif, ils peuvent être alimentés par un autre appareil PSE suite à une erreur de détection.
Dans cette situation, le commutateur PoE risque de ne pas fonctionner correctement et peut
également ne pas alimenter convenablement ses appareils alimentés connectés.
Pour éviter toute erreur de détection, vous devez désactiver le PoE au niveau des ports des
commutateurs PoE que vous utilisez pour connecter des appareils PSE. Par ailleurs, vous devez
d'abord alimenter un appareil PSE avant de le connecter à un commutateur PoE. Lorsqu'un
appareil est mal identifié, vous devez le déconnecter du port PoE, puis l'alimenter avec du
courant alternatif avant de reconnecter ses ports PoE.
Configuration des commutateurs
Avant de commencer
Pour administrer le commutateur, vous pouvez utiliser soit l'interface Web via votre réseau IP,
soit l'interface de ligne de commande du commutateur via le port de console. L'utilisation de
ce port nécessite des connaissances avancées.
Le tableau suivant présente les paramètres par défaut utilisés pour la configuration initiale du
commutateur.
Paramètre
Valeur par défaut
Nom d'utilisateur
cisco
Mot de passe
cisco
Adresse IP du LAN
192.168.1.254
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
1
Mise en route rapide
Configuration des commutateurs
Configuration du commutateur à l'aide de l'interface Web
Afin d'accéder au commutateur depuis l'interface Web, vous devez connaître son adresse IP,
qui est par défaut 192.168.1.254, avec le sous-réseau /24.
Lorsque le commutateur utilise l'adresse IP par défaut, le voyant Système clignote de manière
continue. Lorsque le commutateur utilise une adresse IP affectée par un serveur DHCP ou une
adresse IP statique configurée par un administrateur, le voyant Système est vert (le protocole
DHCP est activé par défaut).
Si vous administrez le commutateur via une connexion réseau et que l'adresse IP est modifiée
par un serveur DHCP ou manuellement, vous ne pouvez plus accéder au commutateur. Pour
pouvoir utiliser l'interface Web, vous devez saisir la nouvelle adresse IP du commutateur dans
votre navigateur. Si vous administrez le commutateur via une connexion de port de console, la
liaison est maintenue.
Pour configurer le commutateur à l'aide de l'interface Web :
ÉTAPE 1 Mettez l'ordinateur et le commutateur sous tension.
ÉTAPE 2 Pour les commutateurs Cisco 350-550XG, connectez l'ordinateur au port OOB sur le panneau
avant. Pour tous les autres commutateurs, tout port réseau peut être utilisé pour connecter
l'ordinateur.
ÉTAPE 3 Définissez la configuration IP sur votre ordinateur.
a. Si le commutateur utilise l'adresse IP statique par défaut 192.168.1.254/24, vous devez
choisir dans la plage de valeurs comprises entre 192.168.1.2 et 192.168.1.253 une
adresse IP qui n'est pas encore utilisée.
b. Si les adresses IP sont affectées par DHCP, assurez-vous que votre serveur DHCP est en
cours d'exécution et qu'il peut être atteint depuis le commutateur et l'ordinateur. Vous
devrez peut-être débrancher et rebrancher les périphériques pour qu'ils puissent détecter
leur nouvelle adresse IP à partir du serveur DHCP.
REMARQUE La procédure spécifique à suivre pour modifier l'adresse IP sur votre
ordinateur dépend du type d'architecture et du système d'exploitation dont vous
disposez. Utilisez la fonctionnalité locale d'aide et de support de vos ordinateurs et
effectuez une recherche portant sur l'« adressage IP ».
ÉTAPE 4 Ouvrez une fenêtre de votre navigateur Web. Si vous êtes invité à installer un plug-in ActiveX
lors de la connexion à l'appareil, suivez les instructions pour accepter ce plug-in.
ÉTAPE 5 Saisissez l'adresse IP du commutateur dans la barre d'adresse, puis appuyez sur Entrée. Par
exemple, http://192.168.1.254.
14
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Mise en route rapide
Configuration des commutateurs
ÉTAPE 6 Lorsque la page de connexion s'affiche, choisissez la langue que vous souhaitez utiliser dans
l'interface Web, puis saisissez le nom d'utilisateur et le mot de passe.
Le nom d'utilisateur par défaut est cisco. Le mot de passe par défaut est cisco. Ils sont tous les
deux sensibles à la casse.
ÉTAPE 7 Cliquez sur le bouton de connexion.
S'il s'agit de votre première ouverture de session avec le nom d'utilisateur et le mot de passe
par défaut, la page de modification du mot de passe s'ouvre. La procédure à suivre pour créer
un nouveau mot de passe est affichée sur cette page.
ÉTAPE 8 Saisissez un nouveau mot de passe, puis validez-le.
REMARQUE L'option obligeant à créer des mots de passe complexes est activée par
défaut. Le mot de passe doit respecter les règles de complexité par défaut. Il peut
également être temporairement désactivé en cochant la case Désactiver en regard de
l'option de sécurité du mot de passe.
ÉTAPE 9 Cliquez sur Appliquer.
!
PRÉCAUTION
Avant de quitter l'interface Web, cliquez sur l'icône Enregistrer afin d'enregistrer les
modifications. Si vous quittez avant d'avoir enregistré votre configuration, toutes les
modifications seront perdues.
La page Mise en route s'affiche. Vous pouvez désormais configurer le commutateur. Reportezvous au Guide d'administration ou aux pages d'aide pour plus d'informations.
Restrictions s'appliquant aux navigateurs
Si vous utilisez des interfaces IPv6 sur votre station de gestion, utilisez l'adresse globale IPv6
au lieu de l'adresse de liaison locale IPv6 pour accéder au périphérique à partir de votre
navigateur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
15
1
Mise en route rapide
Configuration du commutateur à l'aide du port de console
Configuration du commutateur à l'aide du port de console
Pour configurer le commutateur par le biais du port de console :
ÉTAPE 1 Connectez un ordinateur au port de console du commutateur en utilisant le câble de console
fourni.
ÉTAPE 2 Lancez un utilitaire pour port de console tel que HyperTerminal sur l'ordinateur.
ÉTAPE 3 Configurez l'utilitaire avec les paramètres suivants :
•
115 200 bits par seconde
•
8 bits de données
•
aucune parité
•
1 bit d'arrêt
•
aucun contrôle de flux
ÉTAPE 4 Saisissez un nom d'utilisateur et un mot de passe. Le nom d'utilisateur par défaut est cisco, tout
comme le mot de passe par défaut. Ils sont tous les deux sensibles à la casse.
S'il s'agit de votre première connexion à l'aide du nom d'utilisateur et du mot de passe par
défaut, un message semblable au suivant s'affiche :
Veuillez changer le mot de passe par défaut. Veuillez changer le mot de passe
pour une meilleure protection du réseau. Voulez-vous changer le mot de passe
(O/N) [O] ?
ÉTAPE 5 Saisissez O (ou Y si les messages s'affichent en anglais), puis le nouveau mot de passe
administrateur.
REMARQUE L'option obligeant à créer des mots de passe complexes est activée par
défaut. Votre mot de passe doit respecter les règles de complexité par défaut.
!
PRÉCAUTION
Veillez à enregistrer toute modification apportée à la configuration avant de quitter.
Vous pouvez désormais configurer le commutateur. Consultez le Guide de l'interface de ligne
de commande (CLI) de votre commutateur.
16
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Mise en route rapide
Port USB
REMARQUE Si vous n'utilisez pas DHCP sur votre réseau, définissez le type d'adresse
IP du commutateur sur Statique, puis modifiez l'adresse IP statique et le masque de
sous-réseau en fonction de la topologie de votre réseau. Faute de quoi, l'adresse IP par
défaut 192.168.1.254 risque d'être utilisée par plusieurs commutateurs.
Port USB
Le port USB peut être utilisé pour connecter des appareils de stockage externes (disque sur
clé). Il peut préserver la configuration, le journal SYSLOG et les fichiers image. Le port USB
prend totalement en charge le système de fichiers FAT32 et permet une prise en charge
partielle (lecture seule) du système de fichiers NTFS.
Vous pouvez utiliser des chemins relatifs ou complets.
Le système prend en charge les actions suivantes sur le port USB via l'interface utilisateur :
•
Afficher le contenu USB
•
Copier des fichiers vers/depuis le port USB (comme avec TFTP)
•
Supprimer, renommer et afficher le contenu des fichiers USB
Caractéristiques du commutateur
Cette section permet de vous familiariser avec le commutateur. Elle comprend une description
des éléments externes du commutateur.
Modèles de produits
Voici la liste des modèles de produits pris en charge :
Tableau 2
Modèles de produits
Nom de la référence
Description
SF250-24
SF250-24 - Commutateur intelligent 10/100 à 24 ports
SF250-24P
SF250-24P - Commutateur intelligent PoE 10/100 à 24 ports
SF250-48
SF250-48 - Commutateur intelligent 10/100 à 48 ports
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
1
Mise en route rapide
Caractéristiques du commutateur
Tableau 2
Modèles de produits (suite)
Nom de la référence
Description
SF250-48HP
SF250-48HP - Commutateur intelligent PoE 10/100 à 48 ports
SG250-08
SG250-08 - Commutateur intelligent 8 ports Gigabit
SG250-08HP
SG250-08HP - Commutateur intelligent PoE 8 ports Gigabit
SG250-10P
SG250-10P - Commutateur intelligent PoE 10 ports Gigabit
SG250-18
SG250-18 - Commutateur intelligent 18 ports Gigabit
SG250-26
SG250-26 - Commutateur intelligent 26 ports Gigabit
SG250-26HP
SG250-26HP - Commutateur intelligent PoE Gigabit à 26 ports
SG250-26P
SG250-26P - Commutateur intelligent PoE Gigabit à 26 ports
SG250-50
SG250-50 - Commutateur intelligent 50 ports Gigabit
SG250-50HP
SG250-50HP - Commutateur intelligent PoE 50 ports Gigabit
SG250-50P
SG250-50P - Commutateur intelligent PoE 50 ports Gigabit
SG250X-24
SG250X-24 - Commutateur intelligent à 24 ports Gigabit, avec
4 ports 10 Gigabit
SG250X-24P
Commutateur intelligent SG250X-24P à 24 ports PoE Gigabit, avec
4 ports 10 Gigabit
SG250X-48
SG250X-48 - Commutateur intelligent à 48 ports Gigabit, avec
4 ports 10 Gigabit
SG250X-48P
Commutateur intelligent SG250X-48P à 48 ports PoE Gigabit, avec
4 ports 10 Gigabit
Panneau avant
Les ports, les voyants et le bouton de réinitialisation sont situés sur le panneau avant du
commutateur (voir illustrations suivantes). Les références ne sont pas toutes affichées cidessous. Seul un groupe représentatif est affiché.
18
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Mise en route rapide
Caractéristiques du commutateur
TBD
SF240_24P
SG250-10P
Les composants suivants sont situés sur le panneau avant de l'appareil :
•
Port USB : permet de connecter le commutateur à un appareil USB pour que vous
puissiez enregistrer et restaurer les fichiers de configuration, les images de
microprogramme et les fichiers SYSLOG depuis l'appareil USB relié.
•
Ports Ethernet RJ-45 : ces ports permettent de relier au commutateur des appareils
réseau, comme des ordinateurs, des imprimantes et des points d'accès.
•
Ports Ethernet multigigabit : indiqués en bleu sur l'image, ces ports prennent en charge
des débits de 100 Mbit/s, 1 Gbit/s et 2,5 Gbit/s sur des câbles de catégorie 5e. La
plupart des câbles déployés dans le monde sont limités à 1 Gbit/s au bout de
100 mètres de câble. L'Ethernet multigigabit Cisco permet d'atteindre des débits de
2,5 Gbit/s sur ce type d'infrastructure, sans avoir à remplacer les câbles.
•
Ports PoE 60 Watts : surlignés en jaune. Les ports PoE 60 watts font passer la
puissance PoE à 60 W. Cette caractéristique n'est pas disponible sur les modèles 250 ni
sur le modèle SF350-48P.
•
Port SFP+ (si disponible) : les ports SFP+ (Small form-Factor Pluggable Plus) sont des
points de connexion pour les modules, permettant de connecter le commutateur à
d'autres commutateurs. Ils sont également appelés ports miniGBIC (miniGigaBit
Interface Converter). Dans ce guide, nous utilisons le terme de port SFP+.
•
Les ports SFP+ sont compatibles avec les modules optiques Cisco SFP 1G suivants :
MGBSX1, MGBLH1, MGBT1 ainsi que ceux d'autres marques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
19
1
Mise en route rapide
Caractéristiques du commutateur
•
Les modules optiques 10G SFP+ de Cisco suivants sont pris en charge par les
commutateurs Cisco : SFP-10G-SR, SFP-10G-LR, SFP-10G-SR-S, et SFP-10G-LR-S.
•
Les modules câble en cuivre SFP+ d'empilage Cisco suivants sont pris en charge par
les commutateurs Cisco : SFP-H10GB-CU1M, SFP-H10GB-CU3M et SFP-H10GBCU5M.
•
Le port SFP+ est un port de combinaison, partagé avec un autre port RJ-45. Lorsque le
port SFP+ est actif, le port RJ-45 adjacent est désactivé.
•
Certaines interfaces SFP sont partagées avec un autre port RJ-45, appelé port mixte.
Lorsque le port SFP est actif, le port RJ-45 adjacent est désactivé.
•
Les voyants du port RJ-45 correspondant clignotent en vert en réaction au trafic du
port SFP.
•
Port OOB (si disponible) : le port OOB (Out of Band) est un port Ethernet de
processeur utilisable uniquement en tant qu'interface de gestion. Le pontage entre le
port OOB et l'interface de couche 2 intrabande n'est pas pris en charge. Cela n'apparaît
pas sur les modèles 250.
Voyants du panneau avant
Voici les voyants principaux disponibles sur les appareils :
•
Unité principale : (vert) reste allumé lorsque le commutateur est l'unité principale de la
pile.
•
Système : (vert) reste allumé lorsque le commutateur est sous tension et clignote lors
du démarrage, de l'exécution de tests automatiques et de l'obtention d'une adresse IP.
Le voyant clignote en vert lorsque le commutateur a détecté une défaillance de
matériel ou de microprogramme et/ou une erreur de fichier de configuration.
•
N° d'empilage : (vert) reste allumé lorsque le commutateur est empilé. Le numéro
correspondant indique l'ID de la pile.
Les voyants suivants sont des LED de port :
20
•
LINK/ACT : (vert) situé à gauche de chaque port. Ce voyant reste allumé lorsqu'une
liaison est détectée entre le port correspondant et un autre dispositif. Il clignote lorsque
le trafic transite par ce port.
•
XG : (vert) situé à droite du port 10G. Ce voyant reste allumé lorsqu'un autre appareil
est connecté au port, est sous tension et qu'une liaison de 10 Mbit/s est établie entre les
appareils. Il s'éteint lorsque le débit de connexion est inférieur à 10 Gbit/s ou qu'aucun
dispositif n'est relié à ce port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
1
Mise en route rapide
Caractéristiques du commutateur
•
Gigabit : (vert) situé à droite du port OOB. Ce voyant reste allumé lorsqu'un autre
appareil est connecté au port, que ce dernier est sous tension et qu'une liaison de
1 000 Mbit/s est établie entre les appareils. Il s'éteint lorsque la vitesse de connexion
est inférieure à 1 000 Mbit/s ou qu'aucun appareil n'est relié à ce port.
•
SFP+ (si disponible) : (vert) situé à droite d'un port 10G. Ce voyant reste allumé
lorsqu'une connexion est établie via le port partagé. Il clignote lorsque le trafic transite
par ce port.
•
PoE (si disponible) : (orange) situé sur la droite du port. Ce voyant reste allumé pour
indiquer qu'un appareil relié au port correspondant est alimenté.
Bouton de réinitialisation
Vous pouvez réinitialiser le commutateur en insérant une épingle ou un trombone dans
l'ouverture du bouton de réinitialisation, situé sur le panneau avant du commutateur. Pour
redémarrer ou réinitialiser le commutateur à l'aide du bouton Réinitialiser, procédez comme
suit :
•
Pour redémarrer le commutateur, appuyez sur le bouton Réinitialiser et maintenez-le
enfoncé pendant moins de 10 secondes.
•
Pour restaurer les paramètres d'usine par défaut :
-
Déconnectez le commutateur ou désactivez tous les serveurs DHCP du réseau.
-
Une fois l'appareil sous tension, appuyez sur le bouton de Réinitialiser et
maintenez-le enfoncé pendant plus de 10 secondes.
Panneau arrière
Les boutons suivants figurent sur les panneaux arrière :
•
Alimentation : permet de connecter le commutateur à la source d'alimentation CA.
•
Console : permet de brancher un câble série au port série d'un ordinateur afin de
configurer l'appareil à l'aide d'un programme d'émulation de terminal.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
21
2
Informations générales
Cette section couvre les sujets suivants :
•
Mode d'affichage de base ou avancé
•
Configuration de l'appareil - Démarrage rapide
•
Conventions de nommage de l'interface
•
Navigation dans les fenêtres
•
Fonction de recherche
Mode d'affichage de base ou avancé
Le produit prend en charge de nombreuses fonctionnalités, c'est pourquoi l'interface utilisateur
Web compte des centaines de pages de configuration et d'affichage. Ces pages sont divisées en
modes d'affichage, spécifiés ci-dessous :
•
Basic (De base) : des options de configuration de sous-réseau de base sont disponibles.
Si vous souhaitez accéder à des options de configuration supplémentaires, sélectionnez
le mode Advanced (Avancé) dans l'en-tête du périphérique.
•
Advanced (Avancé) : un ensemble complet d'options de configuration est disponible.
Basculez d'un mode à l'autre, comme illustré ci-dessous :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
2
Informations générales
Configuration de l'appareil - Démarrage rapide
Quand l'utilisateur passe du mode de base au mode avancé, le navigateur recharge la page.
Cependant, après le rechargement, l'utilisateur reste sur la même page.
Quand l'utilisateur passe du mode avancé au mode de base, le navigateur recharge la page. Si
celle-ci existe également en mode de base, l'utilisateur reste sur la même page. Si elle n'existe
pas, le navigateur charge la première page du dossier dans lequel l'utilisateur travaillait. Si le
dossier n'existe pas, la page de mise en route s'affiche.
Si une configuration avancée a été effectuée et si la page est chargée en mode de base, un
message s'affichera à l'intention de l'utilisateur (par exemple, 2 serveurs RADIUS sont
configurés, mais en mode de base, un seul serveur peut être affiché ; ou l'authentification du
port 802.1X est configurée avec une période qui n'est pas visible en mode de base).
Lorsque vous basculez d'un mode à l'autre, la configuration effectuée sur la page (sans
l'appliquer) sera supprimée.
Configuration de l'appareil - Démarrage rapide
Pour une configuration initiale rapide, vous pouvez utiliser les assistants de configuration
décrits à la section Assistant de configuration des VLAN ou utiliser les liens sur la page de
mise en route, comme décrit ci-dessous :
Catégorie
Nom du lien (sur la page)
Page correspondante
Configuration
initiale
Change Management Applications
and Services
Services TCP/UDP
Change Device IP Address
Interfaces IPv4
Créer un VLAN
Paramètres VLAN
Configurer les paramètres de port
Paramètres des ports
Récapitulatif du système
Récapitulatif du système
Port Statistics
Interface
RMON Statistics
Statistiques
View Log
Mémoire RAM
Change Device Password
Comptes d'utilisateur
Upgrade Device Software
Opérations du microprogramme
Backup Device Configuration
Opérations de fichiers
État du
périphérique
Accès rapide
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
2
Informations générales
Conventions de nommage de l'interface
Catégorie
Nom du lien (sur la page)
Page correspondante
Create MAC-Based ACL
Création d'ACL basées sur MAC
Create IP-Based ACL
Création d'ACL basées sur IPv4
Configure QoS
Propriétés de QoS
Configurer SPAN
Analyseur de port commuté
(SPAN)
La page Getting Started comporte deux liens qui vous redirigent vers des pages Web Cisco sur
lesquelles vous trouverez des informations supplémentaires. Cliquez sur le lien Support
(Assistance) pour accéder à la page d'assistance produit du périphérique, puis sélectionnez le
lien Forums pour accéder à la page Support Community.
Conventions de nommage de l'interface
Dans l'interface utilisateur graphique, les interfaces sont désignées en concaténant les éléments
suivants :
•
•
Type de l'interface : les types d'interfaces suivants se retrouvent dans divers types de
périphériques :
-
Fast Ethernet (10/100 bits) : celles-ci sont désignées par FE.
-
Ports Gigabit Ethernet (10/100/1 000 bits) : celles-ci sont désignées par GE.
-
Port Out-of-Band (hors bande) : celle-ci est désignée par OOB.
-
LAG (PortChannel) : celles-ci sont désignées par LAG.
-
VLAN : celles-ci sont désignées par VLAN.
-
Tunnel : celles-ci sont désignées par Tunnel.
Numéro d'interface : ID du port, LAG, tunnel ou VLAN.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
2
Informations générales
Navigation dans les fenêtres
Navigation dans les fenêtres
Cette section décrit les fonctions de l'web-based switch configuration utility.
En-tête d'application
L'en-tête d'application s'affiche sur toutes les pages. Elle propose les liens d'application
suivants :
Nom du lien
d'application
Description
Une icône X rouge clignotante qui s'affiche à gauche du lien
d'application Enregistrer indique que des changements apportés à
la Configuration d'exécution n'ont pas encore été enregistrés dans
le fichier de Configuration de démarrage. Vous pouvez désactiver
le clignotement de l'icône X rouge sur la page Copier/enregistrer la
configuration.
Cliquez sur Enregistrer pour afficher la page Copier/enregistrer la
configuration. Enregistrez le fichier de Configuration d'exécution
en le copiant dans le fichier de Configuration de démarrage sur le
périphérique. Une fois cet enregistrement effectué, l'icône X rouge
et le lien d'application Enregistrer ne s'affichent plus. Au
redémarrage du périphérique, le type de fichier Configuration de
démarrage est copié sur la Configuration d'exécution et les
paramètres du périphérique sont définis en fonction des données de
Configuration d'exécution.
Nom d'utilisateur
Affiche le nom de l'utilisateur connecté au périphérique. Le nom
d'utilisateur par défaut est cisco. (Le mot de passe par défaut est
cisco.)
Nom d'hôte
Affiche le nom d'hôte affecté dans la page Paramètres système. Si
le nom d'hôte dépasse 20 caractères, seuls les 20 premiers
caractères seront affichés, suivis de points de suspension (...).
Lorsque vous placez le pointeur de la souris sur le nom d'hôte
tronqué, une info-bulle présentant le nom d'hôte complet s'affiche.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
25
2
Informations générales
Navigation dans les fenêtres
Nom du lien
d'application
Description
Language Menu
Ce menu comprend les options suivantes :
•
Choisir une langue : choisissez une des langues qui
apparaît dans le menu. Il s'agira de la langue utilisée par
l'utilitaire de configuration Web.
•
Langue de téléchargement : ajoute une nouvelle langue au
périphérique.
REMARQUE Pour mettre à niveau un fichier de langue,
accédez à la page Upgrade/Backup Firmware/Language.
Logout
Cliquez sur ce bouton pour vous déconnecter de l'web-based switch
configuration utility.
About
Cliquez sur ce lien pour afficher le nom et le numéro de version du
périphérique.
Help
Cliquez sur ce lien pour afficher l'aide en ligne.
L'icône d'état d'alerte SYSLOG s'affiche en cas de journalisation
d'un message SYSLOG dont le niveau de gravité se situe au-dessus
du niveau critique. Cliquez sur l'icône pour ouvrir la page RAM
Memory. Une fois que vous avez accédé à cette page, l'icône d'état
d'alerte SYSLOG ne s'affiche plus. Pour afficher la page en
l'absence de message SYSLOG actif, cliquez sur État et
statistiques > Afficher le journal > Mémoire RAM.
Boutons de gestion
Le tableau suivant décrit les boutons couramment utilisés qui s'affichent sur différentes pages
du système.
Nom du bouton
Description
Servez-vous du menu déroulant pour configurer le nombre
d'entrées par page.
Indique un champ obligatoire.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
26
2
Informations générales
Navigation dans les fenêtres
Nom du bouton
Description
Ajouter
Cliquez sur ce bouton pour afficher la page Ajouter correspondante
et ajouter une entrée à une table. Saisissez les informations
requises et cliquez sur Appliquer pour les enregistrer dans la
Configuration d'exécution. Cliquez sur Fermer pour retourner à la
page principale. Cliquez sur Enregistrer pour afficher la page
Copier/enregistrer la configuration et enregistrer la Configuration
d'exécution dans le type de fichier Configuration de démarrage du
périphérique.
Appliquer
Cliquez sur ce lien pour appliquer les modifications à la
Configuration d'exécution du périphérique. En cas de redémarrage
du périphérique, la Configuration d'exécution est perdue, sauf si
elle a été enregistrée dans le type de fichier de Configuration de
démarrage ou dans un autre type de fichier. Cliquez sur
Enregistrer pour afficher la page Copier/enregistrer la
configuration et enregistrer la Configuration d'exécution dans le
type de fichier Configuration de démarrage du périphérique.
Annuler
Cliquez sur réinitialiser les modifications apportées à la page.
Supprimer
Effacer les informations sur la page.
Effacer le filtre
Cliquez sur ce bouton pour effacer le filtre de sélection des
informations affichées.
Clear All Interfaces
Counters
Cliquez sur ce bouton pour effacer les compteurs de statistiques de
toutes les interfaces.
Clear Interface
Counters
Cliquez sur ce bouton pour effacer les compteurs de statistiques de
l'interface sélectionnée.
Clear Logs
Efface les fichiers journaux.
Clear Table
Efface les entrées de la table.
Close
Permet de revenir à la page principale. Un message s'affiche si des
modifications n'ont pas été appliquées à la configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
27
2
Informations générales
Navigation dans les fenêtres
Nom du bouton
Description
Copy Settings
Une table comporte généralement une ou plusieurs entrées
contenant des paramètres de configuration. Au lieu de modifier
chaque entrée individuellement, il est possible de modifier une
entrée, puis de la copier sur plusieurs autres, comme décrit cidessous :
1. Sélectionnez l'entrée à copier. Cliquez sur Copier les
paramètres pour afficher la fenêtre contextuelle.
2. Saisissez les numéros des entrées de destination dans le champ
To.
3. Cliquez sur Appliquer pour enregistrer les modifications et sur
Fermer pour retourner à la page principale.
Supprimer
Après avoir sélectionné une entrée dans la table, cliquez sur
Supprimer pour la supprimer.
Details
Cliquez sur ce bouton pour afficher les détails relatifs à l'entrée
sélectionnée.
Modifier
Sélectionnez l'entrée et cliquez sur Edit. La page Edit qui s'ouvre
vous permet de modifier l'entrée.
1. Cliquez sur Appliquer pour enregistrer les modifications dans
la Configuration d'exécution.
2. Cliquez sur Fermer pour retourner à la page principale.
Go
Saisissez les critères de filtrage et cliquez sur Go. Les résultats
s'affichent sur la page.
Refresh
Cliquez sur Actualiser pour actualiser les valeurs de compteur.
Test
Cliquez sur Tester pour effectuer les tests liés.
Restaurer déf.
Cliquez sur Restaurer les valeurs par défaut pour restaurer les
paramètres d'usine par défaut.
Annuler les valeurs
par défaut
Cliquez sur Annuler les valeurs par défaut pour restaurer les
paramètres d'usine par défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
28
2
Informations générales
Fonction de recherche
Fonction de recherche
La fonction de recherche vous permet de trouver les pages de l'interface utilisateur qui vous
intéressent.
Si vous effectuez une recherche par mot-clé, vous obtiendrez des liens vers les pages
correspondantes, mais également des liens vers des pages d'aide.
Pour accéder à la fonction de recherche, saisissez un mot-clé et cliquez sur l'icône de la loupe.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
29
3
Tableau de bord
Le tableau de bord se compose de 8 cases, initialement vides, pouvant recevoir différents types
d'informations
Vous pouvez sélectionner des modules parmi ceux disponibles et les placer dans cette grille.
Vous pouvez par ailleurs personnaliser les paramètres des modules affichés à l'écran.
Lors du chargement du tableau de bord, les modules que vous avez sélectionnés sont chargés à
l'emplacement défini dans la grille. Les données contenues dans les modules sont mises à jour
régulièrement, à des intervalles différents selon le type de module. Ces intervalles sont
configurables pour certains modules.
Les sujets suivants sont abordés dans ce chapitre :
•
Gestion de la grille
•
Intégrité du système
•
Utilisation des ressources
•
Identification
•
Utilisation du port
•
Utilisation du PoE
•
Derniers journaux
•
Interfaces suspendues
•
Erreurs de trafic
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
30
3
Tableau de bord
Gestion de la grille
Gestion de la grille
Le tableau de bord se compose de plusieurs modules, mais vous ne pouvez afficher qu'un sousensemble des modules simultanément.
Lorsque vous ouvrez le tableau de bord, une vue quadrillée s'affiche, comme illustré cidessous (seules 2 cases sont présentées dans cette figure) :
Pour afficher des modules qui ne le sont pas encore, cliquez sur Personnaliser en haut à droite
du tableau de bord, comme illustré ci-dessous :
Pour ajouter des modules, sélectionnez-en un dans la liste de droite, puis déplacez-le vers un
point quelconque de la grille.
Les modules sont divisés en groupes, spécifiés ci-dessous :
•
Les petits modules n'occupent qu'une seule case.
•
Les grands modules peuvent occuper jusqu'à deux cases.
Si vous faites glisser un module vers un point de la grille déjà occupé, le nouveau module
remplace l'existant.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
31
3
Tableau de bord
Intégrité du système
Vous pouvez repositionner les modules dans la grille. Pour cela, faites glisser un module d'une
position occupée vers une autre. Vous pouvez déplacer le module vers un espace inoccupé ou
vers un espace occupé par un module de la même taille. Si l'espace sélectionné est occupé, les
modules changent de place.
Lorsque vous cliquez sur Terminé à la droite de l'écran, les informations pertinentes sont
insérées dans les modulesPour chaque module, une barre de titre ainsi que trois boutons sont
affichés :
Ces boutons permettent d'effectuer les actions suivantes :
•
Stylo
: ouvre les options de configuration (en fonction du module).
•
Actualiser
•
X : supprime le module du tableau de bord.
: actualise les informations.
Intégrité du système
Si celles-ci sont disponibles, ce module affiche des informations sur la température d'un
appareil, comme illustré ci-dessous :
Les icônes suivantes sont affichées :
•
32
État du ventilateur : jaune si un ventilateur est en panne et est remplacé par le
ventilateur redondant ; vert si le ventilateur est opérationnel et rouge s'il est
défectueux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
3
Tableau de bord
Utilisation des ressources
•
État du thermomètre
-
La température est satisfaisante : verte lorsque le thermomètre est presque vide.
-
La température génère un avertissement : jaune lorsque le thermomètre est à moitié
plein.
-
La température est critique : rouge lorsque le thermomètre est plein.
Les options de configuration suivantes (l'icône du stylo située dans le coin supérieur droit)
sont disponibles :
•
Délai d'actualisation : sélectionnez l'une des options affichées.
Utilisation des ressources
Ce module affiche le taux d'utilisation des ressources système (en pourcentage) sous forme de
graphique à barres Les ressources gérées sont les suivantes :
•
Multicast Groups (Groupes de multidiffusion) : pourcentage des groupes de
multidiffusion existants par rapport au nombre maximal de groupes de multidiffusion
qu'il est possible de définir.
•
MAC Address Table (Table des adresses MAC) : pourcentage d'utilisation de la table
d'adresses MAC en cours d'utilisation.
•
TCAM : pourcentage de TCAM utilisé par les entrées QoS et ACL.
•
CPU (Processeur) : taux d'utilisation du processeur, en pourcentage.
Chaque barre devient rouge si le taux d'utilisation des ressources est supérieur à 80 %.
Lorsque vous placez le pointeur de la souris sur une barre du graphique, une info-bulle
contenant des statistiques d'utilisation s'affiche (ressources utilisées/ressources maximales
disponibles).
Les options de configuration suivantes (situées à la droite de l'écran) sont disponibles :
•
Délai d'actualisation : sélectionnez l'une des options affichées.
•
Groupes de multidiffusion : cliquez sur cette option pour ouvrir la page
Adresse MAC de groupe.
•
Table d'adresses MAC : cliquez sur cette option pour accéder à la page Adresses
dynamiques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
33
3
Tableau de bord
Identification
•
Informations d'utilisation TCAM : cliquez sur cette option pour ouvrir la page
Utilisation des ressources matérielles.
•
Informations d'utilisation du processeur : cliquez sur cette option pour ouvrir la
page Utilisation du processeur.
Identification
Ce module affiche des informations de base sur l'appareil, comme illustré ci-dessous :
Il contient les champs suivants :
34
•
System Description (Description du système) : description du périphérique.
•
Host Name (Nom d'hôte) : le nom d'hôte saisi sur la page Paramètres système ou le
nom d'hôte par défaut est utilisé. Il est également possible de le spécifier dans
l'Assistant de mise en route.
•
Version du micrologiciel : version du micrologiciel exécuté sur le périphérique.
•
Adresse MAC : adresse MAC du périphérique.
•
Numéro de série : numéro de série du périphérique.
•
Emplacement du système : saisissez l'emplacement physique du périphérique.
•
System Contact : saisissez le nom de la personne à contacter.
•
Puissance totale disponible : puissance électrique disponible pour le périphérique.
•
Consommation de puissance actuelle : puissance électrique consommée par le
périphérique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
3
Tableau de bord
Utilisation du port
Les options de configuration suivantes (situées à la droite de l'écran) sont disponibles :
•
Délai d'actualisation : sélectionnez l'une des options affichées.
•
Paramètres système : cliquez sur cette option pour accéder à la page Paramètres
système.
•
Récapitulatif du système : cliquez sur cette option pour accéder à la page
Récapitulatif du système.
Utilisation du port
Ce module présente les ports de l'appareil sous forme de graphique ou dans une vue de
l'appareil. Vous choisissez la vue dans les options de configuration (l'icône du stylo en haut à
droite).
•
Mode d'affichage : appareil
Affiche l'appareil. Lorsque vous placez le pointeur de la souris sur un port, des
informations relatives à ce port s'affichent.
•
Mode d'affichage : graphique
La liste des ports s'affiche. L'utilisation des ports est présentée sous forme de barres :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
35
3
Tableau de bord
Utilisation du PoE
. Les informations suivantes sont affichées pour chaque port :
Tx—% (rouge)
Rx—% (bleu)
•
Délai d'actualisation : sélectionnez l'une des options affichées.
•
Statistiques de l'interface : vous permettent d'accéder à la page État et statistiques >
Interface.
Utilisation du PoE
Ce module présente le taux d'utilisation du PoE sous forme graphique, comme illustré cidessous :
Ce module affiche une jauge dont les valeurs vont de 0 à 100. La section de la jauge entre le
seuil d'interception et 100 s'affiche en rouge. Au centre de la jauge, le taux d'utilisation du PoE
actuel est indiqué en watts.
Chaque barre représente un pourcentage d'utilisation du PoE pour le périphérique sur une
échelle graduée de 0 à 100. Si l'utilisation du PoE excède le seuil d'interception, la barre
s'affiche en rouge. Dans le cas contraire, la barre est verte.
Lorsque vous placez le pointeur de la souris sur une barre, une info-bulle s'affiche indiquant le
taux d'utilisation du PoE du périphérique, en watts.
36
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
3
Tableau de bord
Derniers journaux
Des vues supplémentaires peuvent être sélectionnées dans les options de configuration (l'icône
représentant un stylo en haut à droite).
•
Délai d'actualisation : sélectionnez l'une des options affichées.
•
Propriétés globales PoE : lien vers la page Gestion des ports > PoE > Propriétés.
•
Propriétés globales PoE : lien vers la page Gestion des ports > PoE > Paramètres.
Derniers journaux
Ce module contient des informations sur les cinq derniers événements consignés par le
système sous forme de journaux SYSLOG, comme illustré ci-dessous :
Les options de configuration suivantes (situées à la droite de l'écran) sont disponibles :
REMARQUE
•
Seuil de gravité : cette option est décrite à la section Paramètres des journaux.
•
Délai d'actualisation : sélectionnez l'une des options affichées.
•
Afficher les journaux : cliquez sur cette option pour ouvrir la page Mémoire RAM.
Pour plus d'informations, reportez-vous à l'Affichage des journaux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
37
3
Tableau de bord
Interfaces suspendues
Interfaces suspendues
Ce module affiche les interfaces suspendues sous forme de tableau ou dans une vue de
l'appareil. Vous choisissez la vue dans les options de configuration (l'icône du stylo en haut à
droite).
•
Vue Périphérique
Dans cette vue, l'appareil est affiché comme illustré ci-dessous :
Tous les ports suspendus dans l'appareil sont indiqués en rouge.
Lorsque vous placez le pointeur de la souris sur un port suspendu, une info-bulle contenant les
informations suivantes s'affiche :
•
-
Nom du port
-
Appartenance à un LAG et identité LAG du port
-
Motif de la suspension, le cas échéant
Vue Tableau
Les informations sont affichées sous forme de tableau, comme illustré ci-dessous :
Les champs suivants s'affichent :
38
-
Interface : port ou LAG ayant été suspendu.
-
Suspension Reason (Motif de la suspension) : motif pour lequel l'interface a été
suspendue.
-
Auto-recovery current status (État de la récupération automatique) : indique si la
récupération automatique a été activée pour la fonction à l'origine de la suspension.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
3
Tableau de bord
Erreurs de trafic
Les options de configuration suivantes (situées à la droite de l'écran) sont disponibles :
•
Mode d'affichage : sélectionnez la vue Appareil ou Tableau.
•
Délai d'actualisation : sélectionnez l'une des options affichées.
•
Paramètres de reprise après erreur : cliquez sur cette option pour accéder à la page
Paramètres de reprise après erreur.
Erreurs de trafic
Ce module affiche le nombre de paquets d'erreurs de divers types comptabilisés dans les
statistiques RMON. Vous choisissez la vue dans les options de configuration (l'icône du stylo
en haut à droite).
Les éléments suivants peuvent être sélectionnés en cliquant sur l'icône représentant un stylo :
•
Mode d'affichage : appareil
Ce mode présente un diagramme de l'appareil, comme illustré ci-dessous :
Tous les ports suspendus dans l'appareil sont indiqués en rouge.
Lorsque vous placez le pointeur de la souris sur un port suspendu, une info-bulle
contenant les informations suivantes s'affiche :
-
Nom du port
-
Appartenance à un LAG et identité LAG du port
-
Détails de la dernière erreur consignée sur le port
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
39
3
Tableau de bord
Erreurs de trafic
•
40
Mode d'affichage : tableau
-
Interface : nom du port.
-
Dernière erreur de trafic : l'erreur de trafic qui a eu lieu sur un port et la dernière
occurrence de cette erreur.
•
Délai d'actualisation : sélectionnez l'un des délais d'actualisation.
•
Informations relatives aux erreurs de trafic : cliquez pour accéder à la page
Statistiques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
4
Assistants de configuration
Cette rubrique décrit les assistants de configuration suivants :
Elle couvre les sujets suivants :
•
Assistant de mise en route
•
Assistant de configuration des VLAN
•
Assistant ACL
Assistant de mise en route
Cet assistant vous aide lors de la configuration initiale du périphérique.
ÉTAPE 1 Cliquez sur Assistants de configuration > Assistant de prise en main.
ÉTAPE 2 Cliquez sur Launch Wizard (Lancer l'assistant), puis sur Next (Suivant).
ÉTAPE 3 Renseignez les champs suivants :
•
Emplacement du système : entrez l'emplacement physique du périphérique.
•
System Contact : saisissez le nom de la personne à contacter.
•
Nom d'hôte : sélectionnez le nom d'hôte de ce périphérique. Voici ce qui est utilisé dans
l'invite de l'interface de ligne de commande :
-
Valeurs par défaut : le nom d'hôte par défaut (Nom du système) de ces
commutateurs est périphérique123456, où 123456 représente les trois derniers
octets de l'adresse MAC du périphérique au format hexadécimal.
-
Défini par l'utilisateur : saisissez le nom d'hôte. Utilisez uniquement des lettres, des
chiffres et des tirets. Les noms d'hôte ne peuvent pas être précédés ni suivis d'un
tiret. Les autres symboles, les signes de ponctuation et les espaces ne sont pas
autorisés (comme cela est spécifié dans les normes RFC1033, 1034 et 1035).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
41
4
Assistants de configuration
Assistant de mise en route
ÉTAPE 4 Cliquez sur Next.
ÉTAPE 5 Renseignez les champs suivants :
•
Interface : sélectionnez l'interface IP pour le système.
•
IP Interface Source (Source de l'interface IP) : sélectionnez l'une des options
suivantes :
-
DHCP : sélectionnez cette option si vous souhaitez que le périphérique reçoive son
adresse IP d'un serveur DHCP.
-
Static (Statique) : sélectionnez cette option pour saisir manuellement l'adresse IP du
périphérique.
Si vous avez sélectionné Statique comme source d'interface IP, renseignez les champs
suivants :
•
IP Address : adresse IP de l'interface.
•
Masque de réseau : masque IP pour cette adresse.
•
Passerelle administrative par défaut : saisissez l'adresse IP de la passerelle par
défaut.
•
Serveur DNS : saisissez l'adresse IP du serveur DNS.
ÉTAPE 6 Cliquez sur Next (Suivant).
ÉTAPE 7 Renseignez les champs suivants :
•
Username (Nom d'utilisateur) : saisissez un nouveau nom d'utilisateur comportant
20 caractères maximum. Les caractères UTF-8 sont interdits.
•
Mot de passe : saisissez un mot de passe (les caractères UTF-8 sont interdits). Si la
fiabilité et la complexité du mot de passe sont définies, le mot de passe utilisateur doit
être conforme à la stratégie configurée dans Sécurité du mot de passe.
•
Confirm Password : saisissez à nouveau le mot de passe.
•
Password Strength (Sécurité du mot de passe) : affiche le niveau de robustesse du mot
de passe. Vous pouvez définir la stratégie de sécurité et de complexité du mot de passe
sur la page Sécurité du mot de passe.
•
Conserver le nom d'utilisateur et le mot de passe actuels : sélectionnez cette option
pour conserver le nom d'utilisateur et le mot de passe actuels.
ÉTAPE 8 Cliquez sur Next (Suivant).
42
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
4
Assistants de configuration
Assistant de configuration des VLAN
ÉTAPE 9 Renseignez les champs suivants :
•
Clock Source (Source d'horloge) : sélectionnez l'une des options suivantes :
-
Paramètres manuels : sélectionnez cette option pour saisir l'heure système du
périphérique. Si vous avez sélectionné cette option, renseignez les champs Date et
Time (Heure).
-
Default SNTP Servers (Serveurs SNTP par défaut) : cette option permet d'utiliser les
serveurs SNTP par défaut.
REMARQUE Les serveurs SNTP par défaut sont définis par nom ; par conséquent, le
serveur DNS doit être configuré et opérationnel (serveur DNS configuré et accessible).
Ceci s'effectue sur la page Paramètres DNS.
-
Serveur SNTP manuel : sélectionnez cette option et saisissez l'adresse IP d'un
serveur SNTP.
ÉTAPE 10 Cliquez sur Next (Suivant) pour afficher un récapitulatif de la configuration saisie.
ÉTAPE 11 Cliquez sur Apply (Appliquer) pour enregistrer les données de configuration.
Assistant de configuration des VLAN
Cet assistant vous aide à configurer les VLAN. Chaque fois que vous exécutez cet assistant,
vous pouvez configurer l'appartenance des ports dans un seul VLAN. Commencez par
configurer le mode du port de liaison (configuration des ports de liaison balisés et non balisés),
puis vous passez à la configuration du mode d'accès.
ÉTAPE 1 Cliquez sur Assistants de configuration > Assistant de configuration des VLAN.
ÉTAPE 2 Cliquez sur Launch Wizard (Lancer l'assistant), puis sur Next (Suivant).
ÉTAPE 3 Sélectionnez les ports devant être configurés en tant que ports de liaison (en cliquant sur les
ports requis dans l'affichage graphique). Les ports déjà configurés en tant que ports de liaison
sont présélectionnés.
ÉTAPE 4 Cliquez sur Next.
ÉTAPE 5 Renseignez les champs suivants :
•
VLAN ID (ID VLAN) : sélectionnez le VLAN à configurer. Vous pouvez sélectionner
soit un VLAN existant soit un nouveau VLAN.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
43
4
Assistants de configuration
Assistant ACL
•
New VLAN ID (ID du nouveau VLAN) : saisissez l'ID VLAN du nouveau VLAN.
•
VLAN Name (Nom du VLAN) : saisissez le nom du VLAN (facultatif).
ÉTAPE 6 Sélectionnez les ports de liaison devant être configurés en tant que membres non balisés du
VLAN (en cliquant sur les ports requis dans l'affichage graphique). Les ports de liaison qui ne
sont pas sélectionnés à cette étape deviennent des membres balisés du VLAN.
ÉTAPE 7 Cliquez sur Next.
ÉTAPE 8 Sélectionnez les ports devant être configurés en tant que ports d'accès du VLAN. Les ports
d'accès d'un VLAN sont des membres non balisés du VLAN. (Cliquez avec la souris sur les
ports requis dans l'affichage graphique.)
ÉTAPE 9 Cliquez sur Next (Suivant) pour afficher un récapitulatif des informations saisies.
ÉTAPE 10 Cliquez sur Appliquer.
Assistant ACL
Pour créer une nouvelle ACL :
ÉTAPE 1 Cliquez sur Assistants de configuration > Assistant ACL.
ÉTAPE 2 Cliquez sur Next.
ÉTAPE 3 Renseignez les champs suivants :
•
Nom de l'ACL : saisissez le nom de la nouvelle ACL.
•
Type d'ACL : sélectionnez le type d'ACL : IPv4 ou MAC.
ÉTAPE 4 Cliquez sur Next.
ÉTAPE 5 Renseignez les champs suivants :
•
44
Action si correspondance : sélectionnez l'une des options suivantes :
-
Autoriser le trafic : réachemine les paquets qui répondent aux critères de l'ACL.
-
Refuser le trafic : abandonne les paquets qui répondent aux critères de l'ACL.
-
Fermer l'interface : abandonne les paquets qui répondent aux critères de l'ACL et
désactive le port sur lequel les paquets ont été reçus. Ces ports peuvent être réactivés
sur la page Paramètres de reprise après erreur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
4
Assistants de configuration
Assistant ACL
ÉTAPE 6 Pour une ACL basée sur MAC, renseignez les champs suivants :
•
Adresse MAC source : sélectionnez Indiffér. si toutes les adresses source sont
possibles ou Défini par l'utilisateur pour entrer une adresse source ou une plage
d'adresses source.
•
Valeur de l'adresse MAC source : saisissez l'adresse MAC avec laquelle
l'adresse MAC source sera mise en correspondance et saisissez également, le cas
échéant, son masque.
•
Source MAC Wildcard Mask : saisissez le masque afin de définir une plage
d'adresses MAC.
•
Adresse MAC de destination : sélectionnez Indiffér. si toutes les adresses de
destination sont possibles ou Défini par l'utilisateur pour entrer une adresse de
destination ou une plage d'adresses de destination.
•
Valeur de l'adresse MAC de destination : saisissez l'adresse MAC avec laquelle
l'adresse MAC de destination sera mise en correspondance et saisissez également, le cas
échéant, son masque.
•
Destination MAC Wildcard Mask : saisissez le masque pour définir une plage
d'adresses MAC. Veuillez noter que ce masque est différent de ceux employés à d'autres
fins comme un masque de sous-réseau. Dans le cas présent, définir un bit sur 1 signifie
« ignorer cette valeur » ; définir un bit sur 0 signifie « masquer cette valeur ».
REMARQUE Prenons l'exemple d'un masque de 0000 0000 0000 0000 0000 0000 1111
1111 (ce qui signifie que vous établissez une correspondance avec les bits égaux à 0,
mais pas avec ceux égaux à 1). Vous devez convertir les 1 en un entier décimal et vous
remplacez chaque ensemble de quatre zéros par 0. Dans cet exemple, étant donné que
1111 1111 = 255, le masque serait : 0.0.0.255.
•
Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser.
Les périodes sont définies dans la section Configuration de l'heure système. Ce champ
n'est affiché que si vous avez créé une période auparavant.
ÉTAPE 7 Pour une ACL basée sur IPv4, renseignez les champs suivants :
•
Protocole : sélectionnez l'une de ces options pour créer une ACL basée sur un protocole
spécifique :
-
Tout (IP) : sélectionnez cette option pour accepter tous les protocoles IP.
-
TCP : sélectionnez cette option pour accepter les paquets Transmission Control
Protocol.
-
UDP : sélectionnez cette option pour accepter les paquets User Datagram Protocol.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
45
4
Assistants de configuration
Assistant ACL
-
ICMP : sélectionnez cette option pour accepter les paquets ICMP.
-
IGMP : sélectionnez cette option pour accepter les paquets IGMP.
•
Port source pour TCP/UDP : sélectionnez un port dans la liste déroulante.
•
Port de destination pour TCP/UDP : sélectionnez un port dans la liste déroulante.
•
Adresse IP source : sélectionnez Indiffér. si toutes les adresses source sont acceptables
ou Défini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source.
•
Valeur de l'adresse IP source : saisissez l'adresse IP avec laquelle l'adresse IP source
sera mise en correspondance.
•
Source IP Wildcard Mask : saisissez le masque pour définir une plage d'adresses IP.
Veuillez noter que ce masque est différent de ceux employés à d'autres fins comme un
masque de sous-réseau. Dans le cas présent, définir un bit sur 1 signifie « ignorer cette
valeur » ; définir un bit sur 0 signifie « masquer cette valeur ».
•
Adresse IP de destination : sélectionnez Tout si toutes les adresses source sont
acceptables ou Défini par l'utilisateur pour saisir une adresse source ou une plage
d'adresses source.
•
Valeur de l'adresse IP de destination : saisissez l'adresse IP avec laquelle l'adresse IP
source sera mise en correspondance.
•
Destination IP Wildcard Mask : saisissez le masque pour définir une plage
d'adresses IP. Veuillez noter que ce masque est différent de ceux employés à d'autres fins
comme un masque de sous-réseau. Dans le cas présent, définir un bit sur 1 signifie
« ignorer cette valeur » ; définir un bit sur 0 signifie « masquer cette valeur ».
•
Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser.
Les périodes sont définies dans la section Configuration de l'heure système. Ce champ
n'est affiché que si vous avez créé une période auparavant.
ÉTAPE 8 Cliquez sur Next.
ÉTAPE 9 Confirmez que vous voulez bien créer l'ACL et l'ACE.
Les détails de la règle ACL sont affichés. Vous pouvez cliquer sur Ajouter une autre règle à
cette ACL pour ajouter une autre règle.
46
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
4
Assistants de configuration
Assistant ACL
ÉTAPE 10 Cliquez sur Suivant et saisissez les informations de liaison ACL :
•
Type de liaison : sélectionnez l'une des options suivantes pour lier l'ACL :
-
Interfaces physiques uniquement : liez l'ACL à un port. Dans ce cas, cliquez sur un
ou plusieurs ports auxquels lier l'ACL.
-
VLAN uniquement : liez l'ACL à un VLAN. Saisissez la liste des VLAN dans le
champ Saisissez la liste des VLAN auxquels vous voulez lier l'ACL.
-
Aucune liaison : ne liez pas l'ACL.
Cliquez sur Appliquer.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
47
5
État et statistiques
Cette section décrit comment afficher les statistiques de l'appareil.
Elle couvre les sujets suivants :
•
Récapitulatif du système
•
Utilisation du processeur
•
Interface
•
Etherlike
•
Utilisation du port
•
GVRP
•
802.1X EAP
•
ACL
•
Utilisation des ressources matérielles
•
Intégrité et alimentation
•
Analyseur de port commuté (SPAN)
•
Diagnostics
•
RMON
•
Affichage des journaux
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
48
5
État et statistiques
Récapitulatif du système
Récapitulatif du système
La page Récapitulatif du système fournit une vue graphique du périphérique et affiche l'état du
périphérique, des informations sur le matériel, des informations sur le micrologiciel, l'état PoE
(Power-over-Ethernet) général, etc.
Pour afficher les informations se rapportant au système, cliquez sur État et statistiques >
Récapitulatif du système.
Informations système :
•
Description du système : affiche une description du système.
•
Emplacement du système : indique l'emplacement physique du périphérique. Cliquez
sur Edit (Modifier) pour accéder à la page Paramètres système et saisir cette
information.
•
System Contact : nom de la personne à contacter. Cliquez sur Edit (Modifier) pour
accéder à la page Paramètres système et saisir cette information.
•
Nom d'hôte : nom du périphérique. Cliquez sur Edit (Modifier) pour accéder à la page
Paramètres système et saisir cette information. Par défaut, le nom d'hôte de l'appareil
se compose du mot commutateur concaténé avec les trois octets les moins significatifs
de l'adresse MAC de l'appareil (les six chiffres hexadécimaux les plus à droite).
•
ID de l'objet système : identification unique du fournisseur du sous-système de
gestion du réseau contenu dans l'entité (utilisée dans SNMP).
•
System Uptime : temps qui s'est écoulé depuis le dernier redémarrage.
•
Current Time : heure actuelle du système.
•
Adresse MAC de base : indique l'adresse MAC du périphérique.
•
Jumbo Frames : état de prise en charge des cadres géants. Cette prise en charge peut
être activée ou désactivée via la page Paramètres des ports.
REMARQUE La prise en charge des trames Jumbo est effective une fois qu'elle a été
activée et que le périphérique a été redémarré.
Informations sur le logiciel :
•
Version du microprogramme : numéro de version du microprogramme de l'image
active.
•
Somme de contrôle MD5 du microprogramme : somme de contrôle MD5 de l'image
active.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
49
5
État et statistiques
Récapitulatif du système
REMARQUE Les trois champs suivants peuvent apparaître deux fois : une fois pour
chaque langue sur le périphérique.
•
Paramètres régionaux : paramètres régionaux de la première langue. (Toujours
définis sur Anglais.)
•
Version de langue : version du module linguistique de la première langue ou de la
langue anglaise.
•
Total de contrôle MD5 de langue : total de contrôle MD5 du fichier de langue.
État des services TCP/UDP :
Pour réinitialiser les champs suivants, cliquez sur Edit (Modifier) afin d'ouvrir la page
Services TCP/UDP.
•
Service HTTP : indique si HTTP est activé ou désactivé.
•
Service HTTPS : indique si HTTPS est activé ou désactivé.
•
Service SNMP : indique si SNMP est activé ou désactivé.
•
Service Telnet : indique si Telnet est activé ou désactivé.
•
Service SSH : indique si SSH est activé ou désactivé.
Informations d'alimentation PoE : (sur les périphériques prenant en charge PoE)
•
Informations d'alimentation PoE : cliquez sur Détails pour accéder directement à la
page Propriétés PoE. Cette page présente les informations d'alimentation PoE.
•
Puissance d'alimentation PoE maximale disponible (W) : puissance maximale
disponible pouvant être fournie par le commutateur.
•
Consommation totale de la puissance PoE (W) : puissance PoE totale fournie aux
périphériques PoE connectés.
•
Mode d'alimentation PoE : limite du port ou de la classe.
L'unité est représentée sous forme graphique, comme illustré ci-dessous :
Placez le pointeur de la souris sur un port pour afficher son nom.
50
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Utilisation du processeur
Les informations suivantes sont affichées pour le périphérique :
•
Numéro de série : numéro de série.
•
PID VID : référence de pièce et identifiant de la version.
Utilisation du processeur
Le CPU du périphérique gère les types de trafics suivants en plus du trafic de l'utilisateur final
qui contrôle l'interface de gestion :
•
Trafic de gestion
•
Trafic de protocole
•
Trafic de surveillance
Un trafic excessif encombre le CPU et peut empêcher l'appareil de fonctionner normalement.
L'appareil utilise la fonction Secure Core Technology (SCT) qui lui garantit de recevoir et
traiter le trafic de gestion et de protocole, quel que soit le volume de trafic total reçu. La
fonction SCT est activée par défaut sur le périphérique et ne peut pas être désactivée.
Il n'y a pas d'interactions avec les autres fonctions.
Pour afficher l'utilisation du CPU :
ÉTAPE 1 Cliquez sur État et statistiques > Utilisation du processeur.
Le champ Niveau d'entrée CPU affiche le débit de trames d'entrée dans le CPU par seconde.
La fenêtre affiche un graphique de l'utilisation du processeur sur l'appareil. L'axe des Y
représente le pourcentage d'utilisation et l'axe des X le numéro de l'échantillon.
ÉTAPE 2 Assurez-vous que la case Utilisation du processeur est cochée.
ÉTAPE 3 Sélectionnez le Fréquence d'actualisation, à savoir la durée en secondes qui s'écoule avant
l'actualisation des statistiques. Un nouvel échantillon est créé pour chaque période.
La fenêtre affiche un graphique de l'utilisation du processeur sur l'appareil.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
51
5
État et statistiques
Interface
Interface
La page Interface affiche les statistiques de trafic pour chaque port. La fréquence
d'actualisation des informations peut être sélectionnée.
Cette page est utile pour analyser le volume de trafic envoyé et reçu, ainsi que sa dispersion
(destination unique, multidestination et diffusion).
Pour afficher les statistiques Ethernet et/ou définir la fréquence d'actualisation :
ÉTAPE 1 Cliquez sur État et statistiques > Interface.
ÉTAPE 2 Saisissez les paramètres.
•
Interface : sélectionnez l'interface pour laquelle les statistiques Ethernet doivent être
affichées.
•
Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation des
statistiques Ethernet de l'interface.
La zone Statistiques de réception affiche les informations se rapportant aux paquets entrants.
•
Total Bytes (Octets) : octets reçus, y compris les paquets erronés et les octets FCS,
mais sans les bits de synchronisation.
•
Unicast Packets : paquets de destination unique corrects reçus.
•
Multicast Packets : paquets de multidestination corrects reçus.
•
Broadcast Packets : paquets de diffusion corrects reçus.
•
Packets with Errors : paquets avec erreurs reçus.
La zone Statistiques de transmission affiche les informations se rapportant aux paquets
sortants.
52
•
Total Bytes (Octets) : octets transmis, y compris les paquets erronés et les octets FCS,
mais sans les bits de synchronisation.
•
Unicast Packets : paquets de destination unique corrects transmis.
•
Multicast Packets : paquets de multidestination corrects transmis.
•
Broadcast Packets : paquets de diffusion corrects transmis.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Etherlike
ÉTAPE 3 Pour consulter les compteurs de statistiques dans la vue Tableau ou Graphique :
•
Cliquez sur View All Interfaces Statistics (Voir les statistiques de toutes les interfaces)
pour visualiser l'ensemble des ports dans la vue Tableau.
•
Cliquez sur Afficher le graphique de l'historique des interfaces pour afficher ces
résultats sous forme graphique. Dans cette vue, vous pouvez sélectionner l'intervalle de
temps pour lequel les résultats seront présentés et le type de statistique à afficher. Par
exemple, si vous sélectionnez les options 5 dernières minutes et Paquets de
monodiffusion, vous verrez combien de paquets de destination uniques ont été reçus au
cours des 5 dernières minutes.
Etherlike
La page Etherlike affiche les statistiques par port sur la base de la définition standard MIB
Etherlike. La fréquence d'actualisation des informations peut être sélectionnée. Cette page
fournit des informations plus détaillées sur les erreurs au niveau de la couche physique
(Couche 1), qui pourraient perturber le trafic.
Pour afficher les statistiques Etherlike et/ou définir la fréquence d'actualisation :
ÉTAPE 1 Cliquez sur État et statistiques > Etherlike.
ÉTAPE 2 Saisissez les paramètres.
•
Interface : sélectionnez l'interface spécifique pour laquelle les statistiques Ethernet
doivent être affichées.
•
Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation des
statistiques Etherlike.
Les champs sont affichés pour l'interface sélectionnée.
REMARQUE
Si l'un des champs suivants affiche un nombre d'erreurs (pas égal à 0), l'heure de la Dernière
mise à jour s'affiche.
•
Erreurs FCS (Frame Check Sequence) : trames reçues ayant échoué aux contrôles de
redondance cyclique (CRC).
•
Trames de collisions individuelles : trames impliquées dans une collision individuelle,
mais ayant été transmises avec succès.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
53
5
État et statistiques
Utilisation du port
•
Collisions tardives : collisions ayant été détectées après les 512 premiers octets de
données.
•
Collisions excessives : transmissions rejetées dues à des collisions excessives.
•
Paquets de taille excessive : paquets de plus de 2000 octets reçus.
•
Erreurs de réception MAC internes : trames rejetées en raison d'erreurs de
destination.
•
Trames de pause reçues : trames de pause de contrôle de flux reçues. Ce champ est
uniquement disponible pour les ports XG. Lorsque le débit du port est de 1G, le
compteur de trames de pause reçues n'est pas opérationnel.
•
Trames de pause transmises : trames de pause de contrôle de flux transmises à partir
de l'interface sélectionnée.
ÉTAPE 3 Pour afficher les compteurs de statistiques dans une vue Tableau, cliquez sur Voir les
statistiques de toutes les interfaces afin d'afficher l'ensemble des ports dans une vue Tableau.
Utilisation du port
La page Utilisation du port présente l'utilisation large bande (entrante et sortante) par port.
Pour afficher l'utilisation du port :
ÉTAPE 1 Cliquez sur État et statistiques > Utilisation du port.
ÉTAPE 2 Saisissez la Fréqu. d'actualisation, qui correspond à la durée qui s'écoule avant l'actualisation
des statistiques de l'interface Ethernet.
Les champs suivants s'affichent pour chaque port :
54
•
Interface : nom du port.
•
Utilisation de la transmission : quantité de bande passante utilisée par les paquets
sortants.
•
Utilisation de la réception : quantité de bande passante utilisée par les paquets
entrants.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
GVRP
Pour afficher un graphique sur l'historique de l'utilisation du port, sélectionnez un port et
cliquez ensuite sur l'option Afficher le graphique de l'historique des interfaces. En plus de
cette option, le champ suivant apparaît :
•
Intervalle de temps : sélectionnez une unité de temps. Le graphique affiche l'utilisation
du port dans cette unité de temps.
GVRP
La page GVRP affiche des informations sur les trames du protocole GVRP (GARP VLAN
Registration Protocol) qui ont été envoyées ou reçues depuis un port. GVRP est un protocole
réseau de couche 2 basé sur des normes permettant la configuration automatique des
informations VLAN sur les commutateurs. Il est défini dans l'amendement 802.1ak apporté à
la norme 802.1Q-2005.
Les statistiques GVRP d'un port ne s'affichent que si GVRP est activé globalement et sur le
port. Reportez-vous à la page Paramètres GVRP.
Pour afficher les statistiques GVRP et/ou définir la fréquence d'actualisation :
ÉTAPE 1 Cliquez sur État et statistiques > GVRP.
ÉTAPE 2 Saisissez les paramètres.
•
Interface : sélectionnez l'interface spécifique pour laquelle les statistiques GVRP
doivent être affichées.
•
Refresh Rate (Taux d'actualisation) : sélectionnez la durée qui s'écoule avant
l'actualisation de la page GVRP.
Le pavé comptabilisant les attributs affiche les compteurs de différents types de paquets par
interface. Ces options sont affichées pour les paquets reçus et transmis.
•
Connexion (vide) : paquets Connexion (vide) GVRP reçus/transmis.
•
Vide : paquets Vide GVRP reçus/transmis.
•
Sortie (vide) : paquets Sortie (vide) GVRP reçus/transmis.
•
Connexion : paquets Connexion GVRP reçus/transmis.
•
Sortie : paquets Sortie GVRP reçus/transmis.
•
Sortie (tous) : paquets Sortie (tous) GVRP reçus/transmis.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
55
5
État et statistiques
802.1X EAP
La section Statistiques d'erreurs GVRP affiche les compteurs d'erreurs GVRP.
•
ID de protocole non valide : erreurs d'ID de protocole non valide.
•
Type d'attribut non valide : erreurs de type d'attribut non valide.
•
Valeur d'attribut non valide : erreurs de valeur d'attribut non valide.
•
Longueur d'attribut non valide : erreurs de longueur d'attribut non valide.
•
Événement non valide : événements non valides.
ÉTAPE 3 Pour gérer les compteurs de statistiques, cliquez sur Voir les statistiques de toutes les
interfaces afin d'afficher l'ensemble des ports sur une seule et même page.
802.1X EAP
La page 802.1x EAP affiche des informations détaillées sur les trames EAP (Extensible
Authentication Protocol) qui ont été envoyées ou reçues. Pour configurer la fonction 802.1X,
reportez-vous à la page (Sécurité > 802.1x) Propriétés.
Pour afficher les statistiques EAP et/ou définir la fréquence d'actualisation :
ÉTAPE 1 Cliquez sur État et statistiques > 802.1x EAP.
ÉTAPE 2 Sélectionnez l'Interface interrogée pour les statistiques.
ÉTAPE 3 Sélectionnez la durée (Fréq. d'actualisation) qui s'écoule avant l'actualisation des
statistiques EAP.
Les valeurs sont affichées pour l'interface sélectionnée.
56
•
Trames EAPOL EAP reçues : trames EAPOL valides reçues sur le port.
•
Trames de début EAPOL reçues : trames de début EAPOL valides qui ont été reçues
sur le port.
•
Trames EAPOL de déconnexion reçues : affiche le nombre de trames EAPOL de
déconnexion qui ont été reçues sur le port.
•
Trames d'annonce EAPOL reçues : trames d'annonce EAPOL qui ont été reçues sur
le port.
•
Trames de demande d'annonce EAPOL reçues : trames de demande d'annonce
EAPOL qui ont été reçues sur le port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
802.1X EAP
•
Trames EAPOL non valides reçues : trames EAPOL non valides qui ont été reçues sur
le port.
•
Trames d'erreur de longueur EAPOL EAP reçues : trames EAPOL avec une
longueur de corps de paquet non valide reçues sur ce port.
•
Trames MKPDU reçues avec un CKN non reconnu : trames EAP avec un CKN
non reconnu qui ont été reçues sur ce port.
•
Trames MKPDU non valides reçues : trames MKPDU non valides qui ont été reçues
sur le port.
•
Version de la dernière trame EAPOL : numéro de version de protocole associé à la
dernière trame EAPOL reçue.
•
Source de la dernière trame EAPOL : adresse MAC source associée à la dernière
trame EAPOL reçue.
•
Trames de demandeur EAPOL EAP transmises : trames de demandeur
EAPOL EAP transmises sur le port.
•
Trames de début EAPOL transmises : trames de début EAPOL qui ont été transmises
sur le port.
•
Trames de déconnexion EAPOL transmises : trames de déconnexion EAPOL qui ont
été transmises sur le port.
•
Trames d'annonce EAPOL transmises : trames d'annonce EAPOL qui ont été
transmises sur le port.
•
Trames de demande d'annonce EAPOL transmises : trames de demande d'annonce
EAPOL qui ont été transmises sur le port.
•
Trames d'authentificateur EAPOL EAP transmises : trames d'authentificateur EAP
qui ont été transmises sur le port.
•
Trames EAPOL MKA transmises sans CKN : trames MKA sans CKN qui ont été
transmises sur ce port.
ÉTAPE 4 Pour effacer les compteurs de statistiques :
•
Cliquez sur View All Interfaces Statistics (Voir les statistiques de toutes les interfaces)
pour afficher les compteurs de l'ensemble des interfaces.
•
Cliquez sur Clear Interface Counters (Effacer les compteurs de l'interface) pour
effacer les compteurs de l'ensemble des interfaces.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
57
5
État et statistiques
ACL
ACL
Lorsque la fonctionnalité de journalisation ACL est activée, un message d'information
SYSLOG est généré pour les paquets qui correspondent aux règles ACL.
Pour voir les interfaces sur lesquelles les paquets ont été transférés ou rejetés sur la base de
listes ACL :
ÉTAPE 1 Cliquez sur État et statistiques > ACL.
ÉTAPE 2 Sélectionnez la fréquence d'actualisation, à savoir la durée en secondes qui s'écoule avant
l'actualisation de la page. Un nouveau groupe d'interfaces est créé pour chaque période.
Les informations suivantes sont affichées :
•
Global Trapped Packet Counter (Compteur de paquets interrompus globalement) :
nombre de paquets filtré globalement en raison d'un manque de ressources.
•
Paquets filtrés en fonction du port/LAG : interfaces sur lesquelles les paquets ont été
transférés ou rejetés en fonction des règles ACL.
•
Paquets filtrés en fonction du VLAN : VLAN sur lesquels les paquets ont été
transférés ou rejetés en fonction des règles ACL.
ÉTAPE 3 Cliquez sur Effacer les compteurs pour effacer les compteurs de statistiques de l'ensemble
des interfaces.
Utilisation des ressources matérielles
Cette page présente les ressources utilisées par le système, telles que les ACL (Access Control
Lists) et la qualité de service (QoS).
Certaines applications attribuent des règles lors de leur mise en œuvre. En outre, les processus
qui s'initialisent lors du démarrage système utilisent une partie de leurs règles lors de ce
processus de démarrage.
Pour afficher l'utilisation des ressources matérielles, cliquez sur État et statistiques >
Utilisation des ressources matérielles.
58
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Intégrité et alimentation
Les champs suivants s'affichent :
•
Règles ACL et QoS
-
Utilisé : nombre d'entrées TCAM utilisées pour les règles ACL et QoS.
-
Maximum : nombre d'entrées TCAM disponibles pouvant être utilisées par les
règles ACL et QoS.
Pour savoir comment modifier l'attribution en fonction des divers processus, consultez la
section Ressources matérielles.
Intégrité et alimentation
La page Intégrité et alimentation permet de gérer l'état de la température, de l'alimentation et
du ventilateur sur tous les périphériques appropriés. Selon le modèle, un périphérique possède
un ou plusieurs ventilateurs. Certains modèles ne possèdent aucun ventilateur.
Ventilateurs
Sur certains périphériques, les ventilateurs sont obligatoires pour assurer un bon
fonctionnement. En effet, sans eux, le périphérique chauffe trop et s'éteint automatiquement.
Le ventilateur étant un composant mobile, il est sujet aux pannes. Un ventilateur redondant est
donc installé dans le système. Il ne fonctionne pas, à moins qu'un ou plusieurs ventilateurs
tombent en panne. Dans ce cas, il intègre l'environnement de surveillance du périphérique.
Il est recommandé de faire fonctionner le ventilateur redondant au moins 1 minute par jour.
Certains périphériques comportent un capteur de température permettant de protéger le
matériel d'une surchauffe éventuelle. Dans ce cas, les actions suivantes sont effectuées par le
périphérique en cas de surchauffe et pendant la période de refroidissement après une
surchauffe :
Événement
Action
Au moins un capteur de
température dépasse le seuil
d'avertissement
Les actions suivantes sont générées :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
•
Message SYSLOG
•
Message « trap » SNMP
59
5
État et statistiques
Intégrité et alimentation
Événement
Action
Au moins un capteur de
température dépasse le seuil
critique
Les actions suivantes sont générées :
•
Message SYSLOG
•
Message « trap » SNMP
Les actions suivantes sont générées :
La période de refroidissement
qui suit le seuil critique a été
dépassée (tous les capteurs
indiquent une valeur inférieure
de 2 °C au seuil
d'avertissement)
•
La LED système s'allume en orange fixe (si le
matériel la prend en charge).
•
Les ports sont désactivés : lorsque la température
critique dépasse deux minutes, tous les ports sont
arrêtés.
•
Sur les périphériques qui prennent PoE en charge,
les circuits PoE sont désactivés pour abaisser la
consommation d'énergie et diminuer la chaleur
émise.
Lorsque tous les capteurs ont atteint une valeur inférieure
de 2 °C au seuil d'avertissement, le PHY est réactivé et
tous les ports sont rétablis.
Si l'état du ventilateur est OK, les ports sont activés.
Sur les périphériques qui prennent PoE en charge, les
circuits PoE sont activés.
Champs Intégrité et alimentation
Pour afficher les paramètres d'intégrité du périphérique, cliquez sur État et statistiques >
Intégrité et alimentation.
REMARQUE
Seuls les champs pertinents pour l'appareil sont affichés.
Cette section affiche l'énergie économisée par le périphérique grâce aux fonctionnalités
Green Ethernet et Désactivation des voyants, ainsi qu'en raison de l'inactivité des ports
(inactivité physique ou consécutive aux paramètres de plage horaire).
Le champ Économies PoE affiche l'énergie totale économisée en utilisant la fonction de plage
horaire PoE qui coupe l'alimentation PoE des ports à des heures spécifiques (généralement
lorsque l'élément de réseau PoE n'est pas utilisé).
60
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Intégrité et alimentation
Les informations suivantes sont affichées (l'ordre des champs peut varier en fonction du
périphérique) :
Économies liées à l'environnement
•
•
•
Fan Status (État du ventilateur) : les valeurs suivantes sont disponibles :
-
OK : le ventilateur fonctionne normalement.
-
Failure (Échec) : le ventilateur ne fonctionne pas correctement.
-
S/O : l'ID du ventilateur n'est pas applicable au modèle en question.
Sensor Status (État du capteur) : les valeurs suivantes sont disponibles :
-
OK : le capteur fonctionne normalement.
-
Failure (Échec) : le capteur ne fonctionne pas correctement.
-
S/O : l'ID du capteur n'est pas applicable au modèle en question.
Température : les options sont les suivantes :
-
OK : la température est inférieure au seuil d'avertissement.
-
Avertissement : la température est comprise entre le seuil d'avertissement et le seuil
critique.
-
Critique : la température est supérieure au seuil critique.
-
N/A (S/O) : non applicable.
-
État de l'alimentation principale : affiche l'une des options suivantes pour
l'alimentation principale :
Active : l'alimentation est utilisée.
Échec : l'alimentation principale a échoué.
Économies d'énergie
•
Économies d'énergie en cours sur les ports et Green Ethernet : économies
d'énergie en cours sur tous les ports.
•
Économies d'énergie cumulées sur les ports et Green Ethernet : économies
d'énergie cumulées sur tous les ports depuis la mise sous tension du périphérique.
•
Économies d'énergie annuelles prévues sur les ports et Green Ethernet : prévision des
économies d'énergie qui seront réalisées sur le périphérique au cours d'une année. Cette
valeur est calculée sur la base des économies réalisées au cours de la semaine écoulée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
61
5
État et statistiques
Intégrité et alimentation
•
Économies d'énergie PoE en cours : quantité d'énergie PoE économisée actuellement
sur les ports auxquels sont connectés des appareils alimentés et sur lesquels
l'alimentation PoE n'est pas opérationnelle en raison de la fonctionnalité Plage horaire.
•
Économies d'énergie PoE cumulées : économies d'énergie PoE cumulées, depuis la
mise sous tension du périphérique, réalisées sur les ports auxquels sont connectés des
appareils alimentés et sur lesquels l'alimentation PoE n'est pas opérationnelle en raison
de la fonctionnalité Plage horaire.
•
Économies d'énergie PoE annuelles prévues : prévision des économies d'énergie
PoE qui seront réalisées annuellement sur les ports auxquels sont connectés des
appareils alimentés et sur lesquels l'alimentation PoE n'est pas opérationnelle en raison
de la fonctionnalité Plage horaire. Cette valeur est calculée sur la base des économies
réalisées au cours de la semaine écoulée.
Tableau d'alimentation Ethernet (s'affiche uniquement si le périphérique prend en
charge des ports d'appareils alimentés). Les champs suivants s'affichent :
•
Port : numéro du port.
•
État de l'appareil alimenté : affiche l'une des valeurs suivantes :
•
•
62
-
Connecté : le port de l'appareil alimenté est connecté à un périphérique PSE qui
fournit de l'énergie.
-
Non connecté : le port de l'appareil alimenté n'est pas connecté à un périphérique
PSE.
Mode de négociation : une des valeurs suivantes :
-
Auto : le mode de négociation CDP ou LLDP est utilisé pour déterminer le niveau
de puissance.
-
Forcer 802.3AF : la norme d'alimentation AF est utilisée des deux côtés.
-
Forcer 802.3AT : la norme d'alimentation AT est utilisée des deux côtés.
-
Forcer 60W : une puissance de 60 W est utilisée des deux côtés.
Réserve d'énergie : puissance réellement allouée au port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
État et statistiques
Analyseur de port commuté (SPAN)
5
Analyseur de port commuté (SPAN)
La fonctionnalité SPAN, parfois appelée mise en miroir de ports ou surveillance de ports,
sélectionne le trafic réseau qu'un analyseur de réseau est chargé d'étudier. Cet analyseur de
réseau peut être un dispositif Cisco SwitchProbe ou une autre sonde de contrôle à distance
(RMON).
La mise en miroir des ports est utilisée sur un dispositif réseau pour envoyer une copie des
paquets réseau détectés sur un port de périphérique unique, sur plusieurs ports de périphérique
ou sur l'intégralité d'un VLAN vers une connexion de contrôle réseau située sur un autre port
du périphérique. Cette opération est souvent utilisée lorsqu'une surveillance du trafic réseau
(pour un système de détection des intrusions, par exemple) est requise. Un analyseur de
réseau, connecté au port de surveillance, traite les paquets de données.
Le périphérique peut mettre en miroir jusqu'à quatre interfaces par session.
Un paquet reçu sur un port réseau affecté à un VLAN soumis à une mise en miroir est mis en
miroir sur le port de l'analyseur, même si le paquet a été filtré ou abandonné. Les paquets
envoyés par l'appareil sont mis en miroir lorsque la mise en miroir des émissions est activée.
La mise en miroir ne garantit pas que l'ensemble du trafic en provenance du ou des ports
source sera reçu sur le port de l'analyseur (de destination). Si le port de l'analyseur reçoit plus
de données qu'il ne peut en gérer, une partie de ces données risque d'être perdue.
Destinations de sessions SPAN
Une session de contrôle se compose d'un ou de plusieurs ports source et d'un seul port de
destination.
Procédure d'ajout d'un port de destination :
ÉTAPE 1 Cliquez sur État et statistiques > SPAN > Destinations de sessions.
Les destinations définies précédemment sont affichées.
ÉTAPE 2 Cliquez sur Ajouter.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
63
5
État et statistiques
Analyseur de port commuté (SPAN)
ÉTAPE 3 Renseignez les champs suivants :
•
ID de session : sélectionnez un ID de session. Il doit correspondre aux ID de session
des ports source.
•
Port : sélectionnez le numéro de port sur lequel le trafic doit être copié.
Il s'agit du port de l'analyseur. Un analyseur de réseau, par exemple un PC exécutant
Wireshark, est connecté à ce port.
•
Trafic réseau : sélectionnez cette option pour autoriser le trafic autre que celui
contrôlé sur le port.
ÉTAPE 4 Cliquez sur Appliquer.
Sources de sessions SPAN
Une ou plusieurs sources SPAN peuvent être configurées sur le périphérique.
Pour configurer les ports source à mettre en miroir :
ÉTAPE 1 Cliquez sur État et statistiques > SPAN > Sources de sessions.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Sélectionnez le numéro de session dans ID de session. Il doit être identique pour tous les ports
source et pour le port de destination.
ÉTAPE 4 Sélectionnez le port ou le VLAN à partir duquel le trafic est envoyé au port de l'analyseur
(Interface source).
ÉTAPE 5 Dans le champ Surveiller le type, indiquez si le trafic entrant, le trafic sortant ou les deux sont
mis en miroir.
•
Émission et réception : mise en miroir des ports sur les paquets entrants et sortants.
•
Rx : mise en miroir des ports sur les paquets entrants.
•
Tx : mise en miroir des ports sur les paquets sortants.
ÉTAPE 6 Cliquez sur Appliquer. L'interface source pour la mise en miroir est configurée.
64
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Diagnostics
Diagnostics
Cette section comporte des informations relatives à la configuration de la mise en miroir des
ports, à l'exécution de tests de câbles et à l'affichage des informations opérationnelles se
rapportant à l'appareil.
Elle couvre les sujets suivants :
•
Tests des ports en cuivre
•
État des modules optiques
•
Informations d'assistance technique
Tests des ports en cuivre
La page Test cuivre affiche les résultats des tests de câbles intégrés effectués sur les câbles en
cuivre par le testeur de câbles virtuels (VCT, Virtual Cable Tester).
VCT réalise deux types de tests :
•
La technologie de réflectométrie à dimension temporelle (TDR, Time Domain
Reflectometry) teste la qualité et les caractéristiques d'un câble en cuivre relié à un
port. Il est possible de tester des câbles faisant jusqu'à 140 mètres de long. Ces résultats
apparaissent dans le bloc Résultats de test de la page Test cuivre.
•
Les tests s'appuyant sur la technologie DSP sont effectués sur des liaisons XG actives
pour en mesurer la longueur de câble. Ces résultats apparaissent dans le bloc
Informations avancées de la page Test cuivre. Ce test peut être exécuté uniquement
lorsque la vitesse de liaison est de 10G.
Conditions préalables à l'exécution du test des ports cuivre
Avant d'exécuter le test, procédez comme suit :
•
(Obligatoire) Désactivez le mode Short Reach (Courte portée) (reportez-vous à la page
Propriétés).
•
(Facultatif) Désactivez EEE (reportez-vous à la page Propriétés).
Utilisez un câble de données CAT6a pour exécuter le test de tous les câbles (VCT).
Les résultats du test peuvent avoir une marge d'erreur de +/- 10 pour le test avancé et de +/- 2
pour le test de base.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
65
5
État et statistiques
Diagnostics
PRÉCAUTION
Lorsqu'un port est testé, il est mis en l'état inactif (Down) et les communications sont
interrompues. Une fois le test terminé, le port revient à l'état actif (Up). Il est déconseillé
d'exécuter un test de port cuivre sur un port que vous utilisez pour exécuter l'web-based switch
configuration utility, les communications avec cet appareil étant interrompues.
Pour tester les câbles en cuivre reliés aux ports :
ÉTAPE 1 Cliquez sur État et statistiques > Diagnostics > Test cuivre.
ÉTAPE 2 Sélectionnez le port sur lequel vous souhaitez exécuter le test.
ÉTAPE 3 Cliquez sur Copper Test.
ÉTAPE 4 Une fois le message affiché, cliquez sur OK pour confirmer que la liaison peut passer à l'état
inactif ou sur Annuler pour arrêter le test.
Les champs suivants s'affichent dans le bloc Résultats de test :
•
Dernière mise à jour : heure à laquelle a été effectué le dernier test sur le port.
•
Résultats de test : résultats du test de câbles. Les valeurs possibles sont les suivantes :
-
OK : le câble a réussi le test.
-
Aucun câble : le câble n'est pas connecté au port.
-
Câble ouvert : le câble n'est connecté que d'un côté.
-
Câble court-circuité : un court-circuit s'est produit au niveau du câble.
-
Résultat de test inconnu : une erreur s'est produite.
•
Distance au défaut : distance entre le port et l'emplacement du câble où le problème a
été détecté.
•
État du port opérationnel : indique si le port est actif ou inactif.
Le bloc Advanced Information (Informations avancées) contient les informations suivantes,
qui sont actualisées chaque fois que vous accédez à la page :
66
•
Longueur de câble : propose une estimation de longueur.
•
Paire : paire de fils de câble testée.
•
État : état de la paire de fils. Rouge indique un défaut et Vert indique l'état OK.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Diagnostics
•
Canal : canal de câble indiquant si les fils sont droits ou croisés.
•
Polarité : indique si la détection et la correction automatiques de la polarité ont été
activées pour la paire de fils.
•
Déphasage entre paires : différence de phase entre les paires de fils.
État des modules optiques
La page État des modules optiques affiche les conditions de fonctionnement signalées par
l'émetteur-récepteur SFP (Small Form-factor Pluggable).
Les émetteurs-récepteurs SFP GE (1 000 Mbit/s) suivants sont pris en charge :
•
MGBBX1 : émetteur-récepteur SFP 1000BASE-BX-20U pour la fibre monomode,
longueur d'onde de 1 310 nm, jusqu'à 40 km.
•
MGBLH1 : émetteur-récepteur SFP 1000BASE-LH pour la fibre monomode, longueur
d'onde de 1 310 nm, jusqu'à 40 km.
•
MGBLX1 : émetteur-récepteur SFP 1000BASE-LX pour la fibre monomode, longueur
d'onde de 1 310 nm, jusqu'à 10 km.
•
MGBSX1 : émetteur-récepteur SFP 1000BASE-SX pour la fibre multimode, longueur
d'onde de 850 nm, jusqu'à 550 m.
•
MGBT1 : émetteur-récepteur SFP 1000BASE-T pour le fil cuivre de catégorie 5,
jusqu'à 100 m.
Les émetteurs-récepteurs SFP+ XG (10 000 Mbit/s) suivants sont pris en charge :
•
Cisco SFP-10GSR
•
Cisco SFP-10GLRM
•
Cisco SFP-10GLR
Les câbles passifs XG suivants (Twinax/DAC) sont pris en charge :
•
Cisco SFP-H10GCU1m
•
Cisco SFP-H10GCU3m
•
Cisco SFP-H10GCU5m
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
67
5
État et statistiques
Diagnostics
Pour afficher les résultats des tests optiques, cliquez sur État et statistiques > Diagnostics >
État des modules optiques.
Cette page affiche les champs suivants :
•
Port : numéro du port sur lequel le SFP est connecté.
•
Description : description de l'émetteur-récepteur optique.
•
Numéro de série : numéro de série de l'émetteur-récepteur optique.
•
PID : ID du VLAN.
•
VID : ID de l'émetteur-récepteur optique.
•
Température : température en degrés Celsius à laquelle le SFP fonctionne.
•
Tension : tension de fonctionnement du SFP.
•
Actuel : consommation actuelle du SFP.
•
Output Power : puissance optique transmise.
•
Input Power : puissance optique reçue.
•
Défaillance du transmetteur : le SFP distant indique une perte de signal. Les valeurs
sont Vrai, Faux et A/S (Aucun signal).
•
Loss of Signal : le SFP local indique une perte de signal. Les valeurs sont True (vrai)
et False (faux).
•
Données prêtes : le SFP est opérationnel. Les valeurs sont True (vrai) et False (faux).
Informations d'assistance technique
Cette page propose un journal détaillé de l'état de l'appareil. C'est utile quand le service
d'assistance technique essaie d'aider un utilisateur à résoudre un problème, parce qu'il renvoie
le résultat de plusieurs commandes (notamment la commande de débogage) avec une seule
commande.
Pour consulter les informations d'assistance technique utiles à des fins de débogage :
ÉTAPE 1 Cliquez sur État et statistiques > Diagnostics > Informations d'assistance technique.
ÉTAPE 2 Cliquez sur Générer.
Des informations provenant de plusieurs commandes d'interface de ligne de commande show
s'affichent.
68
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
RMON
REMARQUE
Vous devrez peut-être patienter quelques instants avant de voir apparaître le résultat de cette
commande. Une fois les informations générées, vous pouvez les copier depuis la zone de texte
à l'écran en cliquant sur Sélectionner les données d'assistance technique.
RMON
RMON (Remote Networking Monitoring) permet à un agent SNMP sur le périphérique de
surveiller de façon proactive les statistiques de trafic sur une période donnée et d'envoyer des
interceptions à un gestionnaire SNMP. L'agent SNMP local compare les compteurs en temps
réel par rapport à des seuils prédéfinis et génère des alarmes, sans qu'une plate-forme de
gestion SNMP centrale n'ait à générer des interrogations. Il s'agit d'un mécanisme efficace en
termes de gestion proactive, à condition que des seuils adaptés aient été définis par rapport à la
ligne de base de votre réseau.
RMON réduit le trafic entre le gestionnaire et le périphérique. Le gestionnaire SNMP n'a en
effet pas à interroger fréquemment le périphérique afin d'obtenir des informations. RMON
permet en outre au gestionnaire d'obtenir des rapports d'état opportuns, le périphérique
signalant les événements à mesure qu'ils se produisent.
Cette fonction vous permet de réaliser les actions suivantes :
•
Afficher les statistiques actuelles (depuis le moment où les valeurs du compteur ont été
effacées). Vous pouvez également collecter les valeurs de ces compteurs sur une
période puis afficher la table des données collectées, chaque ensemble collecté
représentant une ligne individuelle de l'onglet Historique.
•
Définir des changements intéressants dans les valeurs des compteurs, comme « un
certain nombre de collisions tardives a été atteint » (définissant l'alarme), puis définir
l'action à mettre en œuvre lorsque cet événement se produit (journal et/ou message
d'interception).
Statistiques
La page Statistiques affiche des informations détaillées sur la taille des paquets, ainsi que des
informations sur les erreurs de couche physique. Les informations sont affichées
conformément à la norme RMON. Un paquet surdimensionné est une trame Ethernet
respectant les critères suivants :
•
La longueur du paquet est supérieure à la taille en octets de la MRU.
•
Un événement de collision n'a pas été détecté.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
69
5
État et statistiques
RMON
•
Un événement de collision tardive n'a pas été détecté.
•
Un événement d'erreur de réception (Rx) n'a pas été détecté.
•
Le paquet a un CRC valide.
Pour afficher les statistiques RMON et/ou définir la fréquence d'actualisation :
ÉTAPE 1 Cliquez sur État et statistiques > RMON > Statistiques.
ÉTAPE 2 Sélectionnez l'interface pour laquelle les statistiques Ethernet doivent être affichées.
ÉTAPE 3 Sélectionnez la fréquence d'actualisation, autrement dit la durée qui s'écoule avant
l'actualisation des statistiques de l'interface.
Les statistiques suivantes sont affichées pour l'interface sélectionnée.
REMARQUE
Si l'un des champs suivants affiche un nombre d'erreurs (pas égal à 0), l'heure de la Dernière
mise à jour s'affiche.
•
Octets reçus : octets reçus, y compris les paquets erronés et les octets FCS, mais sans
les bits de synchronisation.
•
Événements d'abandon : paquets abandonnés.
•
Paquets reçus : paquets corrects reçus, dont les paquets de multidiffusion et de
diffusion.
•
Paquets de diffusion reçus : paquets de diffusion corrects reçus. Ce nombre n'inclut
pas les paquets de multidestination.
•
Paquets de multidiffusion reçus : paquets de multidiffusion corrects reçus.
•
Erreurs d'alignement et CRC : erreurs d'alignement et CRC qui se sont produites.
•
Paquets de taille insuffisante : paquets de taille insuffisante (moins de 64 octets)
reçus.
•
Paquets de taille excessive : paquets de taille excessive (plus de 2 000 octets) reçus.
•
Fragments : fragments (paquets de moins de 64 octets) reçus, à l'exception des bits de
synchronisation, mais en incluant les octets FCS.
•
Jabotages : paquets reçus ayant une longueur supérieure à 1 632 octets. Ce nombre
exclut les bits de synchronisation, mais inclut les octets FCS qui comportaient une
séquence FCS (Frame Check Sequence) erronée avec un nombre entier d'octets
(erreur FCS) ou une séquence FCS erronée avec un nombre non entier d'octets (erreur
d'alignement). Un paquet long est une trame Ethernet respectant les critères suivants :
-
70
La longueur des données du paquet est supérieure à la MRU.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
RMON
-
Le paquet a un CRC non valide.
-
Un événement d'erreur de réception (Rx) n'a pas été détecté.
•
Collisions : collisions reçues. Si les trames géantes sont activées, le seuil des trames
Jabber est augmenté de façon à correspondre à la taille maximale des trames géantes.
•
Trames de 64 octets : trames de 64 octets qui ont été envoyées ou reçues.
•
Trames de 65 à 127 octets : trames de 65 à 127 octets qui ont été envoyées ou reçues.
•
Trames de 128 à 255 octets : trames de 128 à 255 octets qui ont été envoyées ou
reçues.
•
Trames de 256 à 511 octets : trames de 256 à 511 octets qui ont été envoyées ou reçues.
•
Trames de 512 à 1 023 octets : trames de 512 à 1 023 octets qui ont été envoyées ou
reçues.
•
Trames de 1 024 octets ou plus : trames de 1 024 à 2 000 octets et trames géantes qui
ont été envoyées ou reçues.
ÉTAPE 4 Pour afficher les compteurs dans la vue Tableau ou Graphique :
•
Cliquez sur View All Interfaces Statistics (Voir les statistiques de toutes les interfaces)
pour visualiser l'ensemble des ports dans la vue Tableau.
•
Cliquez sur Vue graphique pour afficher ces résultats sous forme graphique. Dans cette
vue, vous pouvez sélectionner l'intervalle de temps pour lequel les résultats seront
présentés et le type de statistique à afficher.
Historique RMON
La fonction RMON vous permet de contrôler les statistiques de chaque interface.
Vous pouvez configurer la fréquence d'échantillonnage, la quantité d'échantillons à stocker,
ainsi que le port à partir duquel recueillir les données via la page History (Historique).
Une fois que les données ont été échantillonnées et stockées, elles apparaissent sur la page
Table d'historique que vous pouvez consulter en cliquant sur Table d'historique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
71
5
État et statistiques
RMON
Pour saisir des données de contrôle RMON :
ÉTAPE 1 Cliquez sur État et statistiques > RMON > Historique. Les champs de cette page sont
définis sur la page Ajouter un historique RMON ci-dessous. Le seul champ de cette page qui
n'est pas défini sur la page Ajouter est le suivant :
•
Nombre d'échantillons actuel : de par la norme, RMON est autorisé à ne pas accepter
tous les échantillons demandés et à limiter plutôt le nombre d'échantillons par demande.
Ce champ représente donc le nombre d'échantillons réellement accordé à la demande,
ce nombre étant égal ou inférieur à la valeur demandée.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Nouvelle entrée d'historique : affiche le numéro de la nouvelle entrée de la table
d'historique.
•
Interface source : sélectionnez le type d'interface à partir de laquelle les échantillons
d'historique doivent être recueillis.
•
Max No. of Samples to Keep : saisissez le nombre d'échantillons à stocker.
•
Intervalle d'échantillonnage : saisissez la durée (en secondes) pendant laquelle des
échantillons sont collectés au niveau des ports. La plage du champ est comprise entre 1
et 3 600.
•
Owner : saisissez l'utilisateur ou la station RMON ayant demandé les
informations RMON.
ÉTAPE 4 Cliquez sur Appliquer. L'entrée est ajoutée à la page Table de contrôle de l'historique, et le
fichier de Configuration d'exécution est mis à jour.
ÉTAPE 5 Cliquez sur Table d'historique (décrite ci-dessous) pour afficher les statistiques réelles.
Table de l'historique RMON
La page History (Historique) affiche les échantillonnages réseau statistiques propres à
l'interface. Les échantillons ont été configurés dans la table de contrôle de l'historique décrite
ci-dessus.
Pour afficher les statistiques de l'historique RMON :
ÉTAPE 1 Cliquez sur État et statistiques > RMON > Historique.
ÉTAPE 2 Cliquez sur History Table.
72
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
RMON
ÉTAPE 3 Dans le menu déroulant N° d'entrée d'historique, sélectionnez éventuellement le numéro
d'entrée de l'échantillon à afficher.
Les champs sont affichés pour l'échantillon sélectionné.
•
Propriétaire : propriétaire de l'entrée dans la table d'historique.
•
N° d'échantillon : les statistiques ont été récupérées à partir de cet échantillon.
•
Événements d'abandon : paquets abandonnés en raison d'un manque de ressources
réseau lors de l'intervalle d'échantillonnage. Cela peut ne pas correspondre au nombre
exact de paquets abandonnés, mais plutôt au nombre de détections de paquets de ce
type.
•
Octets reçus : octets reçus, y compris les paquets erronés et les octets FCS, mais sans
les bits de synchronisation.
•
Paquets reçus : paquets reçus, y compris les paquets erronés, ainsi que les paquets
multicast et broadcast.
•
Paquets de diffusion : paquets de diffusion corrects reçus, à l'exception des paquets de
multidiffusion.
•
Multicast Packets : paquets de multidestination corrects reçus.
•
Erreurs d'alignement et CRC : erreurs d'alignement et CRC qui se sont produites.
•
Paquets de taille insuffisante : paquets de taille insuffisante (moins de 64 octets)
reçus.
•
Paquets de taille excessive : paquets de taille excessive (plus de 2 000 octets) reçus.
•
Fragments : fragments (paquets de moins de 64 octets) reçus, à l'exception des bits de
synchronisation, mais incluant les octets FCS.
•
Jabotages : nombre total de paquets reçus dont la taille dépassait 2 000 octets. Ce
nombre exclut les bits de synchronisation, mais inclut les octets FCS qui comportaient
une séquence FCS (Frame Check Sequence) erronée avec un nombre entier d'octets
(erreur FCS) ou une séquence FCS erronée avec un nombre non entier d'octets (erreur
d'alignement).
•
Collisions : collisions reçues.
•
Utilisation : pourcentage du trafic actuel de l'interface par rapport au trafic maximum
pouvant être géré par cette dernière.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
73
5
État et statistiques
RMON
Contrôle des événements RMON
Vous pouvez contrôler les occurrences à l'origine du déclenchement d'une alarme et le type de
notification envoyé. Pour ce faire, procédez comme suit :
•
Page Événements : permet de configurer les conséquences liées au déclenchement
d'une alarme. Ce peut être n'importe quelle combinaison de journaux et de messages
d'interception.
•
Alarms Page : permet de configurer les occurrences qui déclenchent une alarme.
Pour définir les événements RMON :
ÉTAPE 1 Cliquez sur État et statistiques > RMON > Événements.
Cette page affiche les événements précédemment définis.
Les champs de cette page sont définis par la boîte de dialogue Add RMON Events (Ajouter
des événements RMON), à l'exception du champ Time (Heure).
•
Heure : affiche l'heure de l'événement. (Il s'agit d'une table en lecture seule dans la
fenêtre parent qui ne peut pas être définie.)
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
74
•
Entrée d'événement : affiche le numéro d'index d'entrée d'événement pour la nouvelle
entrée.
•
Communauté : saisissez la chaîne de communauté SNMP à inclure lors de l'envoi de
messages « trap » (facultatif). Veuillez noter que la communauté doit être définie à
l'aide des pages Destinataires de notifications pour que le message de filtre atteigne la
station de gestion du réseau.
•
Description : saisissez un nom pour l'événement. Ce nom est utilisé sur la page Ajouter
une alarme RMON pour associer une alarme à un événement.
•
Notification Type : sélectionnez le type d'action résultant de cet événement. Les
valeurs possibles sont :
-
None : aucune action ne se produit lorsque l'alarme se déclenche.
-
Journal (Table journal d'événements) : ajoutez une entrée de journal à la table du
journal d'événements lorsque l'alarme se déclenche.
-
Filtre (gestionnaire SNMP et serveur SYSLOG) : permet d'envoyer un filtre au
serveur de journalisation distant lorsque l'alarme se déclenche.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
RMON
-
•
Journal et interception : ajoute une entrée de journal à la table du journal
d'événements et envoie une interception au serveur de journalisation distant lorsque
l'alarme se déclenche.
Owner : saisissez le périphérique ou l'utilisateur ayant défini l'événement.
ÉTAPE 4 Cliquez sur Appliquer. L'événement RMON est consigné dans le fichier de Configuration
d'exécution.
ÉTAPE 5 Cliquez sur Table du journal d'événements pour afficher le journal des alarmes déclenchées
et consignées (voir description ci-dessous).
Journaux d'événements RMON
La page Events (Événements) affiche le journal des événements (actions) qui se sont produits.
Deux types d'événements peuvent être journalisés : Journal ou Journal et interception.
L'action indiquée dans l'événement est mise en œuvre lorsque cet événement est lié à une
alarme (reportez-vous à la page Alarmes RMON) et que les conditions de l'alarme sont
réunies.
ÉTAPE 1 Cliquez sur État et statistiques > RMON > Événements.
ÉTAPE 2 Cliquez sur Event Log Table.
Vous pouvez sélectionner une interface dans le filtre pour afficher les événements sur une
interface spécifique.
Cette page affiche les champs suivants :
•
N° d'entrée d'événement : numéro d'entrée dans le journal de l'événement.
•
Log No. : numéro du journal (au sein de l'événement).
•
Log Time : heure à laquelle l'entrée a été enregistrée dans le journal.
•
Description : description de l'événement qui a déclenché l'alarme.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
75
5
État et statistiques
RMON
Alarmes RMON
Les alarmes RMON fournissent un mécanisme pour la définition de seuils et d'intervalles
d'échantillonnage afin de générer des événements d'exception sur des compteurs ou sur tout
autre compteur d'objets SNMP géré par l'agent. Les seuils supérieurs et inférieurs doivent tous
deux être configurés dans l'alarme. Une fois qu'un seuil supérieur est franchi, aucun autre
événement de hausse n'est généré jusqu'à ce que le seuil inférieur associé soit lui-même
franchi. Lorsqu'une alarme de baisse est déclenchée, l'alarme suivante se déclenche dès qu'un
seuil supérieur est franchi.
Une ou plusieurs alarmes sont liées à un événement, ce qui indique l'action à entreprendre
lorsque l'alarme se déclenche.
Les compteurs d'alarme peuvent être contrôlés par des valeurs absolues ou par des
changements (delta) dans les valeurs de ces compteurs.
Pour entrer des alarmes RMON :
ÉTAPE 1 Cliquez sur État et statistiques > RMON > Alarmes.
Toutes les alarmes définies précédemment sont affichées. Les champs sont décrits dans la page
Ajouter une alarme RMON ci-dessous. En plus de ces champs, le champ suivant apparaît :
•
Valeur du compteur : affiche la valeur de la statistique lors de la dernière période
d'échantillonnage.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Entrée d'alarme : affiche le numéro d'entrée de l'alarme.
•
Interface : sélectionnez le type d'interface pour lequel les statistiques RMON
s'affichent.
•
Counter Name : sélectionnez la variable MIB qui indique le type d'occurrence mesuré.
•
Sample Type : sélectionnez la méthode d'échantillonnage pour générer une alarme. Les
options sont les suivantes :
•
76
-
Absolu : si le seuil est franchi, une alarme est générée.
-
Delta : soustrait la valeur du dernier échantillon de la valeur actuelle. La différence
obtenue est comparée au seuil. Si le seuil est franchi, une alarme est générée.
Seuil supérieur : saisissez la valeur qui déclenche l'alarme de seuil supérieur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Affichage des journaux
•
Événement de hausse : sélectionnez l'événement qui doit se produire lorsqu'un
événement de hausse se déclenche. Les événements sont créés sur la page Contrôle des
événements RMON.
•
Seuil inférieur : saisissez la valeur qui déclenche l'alarme de seuil inférieur.
•
Événement de baisse : sélectionnez l'événement qui doit se produire lorsqu'un
événement de baisse se déclenche.
•
Startup Alarm : sélectionnez le premier événement à partir duquel lancer la génération
d'alarmes. La hausse est définie en franchissant le seuil en partant d'un seuil de faible
valeur vers un seuil de valeur plus importante.
-
Alarme de hausse : une valeur en hausse déclenche l'alarme de seuil supérieur.
-
Alarme de baisse : une valeur en baisse déclenche l'alarme de seuil inférieur.
-
Hausse et baisse : des valeurs en hausse et en baisse déclenchent l'alarme.
•
Interval : saisissez l'intervalle (en secondes) entre les alarmes.
•
Owner : saisissez le nom de l'utilisateur ou du système de gestion du réseau qui reçoit
l'alarme.
ÉTAPE 4 Cliquez sur Appliquer. L'alarme RMON est consignée dans le fichier de Configuration
d'exécution.
Affichage des journaux
L'appareil peut enregistrer des informations dans les journaux suivants :
•
Journal de la RAM (effacé lors du redémarrage)
•
Journal de la mémoire Flash (uniquement effacé sur instruction de l'utilisateur)
Vous pouvez configurer les messages à enregistrer dans chaque journal en fonction de leur
sévérité. Un message peut en outre être enregistré dans plusieurs journaux, y compris ceux qui
résident sur des serveurs SYSLOG externes.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
77
5
État et statistiques
Affichage des journaux
Mémoire RAM
La page Mémoire RAM affiche tous les messages enregistrés dans la RAM (cache) dans
l'ordre chronologique. Les entrées sont enregistrées dans le journal de la RAM en fonction de
la configuration définie sur la page Paramètres des journaux.
Notifications SYSLOG contextuelles
Quand un nouveau message SYSLOG est consigné dans le fichier journal RAM, une
notification détaillant son contenu s'affiche dans l'interface utilisateur Web.
L'interface utilisateur Web interroge le journal RAM toutes les 10 secondes. Les notifications
contextuelles pour tous les messages SYSLOG créés au cours des 10 dernières secondes
s'afficheront en bas à droite de l'écran.
La notification contextuelle s'affiche comme suit :
Si plus de 7 notifications contextuelles sont affichées, une fenêtre contextuelle récapitulative
est affichée. Cette fenêtre contextuelle indique le nombre de notifications SYSLOG qui ne
sont pas affichées. Elle contient également un bouton qui permet de fermer toutes les fenêtres
contextuelles affichées, comme illustré ci-dessous :
Pour afficher les entrées du journal, cliquez sur État et statistiques > Afficher le journal >
Mémoire RAM.
Les éléments suivants sont affichés en haut de la page :
•
78
Alert Icon Blinking (Clignotement de l'icône d'alerte) : activez ou désactivez le
clignotement de l'icône d'alerte.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
5
État et statistiques
Affichage des journaux
•
Notification Syslog contextuelle : active la réception de messages SYSLOG
contextuels, comme décrit ci-dessus.
•
Current Logging Threshold (Seuil de journalisation actuel) : spécifie les niveaux de
journalisation qui sont générés. Celui-ci peut être modifié en cliquant sur Modifier
selon le nom du champ.
Cette page contient les champs suivants, pour chaque fichier journal :
•
Log Index : numéro de l'entrée dans le journal.
•
Log Time : heure à laquelle le message a été généré.
•
Severity : niveau de sévérité de l'événement.
•
Description : message texte décrivant l'événement.
Pour effacer les messages des journaux, cliquez sur Effacer les journaux. Les messages sont
effacés.
Mémoire Flash
La page Mémoire Flash affiche, dans l'ordre chronologique, les messages enregistrés dans la
mémoire Flash. Le niveau de sévérité minimum à journaliser est configuré sur la page
Paramètres des journaux. Les journaux de la mémoire Flash sont conservés au redémarrage du
commutateur. Vous pouvez effacer les journaux manuellement.
Pour afficher les journaux de la mémoire Flash, cliquez sur État et statistiques > Afficher le
journal > Mémoire Flash.
Le seuil de journalisation actuel spécifie les niveaux de journalisation qui sont générés.
Celui-ci peut être modifié en cliquant sur Modifier selon le nom du champ.
Cette page contient les champs suivants, pour chaque fichier journal :
•
Log Index : numéro de l'entrée dans le journal.
•
Log Time : heure à laquelle le message a été généré.
•
Severity : niveau de sévérité de l'événement.
•
Description : message texte décrivant l'événement.
Pour effacer les messages, cliquez sur Effacer les journaux. Les messages sont effacés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
79
6
Administration
Cette section décrit comment afficher les informations relatives au système et configurer
différentes options sur le périphérique.
Elle couvre les rubriques suivantes :
•
Paramètres système
•
Comptes d'utilisateur
•
Expiration de la session inactive
•
Paramètres d'heure
•
Journaux système
•
Gestion des fichiers
•
Plug-n-Play (PNP)
•
Redémarrage
•
Détection - Bonjour
•
Détection - LLDP
•
Détection - CDP
•
Localiser le périphérique
•
Ping
•
Traceroute
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
80
6
Administration
Paramètres système
Paramètres système
Pour accéder aux paramètres système :
ÉTAPE 1 Cliquez sur Administration > Paramètres système.
ÉTAPE 2 Permet d'afficher ou de modifier les paramètres système.
•
Description du système : affiche une description du périphérique.
•
Emplacement du système : entrez l'emplacement physique du périphérique.
•
System Contact : saisissez le nom de la personne à contacter.
•
Nom d'hôte : sélectionnez le nom d'hôte de ce périphérique. Voici ce qui est utilisé dans
l'invite de l'interface de ligne de commande :
•
-
Valeurs par défaut : le nom d'hôte par défaut (Nom du système) de ces
commutateurs est périphérique123456, où 123456 représente les trois derniers
octets de l'adresse MAC du périphérique au format hexadécimal.
-
Défini par l'utilisateur : saisissez le nom d'hôte. Utilisez uniquement des lettres, des
chiffres et des tirets. Les noms d'hôte ne peuvent pas être précédés ni suivis d'un
tiret. Les autres symboles, les signes de ponctuation et les espaces ne sont pas
autorisés (comme cela est spécifié dans les normes RFC1033, 1034 et 1035).
Paramètres de bannière personnalisée : les bannières suivantes peuvent être
définies :
-
Bannière de connexion : saisissez le texte à afficher sur la page de connexion avant
la connexion. Cliquez sur Aperçu pour afficher les résultats.
-
Bannière de bienvenue : saisissez le texte à afficher sur la page de connexion après
la connexion. Cliquez sur Aperçu pour afficher les résultats.
REMARQUE Lorsque vous définissez une bannière de connexion à partir de l'utilitaire
de configuration Web, celle-ci est également activée pour les interfaces de ligne de
commande (Console, Telnet et SSH).
La bannière peut comporter jusqu'à 1 000 caractères. Au bout de 510 caractères,
appuyez sur <Entrée> pour continuer.
ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les valeurs dans le fichier de Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
81
6
Administration
Comptes d'utilisateur
Comptes d'utilisateur
La page Comptes d'utilisateur vous permet de saisir des utilisateurs supplémentaires autorisés
à accéder au périphérique (en lecture seule ou en lecture/écriture) ou de modifier les mots de
passe d'utilisateurs existants.
Après l'ajout d'un utilisateur de niveau 15 (comme décrit ci-dessous), l'utilisateur par défaut
est supprimé du système.
REMARQUE
Pour plus d'informations sur la récupération du mot de passe, voir Interface de ligne de
commande (CLI) et récupération du mot de passe.
Pour ajouter un nouvel utilisateur :
ÉTAPE 1 Cliquez sur Administration > Comptes utilisateurs.
Cette page affiche les utilisateurs définis dans le système ainsi que leur niveau de privilèges.
ÉTAPE 2 Cliquez sur Add pour ajouter un nouvel utilisateur ou sur Edit pour en modifier un.
ÉTAPE 3 Saisissez les paramètres.
82
•
Nom d'utilisateur : saisissez un nouveau nom d'utilisateur comportant 20 caractères
maximum. Les caractères UTF-8 sont interdits.
•
Mot de passe : saisissez un mot de passe (les caractères UTF-8 sont interdits). Si la
fiabilité et la complexité du mot de passe sont définies, le mot de passe utilisateur doit
être conforme à la stratégie configurée dans Sécurité du mot de passe.
•
Confirm Password : saisissez à nouveau le mot de passe.
•
Password Strength Meter : affiche le niveau de sécurité du mot de passe. Vous pouvez
définir la stratégie de sécurité et de complexité du mot de passe sur la page Sécurité du
mot de passe.
•
Niveau d'utilisateur : sélectionnez le niveau de privilèges de l'utilisateur que vous
ajoutez/modifiez.
-
Accès CLI en Lecture seule (1) : l'utilisateur ne peut pas accéder à l'interface
utilisateur graphique et peut uniquement accéder aux commandes d'interface de
ligne de commande qui ne modifient pas la configuration du périphérique.
-
Accès CLI en Lecture/Écriture limitée (7) : l'utilisateur ne peut pas accéder à
l'interface utilisateur graphique et peut uniquement accéder aux commandes
d'interface de ligne de commande qui modifient la configuration du périphérique.
Pour plus d'informations, reportez-vous au Guide de référence de l'interface de
ligne de commande (CLI).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Expiration de la session inactive
-
Accès de gestion en lecture/écriture (15) : l'utilisateur peut accéder à l'interface
utilisateur graphique et configurer le périphérique.
ÉTAPE 4 Cliquez sur Appliquer. L'utilisateur est ajouté au fichier de Configuration d'exécution du
périphérique.
Expiration de la session inactive
Le délai d'expiration de la session inactive permet de configurer combien de temps une session
de gestion peut rester inactive avant d'expirer et de nécessiter une reconnexion de l'utilisateur,
en fonction du type de session :
•
Délai d'expiration de session HTTP
•
Délai d'expiration de session HTTPS
•
Délai d'expiration de session Telnet
•
Délai d'expiration de session SSH
Pour définir le délai d'expiration en cas de session inactive pour différents types de sessions :
ÉTAPE 1 Cliquez sur Administration > Expiration de la session inactive.
ÉTAPE 2 Sélectionnez le délai d'expiration de chaque type de session dans la liste correspondante. La
valeur d'expiration par défaut est de 10 minutes.
ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les paramètres de configuration sur le périphérique.
Paramètres d'heure
Reportez-vous à la section Administration : Paramètres d'heure.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
83
6
Administration
Journaux système
Journaux système
Cette section décrit la fonction de journalisation système, qui permet à l'appareil de générer
plusieurs journaux indépendants. Chaque journal correspond à un ensemble de messages
décrivant les événements système.
L'appareil génère les journaux locaux suivants :
•
Journal envoyé à l'interface de la console
•
Journal enregistré dans une liste cyclique d'événements journalisés dans la mémoire
RAM et effacé au redémarrage de l'appareil
•
Journal enregistré dans un fichier journal cyclique enregistré dans la mémoire Flash et
conservé d'un redémarrage à l'autre
Vous pouvez en outre envoyer des messages vers des serveurs SYSLOG distants sous la forme
d'interceptions SNMP et de messages SYSLOG.
Cette section contient les rubriques suivantes :
•
Paramètres des journaux
•
Paramètres de journalisation distante
Paramètres des journaux
Vous pouvez sélectionner les événements à journaliser en fonction de leur niveau de gravité.
Chaque message de journal s'accompagne d'un niveau de sévérité. Il est marqué avec la
première lettre de ce niveau concaténé avec un tiret (-) de chaque côté (à l'exception
d'Urgence, indiquée par la lettre F). Par exemple, le message de journal « %INIT-IInitCompleted : … » a un niveau de gravité correspondant à I, qui signifie Informatif.
Les niveaux de gravité des événements sont répertoriés du niveau le plus élevé au plus faible,
comme suit :
84
•
Emergency : le système n'est pas utilisable.
•
Alert : une action est requise.
•
Critical : le système est dans un état critique.
•
Error : le système subit une condition d'erreur.
•
Warning : un avertissement système a été généré.
•
Notice : le système fonctionne correctement, mais une remarque système a été générée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Journaux système
•
Informational : informations sur le périphérique.
•
Debug : fournit des informations détaillées sur un événement.
Vous pouvez sélectionner des niveaux de gravité différents pour les journaux de la mémoire
RAM et Flash. Ces journaux s'affichent respectivement sur la page Mémoire RAM et sur la
page Mémoire Flash.
Si vous choisissez d'enregistrer un niveau de gravité spécifique dans un journal, tous les
événements de gravité plus élevée le seront également. Les événements de gravité plus faible
ne seront pas enregistrés dans le journal.
Par exemple, si Warning est sélectionné, tous les niveaux de gravité de type Warning et plus
élevés sont enregistrés dans le journal (Emergency, Alert, Critical, Error et Warning). Aucun
événement dont le niveau de gravité est inférieur à Avertissement n'est enregistré (Remarque,
Informatif et Débogage).
Pour définir des paramètres de journalisation globaux :
ÉTAPE 1 Cliquez sur Administration > Journaux système > Paramètres des journaux.
ÉTAPE 2 Saisissez les paramètres.
•
Journalisation : sélectionnez cette option pour activer la journalisation des messages.
•
Agrégateur Syslog : sélectionnez cette option pour activer l'agrégation des
interceptions et SYSLOG. Si elle est activée, les interceptions et les messages SYSLOG
identiques et contigus sont agrégés pendant le temps d'agrégation max. spécifié et
envoyés dans un même message. Les messages agrégés sont envoyés dans l'ordre de
leur arrivée. Chaque message indique le nombre de fois où il a été agrégé.
•
Temps d'agrégation max. : saisissez la période pendant laquelle les
messages SYSLOG sont agrégés.
•
Identifiant d'initiateur : permet d'ajouter un identifiant d'origine aux messages
SYSLOG. Les options sont les suivantes :
-
Aucun : aucun identifiant d'origine n'est ajouté aux messages SYSLOG.
-
Nom d'hôte : inclut le nom d'hôte système aux messages SYSLOG.
-
Adresse IPv4 : l'adresse IPv4 de l'interface expéditrice est ajoutée aux messages
SYSLOG.
-
Adresse IPv6 : l'adresse IPv6 de l'interface expéditrice est ajoutée aux messages
SYSLOG.
-
Défini par l'utilisateur : permet de saisir la description à faire figurer dans les
messages SYSLOG.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
85
6
Administration
Journaux système
•
Journalisation de la mémoire RAM : sélectionnez les niveaux de gravité des
messages à journaliser dans la RAM.
•
Journalisation de la mémoire Flash : sélectionnez les niveaux de gravité des
messages à journaliser dans la mémoire Flash.
•
Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Paramètres de journalisation distante
La page Serveurs de journalisation distants permet de définir les serveurs SYSLOG distants où
sont envoyés les messages de journalisation. Vous pouvez configurer la gravité des messages
que reçoit chaque serveur.
Pour définir les serveurs SYSLOG :
ÉTAPE 1 Cliquez sur Administration > Journaux système > Serveurs de journalisation distants.
ÉTAPE 2 Renseignez les champs suivants :
•
Interface source IPv4 : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée
comme adresse IPv4 source des messages SYSLOG envoyés aux serveurs SYSLOG.
•
Interface source IPv6 : sélectionnez l'interface source dont l'adresse IPv6 sera utilisée
comme adresse IPv6 source des messages SYSLOG envoyés aux serveurs SYSLOG.
REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source
de l'adresse IP définie dans l'interface sortante.
Les informations sont décrites pour chaque serveur de journalisation configuré précédemment.
Les champs sont décrits ci-dessous sur la page Ajouter.
ÉTAPE 3 Cliquez sur Ajouter.
ÉTAPE 4 Saisissez les paramètres.
86
•
Server Definition : indiquez si vous souhaitez identifier le serveur de journalisation
distante par son adresse IP ou par son nom.
•
Version IP : sélectionnez le format IP pris en charge.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Gestion des fichiers
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80::/10,
ne peut pas être routée et ne peut être utilisée pour la communication que sur le
réseau local. Une seule adresse locale de liaison est possible. S'il existe une adresse
locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la
configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la
liaison locale du type d'adresse IPv6 est sélectionnée).
•
Adresse IP/Nom serveur de journalisation : saisissez l'adresse IP ou le nom de
domaine du serveur de journalisation.
•
UDP Port : saisissez le numéro du port UDP auquel les messages de journal sont
envoyés.
•
Équipement : sélectionnez une valeur pour l'équipement à partir duquel les journaux
système sont envoyés au serveur distant. Une seule valeur d'équipement peut être
affectée à un serveur. Si un autre code d'équipement est affecté, la première valeur est
remplacée.
•
Description : saisissez une description pour le serveur.
•
Minimum Severity : sélectionnez le niveau minimum de gravité des messages de
journalisation système à envoyer au serveur.
ÉTAPE 5 Cliquez sur Appliquer. La page Ajouter serveur de journalisation distant se ferme ; SYSLOG
server est ajouté et le fichier de Configuration d'exécution est mis à jour.
Gestion des fichiers
Reportez-vous à la section Administration : Gestion des fichiers.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
87
6
Administration
Plug-n-Play (PNP)
Plug-n-Play (PNP)
L'installation manuelle de dispositifs réseau, qu'il s'agisse d'en remplacer ou d'en mettre en
œuvre de nouveaux peut être coûteuse, chronophage et source d'erreurs. Généralement, les
nouveaux dispositifs sont d'abord envoyés dans une zone de préparation centralisée dans
laquelle ils sont déballés, connectés à un réseau intermédiaire, mis à jour avec les licences, les
configurations et les images appropriées, puis emballés et livrés sur le site d'installation réel.
Une fois ces processus terminés, des spécialistes doivent se déplacer sur les sites concernés
pour procéder à l'installation. Même lorsque les appareils sont installés dans le NOC (Network
Operations Center)/Centre de données lui-même, il risque de ne pas y avoir suffisamment de
techniciens pour le nombre impressionnant d'appareils. Tous ces problèmes entraînent des
retards dans le déploiement et augmentent les coûts opérationnels.
La solution Cisco Plug-n-Play réduit les coûts associés au déploiement/à l'installation de
dispositifs réseau, accélère leur installation et simplifie les déploiements sans compromettre la
sécurité. à l'aide de la solution Cisco Plug-n-Play, vous pouvez effectuer des installations sans
intervention des commutateurs dans différents scénarios et sites de déploiement.
Paramètres PNP
Pour configurer les paramètres PNP :
REMARQUE
La fonction est activée par défaut.
ÉTAPE 1 Cliquez sur Administration > PNP > Paramètres PNP.
ÉTAPE 2 Configurez PNP en renseignant les champs suivants :
•
État PNP : activé par défaut.
Transport PNP : définit les informations et les paramètres de la session d'agent PNP.
•
Définition des paramètres : sélectionnez une des options suivantes pour localiser les
informations de configuration, concernant le protocole de transport à utiliser, l'adresse
du serveur PNP et le port TCP à employer :
-
Paramètres par défaut : si cette option est sélectionnée, les paramètres PNP sont
pris de l'option DHCP 43. Si tout ou partie des paramètres ne sont pas reçus de
l'option DHCP 43, les valeurs par défaut suivantes sont utilisées : protocole de
transport par défaut HTTP, nom de DNS « pnpserver » pour le serveur PNP et le
port lié à HTTP.
Lors de la sélection de l'option Paramètres par défaut tous les champs de la
section Transport PNP sont grisés.
88
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Plug-n-Play (PNP)
-
Paramètres manuels : définissez manuellement le port TCP et les paramètres de
serveur à utiliser pour le transport PNP.
•
Port TCP : numéro du port TCP. Il est renseigné automatiquement par le système : 80
pour HTTP.
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur PNP Par
adresse IP ou Par nom.
•
Version IP : sélectionnez le format IP pris en charge.
•
Type d'adresse IPv6 du serveur : sélectionnez l'une des options suivants, si le type de
version d'IP est IPv6 :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : si le type d'adresse IPv6 source est Liaison locale,
sélectionnez son lieu de réception.
•
Adresse IP du serveur/Nom : saisissez l'adresse IP ou le nom de domaine du serveur
PNP.
Utilisateur PNP
•
Définition de l'utilisateur : informations utilisateur à envoyer au serveur sous forme
de paquets PNP. sélectionnez l'une des options suivantes :
-
Valeur par défaut : lorsque vous sélectionnez cette option, les paramètres de nom
d'utilisateur et de mot de passe sont dérivés de l'option DHCP 43. Si vous
sélectionnez cette option, les champs de nom d'utilisateur et de mot de passe sont
grisés.
-
Paramètres manuels : sélectionnez cette option pour configurer manuellement le
nom d'utilisateur et le mot de passe PNP.
•
Nom d'utilisateur : nom d'utilisateur —Nom d'utilisateur à saisir dans les paquets PNP.
•
Mot de passe—Mot de passe au format Crypté ou Texte en clair.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
89
6
Administration
Plug-n-Play (PNP)
Paramètres de comportement PNP : saisissez les paramètres suivants :
•
Intervalle de reconnexion : intervalle, en secondes, avant toute tentative de
reconnexion de la session une fois celle-ci perdue.
•
Délai d'expiration de découverte : spécifie le temps à attendre, en secondes, avant
toute nouvelle tentative de découverte après que la découverte du serveur PNP ait
échoué.
•
Facteur exponentiel de délai d'expiration : valeur qui déclenche la tentative de
détection de manière exponentielle, en multipliant la valeur de délai d'expiration
précédente par une valeur exponentielle et en appliquant le résultat comme délai
d'expiration (si la valeur est inférieure à la valeur maximale de délai d'expiration).
•
Délai d'expiration de découverte maximal : valeur maximale du délai d'expiration.
Doit être supérieur à la valeur Délai d'attente de découverte.
•
Délai d'attente de chien de garde : intervalle de temps d'attente d'une réponse d'un PnP
ou d'un serveur de fichiers pendant une session PNP active (par exemple pendant un
processus de téléchargement de fichier).
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres sont copiés dans le fichier de Configuration
d'exécution.
Cliquez sur Afficher les données sensibles sous forme chiffrée pour afficher le mot de passe
s'il est chiffré.
Session PNP
Cet écran affiche la valeur des paramètres PNP actuellement en vigueur. La source du
paramètre est affichée entre parenthèses le cas échéant.
Pour afficher des informations sur les paramètres PNP.
ÉTAPE 1 Cliquez sur Administration > PNP > Session PNP.
Les champs suivants s'affichent :
90
•
État administratif : indique si PNP est activé.
•
État opérationnel : PNP est-il opérationnel ?
•
État de l'agent PNP : indique si une session PNP est active. Les valeurs possibles sont
Découverte Attente ; Découverte ; Non Prêt ; Désactivé; Session ; Session Attente.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Redémarrage
REMARQUE
•
Protocole de transport : affiche les informations de session de l'agent PNP.
•
Port TCP : Port TCP de la session PNP
•
Adresse IP du serveur : adresse IP du serveur PNP.
•
Nom d'utilisateur : nom d'utilisateur —Nom d'utilisateur à envoyer dans les paquets
PNP.
•
Mot de passe MD5 : mot de passe à envoyer dans les paquets PNP.
•
Délai d'attente de détection : délai d'attente de détection configuré.
•
Délai d'attente d'intervalle de session : délai d'attente d'intervalle de session configuré
(apparaît uniquement lorsque l'État de l'agent PNP est En attente)
•
Temps d'attente restant : valeur de temps d'attente restante.
Cliquez sur le bouton Reprise pour retirer immédiatement l'agent PnP de l'état d'attente, de la
manière suivante :
•
Si l'agent est à l'état d'attente de découverte, il est paramétré sur l'état de découverte.
•
Si l'agent est à l'état d'attente de session PnP, il est paramétré sur l'état de session PnP.
Redémarrage
Certaines modifications apportées à la configuration, telles que l'activation de la prise en
charge des trames Jumbo, nécessitent le redémarrage du système pour être effectives. Le
redémarrage du périphérique supprime toutefois la Configuration d'exécution. Il est donc
indispensable de l'enregistrer dans la Configuration de démarrage avant de procéder à un
redémarrage. Cliquer sur Apply n'a pas pour effet d'enregistrer la configuration dans la
configuration de démarrage. Pour plus d'informations sur les fichiers et les types de fichiers,
reportez-vous à la section Fichiers système.
Vous pouvez sauvegarder la configuration du périphérique via la page Opérations de fichiers
ou en cliquant sur Save (Enregistrer) en haut de la fenêtre. Vous pouvez également charger la
configuration depuis un périphérique distant sur la page.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
91
6
Administration
Redémarrage
Vous préférerez peut-être régler le redémarrage à une heure ultérieure. Cela peut notamment se
produire dans l'un des cas suivants :
•
Vous effectuez des actions sur un périphérique distant, et toute erreur peut provoquer
une perte de connexion à ce périphérique distant. La préplanification d'un redémarrage
restaure la configuration en cours et permet la restauration de la connexion au
périphérique distant après expiration du délai spécifié. Si ces actions réussissent, le
redémarrage retardé peut être annulé manuellement.
•
Le rechargement du périphérique provoque la perte de connexion dans le réseau, en
raison du redémarrage retardé, vous pouvez planifier le redémarrage à une heure plus
propice pour les utilisateurs (par exemple tard dans la nuit).
Pour redémarrer le périphérique :
ÉTAPE 1 Cliquez sur Administration > Redémarrage.
ÉTAPE 2 Cliquez sur le bouton Redémarrer pour redémarrer le périphérique.
•
Redémarrer : permet de redémarrer le périphérique. Les informations non enregistrées
de la Configuration d'exécution étant ignorées lors du redémarrage du périphérique,
vous devez cliquer sur Enregistrer en haut à droite de n'importe quelle fenêtre afin de
conserver la configuration actuelle lors du processus de démarrage. Si l'option
Enregistrer ne s'affiche pas, cela signifie que la Configuration d'exécution est identique
à la Configuration de démarrage et qu'aucune action n'est nécessaire.
Les options suivantes sont disponibles :
-
Immédiat : permet de redémarrer immédiatement.
-
Date : saisissez la date (mois/jour) et l'heure (heure et minutes) du redémarrage
planifié. Vous planifiez ainsi un rechargement du logiciel à l'heure spécifiée
(utilisation du mode 24 heures). Si vous spécifiez le mois et le jour, le rechargement
est planifié et sera effectué à l'heure et à la date spécifiées. Si vous ne spécifiez pas
le mois et le jour, le rechargement aura lieu à l'heure spécifiée du jour actuel (si
l'heure spécifiée est ultérieure à l'heure actuelle) ou le jour suivant (si l'heure
spécifiée est antérieure à l'heure actuelle). La spécification 00:00 planifie le
rechargement à minuit. Le rechargement doit avoir lieu dans les 24 jours.
REMARQUE Vous pouvez uniquement utiliser cette option si l'heure du système a été
réglée manuellement ou via SNTP.
REMARQUE Si un redémarrage est prévu, cliquez sur Annuler le redémarrage pour
l'annuler.
-
92
In : redémarre dans le nombre d'heures et de minutes spécifié. La durée maximale
pouvant s'écouler est de 24 jours.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Détection - Bonjour
•
Rétablir les paramètres d'usine par défaut : redémarre l'appareil en utilisant sa
configuration d'origine. Cette procédure efface tout sauf l'image active, la configuration
miroir et les fichiers de localisation.
•
Effacer le fichier de configuration de démarrage : choisissez cette option pour
effacer la configuration de démarrage du périphérique la prochaine fois qu'il démarrera.
Détection - Bonjour
Reportez-vous à la section Bonjour.
Détection - LLDP
Reportez-vous à la section Détection - LLDP.
Détection - CDP
Reportez-vous à la section Détection - CDP.
Localiser le périphérique
Cette fonctionnalité permet d'activer tous les voyants de ports réseau sur un périphérique
spécifique afin de le localiser physiquement. Elle est utile pour localiser un périphérique dans
une pièce comportant de nombreux périphériques interconnectés. Quand cette fonctionnalité
est activée, tous les voyants des ports réseau du périphérique clignotent pendant une durée
configurée (une minute par défaut).
ÉTAPE 1 Cliquez sur Administration > Localiser le périphérique.
ÉTAPE 2 Renseignez les champs suivants :
•
Durée : saisissez la durée (en secondes) durant laquelle les voyants doivent clignoter.
•
Durée restante : ce champ ne s'affiche que si cette fonctionnalité est activée. Il affiche
la durée restante de clignotement des voyants.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
93
6
Administration
Ping
ÉTAPE 3 Cliquez sur Démarrer pour activer cette fonctionnalité.
Quand cette fonctionnalité est activée, ce bouton devient un bouton Stop, ce qui vous permet
d'interrompre le clignotement des voyants avant le délai défini.
Ping
L'utilitaire Ping sert à déterminer si un hôte distant peut être joint et mesure la durée allerretour de transfert des paquets entre le périphérique et un périphérique de destination.
Ping envoie des paquets de demande d'écho ICMP (protocole de message de contrôle Internet)
à destination de l'hôte cible et attend une réponse ICMP, parfois appelée « pong ». Il mesure le
temps de parcours de la transmission et enregistre toute perte de paquets.
Pour envoyer une requête Ping à un hôte :
ÉTAPE 1 Cliquez sur Administration > Ping.
ÉTAPE 2 Configurez les opérations Ping en renseignant les champs suivants :
•
Définition de l'hôte : indiquez si vous souhaitez spécifier l'interface source par son
adresse IP ou son nom. Ce champ a une influence sur les interfaces affichées dans le
champ IP source, comme décrit ci-après.
•
Version IP : si l'interface source est identifiée par son adresse IP, sélectionnez IPv4 ou
IPv6 pour indiquer qu'elle sera entrée au format sélectionné.
•
IP source : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme
adresse IPv4 source pour la communication avec la cible. Si le champ Définition de
l'hôte a été défini sur Par nom, toutes les adresses IPv4 et IPv6 seront affichées dans ce
champ déroulant. Si le champ Définition de l'hôte a été défini sur Par adresse IP, seules
les adresses IP existantes du type spécifié dans le champ Version IP seront affichées.
REMARQUE Si l'option Auto est sélectionnée, le système génère l'adresse source en
fonction de l'adresse de destination.
94
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
6
Administration
Ping
•
Destination IPv6 Address Type (Type d'adresse IPv6 de destination) : sélectionnez
l'une des options suivantes :
-
Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez
son lieu de réception.
•
Nom/adresse IP de destination : adresse ou nom d'hôte du périphérique auquel la
requête Ping est envoyée. C'est la définition de l'hôte qui détermine s'il s'agit d'une
adresse IP ou d'un nom d'hôte.
•
Intervalle de Ping : durée d'attente du système entre les paquets Ping. La requête Ping
est réitérée autant de fois que configurée dans le champ Nombre de Pings, que la
requête aboutisse ou non. Sélectionnez l'intervalle par défaut ou spécifiez votre propre
valeur.
•
Nombre de Pings : nombre de fois que l'opération Ping sera effectuée. Sélectionnez la
valeur par défaut ou spécifiez votre propre valeur.
•
État : indique si la requête Ping a réussi ou échoué.
ÉTAPE 3 Cliquez sur Activer Ping pour envoyer une requête Ping à l'hôte. L'état de la requête Ping
apparaît et un message est ajouté à la liste des messages, indiquant le résultat de l'opération Ping.
ÉTAPE 4 Vous pouvez consulter le résultat de l'opération Ping dans la section Compteurs et état du
ping de la page :
•
Nombre de paquets envoyés : nombre de paquets envoyés par le Ping
•
Nombre de paquets reçus : nombre de paquets reçus par le Ping
•
Paquets perdus : pourcentage de paquets perdus pendant une opération Ping
•
Durée minimale d'un aller-retour : durée la plus courte pour le renvoi d'un paquet
•
Durée maximale d'un aller-retour : durée la plus longue pour le renvoi d'un paquet
•
Durée moyenne d'un aller-retour : durée moyenne pour le renvoi d'un paquet
•
État : échec ou réussite
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
95
6
Administration
Traceroute
Traceroute
Traceroute détecte les routes IP utilisées pour le transfert des paquets en envoyant un
paquet IP à l'hôte cible et en le renvoyant au périphérique. La page Traceroute affiche chaque
saut entre le dispositif et un hôte cible, ainsi que la durée de l'aller-retour de tels sauts.
ÉTAPE 1 Cliquez sur Administration > Traceroute.
ÉTAPE 2 Configurez Traceroute en renseignant les champs suivants :
•
Définition de l'hôte : indiquez si vous souhaitez identifier les hôtes par leur adresse IP
ou leur nom.
•
Version IP : si l'hôte est identifié par son adresse IP, sélectionnez IPv4 ou IPv6 pour
indiquer qu'il sera entré au format sélectionné.
•
IP source : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée comme
adresse IPv4 source pour les messages de communication. Si le champ Définition de
l'hôte a été défini sur Par nom, toutes les adresses IPv4 et IPv6 seront affichées dans ce
champ déroulant. Si le champ Définition de l'hôte a été défini sur Par adresse IP, seules
les adresses IP existantes du type spécifié dans le champ Version IP seront affichées.
•
Adresse IP/Nom hôte : entrez l'adresse ou le nom de l'hôte.
•
TTL : entrez le nombre maximal de sauts autorisés par Traceroute. Cela permet d'éviter
les situations où la trame envoyée entre dans une boucle sans fin. La commande
Traceroute se termine lorsque la destination ou cette valeur est atteinte. Pour utiliser la
valeur par défaut (30), sélectionnez Use Default.
•
Délai d'expiration : entrez la durée pendant laquelle le système attend le retour d'une
trame avant de la déclarer perdue. Vous pouvez aussi sélectionner Valeurs par défaut.
ÉTAPE 3 Cliquez sur Activer Traceroute. L'opération est réalisée.
La page qui apparaît indique la durée de l'aller-retour (RTT) et l'état de chaque « trajet » dans
les champs suivants :
•
Index : affiche le numéro du saut.
•
Hôte : affiche un arrêt sur l'acheminement vers la destination.
Durée de l'aller-retour (1 à 3) : affiche la durée de l'aller-retour en ms pour la trame 1 à 3 et
l'état de l'opération 1 à 3.
96
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
7
Administration : Gestion des fichiers
Cette section porte sur la gestion des fichiers système.
Les sujets suivants sont traités :
•
Fichiers système
•
Opérations du microprogramme
•
Opérations de fichiers
•
Répertoire de fichiers
•
Configuration/mise à jour automatique de l'image DHCP
Fichiers système
Les fichiers système contiennent des informations telles que des informations de configuration
ou des images du microprogramme.
En règle générale, tous les fichiers qui se trouvent dans le dossier flash://system/ sont des
fichiers système.
Diverses actions peuvent être effectuées avec de tels fichiers, notamment : sélectionner le
fichier du microprogramme à partir duquel l'appareil doit démarrer, copier différents types de
fichiers de configuration en interne sur l'appareil ou copier des fichiers vers ou depuis un
appareil externe, comme un serveur.
Les fichiers de configuration du périphérique sont définis en fonction de leur type, et
comportent les réglages et valeurs de paramètre du périphérique.
Les autres fichiers sont notamment des fichiers du microprogramme et les fichiers journaux.
Ils sont couramment appelés fichiers opérationnels.
Les fichiers de configuration sont des fichiers texte qui peuvent être modifiés dans un éditeur
de texte tel que le Bloc-notes une fois copiés sur un appareil externe, un PC par exemple.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
97
7
Administration : Gestion des fichiers
Fichiers système
Fichiers et types de fichiers
Les types de fichiers présents sur le périphérique sont les suivants :
•
Configuration d'exécution : paramètres de fonctionnement actuellement utilisés par
l'appareil. Ce fichier est modifié lorsque vous changez des valeurs de paramètre sur ce
périphérique.
En cas de redémarrage de l'appareil, la Configuration d'exécution est perdue.
Pour conserver toutes les modifications apportées à l'appareil, vous devez enregistrer
la Configuration d'exécution dans la Configuration de démarrage ou dans un autre type
de fichier.
•
Configuration de démarrage : valeurs de paramètres que vous avez enregistrées en
copiant une autre configuration (généralement la Configuration d'exécution) dans la
Configuration de démarrage.
La Configuration de démarrage est conservée dans la mémoire Flash et préservée à
chaque redémarrage de l'appareil. Lors du redémarrage, la configuration de démarrage
est copiée dans la RAM et identifiée comme étant la configuration d'exécution.
•
Configuration miroir : copie de la Configuration de démarrage, créée par l'appareil
dans l'un des cas suivants :
-
L'appareil a fonctionné en continu pendant 24 heures.
-
Aucune modification n'a été apportée à la configuration d'exécution au cours des
dernières 24 heures.
-
La Configuration de démarrage est identique à la Configuration d'exécution.
Seul le système peut copier la configuration de démarrage dans la configuration miroir.
Vous pouvez toutefois copier la configuration miroir vers d'autres types de fichiers ou
sur un autre périphérique.
L'option permettant de copier automatiquement la configuration d'exécution dans la
configuration miroir peut être désactivée sur la page Répertoire de fichiers.
98
•
Fichiers de sauvegarde : copies manuelles d'un fichier servant à protéger le système
en cas d'arrêt ou à maintenir un état de fonctionnement spécifique. Par exemple, vous
pouvez copier la Configuration miroir, la Configuration de démarrage ou la
Configuration d'exécution dans un fichier de sauvegarde. La sauvegarde est conservée
dans la mémoire Flash ou sur un PC ou un lecteur USB, et est préservée en cas de
redémarrage du périphérique.
•
Microprogramme : programme qui contrôle les opérations et les fonctions de
l'appareil. Plus communément appelé l'image.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Opérations du microprogramme
7
•
Fichier de langue : dictionnaire qui permet d'afficher les fenêtres de l'utilitaire de
configuration Web dans la langue sélectionnée.
•
Fichier de journalisation : messages SYSLOG stockés dans la mémoire Flash.
Opérations du microprogramme
La page Firmware Operations (Opérations du microprogramme) peut être utilisée pour :
•
mettre à jour ou sauvegarder l'image du microprogramme ;
•
permuter l'image active.
Les méthodes de transfert de fichiers suivantes sont prises en charge :
•
HTTP/HTTPS qui utilise la structure fournie par le navigateur
•
USB
•
TFTP qui nécessite un serveur TFTP
•
SCP (Secure Copy Protocol), nécessitant un serveur SCP
Deux images du microprogramme sont conservées sur l'appareil. Une des images est identifiée
en tant qu'image active et l'autre en tant qu'image inactive.
Lors de la mise à jour du microprogramme du périphérique, le nouveau microprogramme
remplace toujours l'image inactive. Une fois le nouveau microprogramme téléchargé sur le
périphérique, la nouvelle version est utilisée au prochain démarrage. L'ancienne version
devient inactive après le redémarrage.
Procédure de mise à jour ou de sauvegarde du microprogramme via HTTP/HTTPS ou
USB :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations du microprogramme.
Les champs suivants s'affichent :
•
Active Firmware File (Fichier de microprogramme actif) : indique le fichier de
microprogramme actif.
•
Active Firmware Version (Version du microprogramme actif) : indique la version du
fichier de microprogramme actif.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
99
7
Administration : Gestion des fichiers
Opérations du microprogramme
ÉTAPE 2 Renseignez les champs suivants :
•
Operation Type (Type d'opération) : sélectionnez Update Firmware (Mettre à jour
le microprogramme) ou Backup Firmware (Sauvegarder le microprogramme).
•
Méthode de copie : sélectionnez HTTP/HTTPS ou USB.
•
File Name (Nom de fichier) : saisissez le nom du fichier à mettre à jour (inutile pour la
sauvegarde via HTTP/HTTPS).
ÉTAPE 3 Cliquez sur Appliquer.
ÉTAPE 4 Cliquez sur Redémarrer.
Procédure de mise à jour ou de sauvegarde du microprogramme via le serveur TFTP :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations du microprogramme.
Les champs suivants s'affichent :
•
Active Firmware File (Fichier de microprogramme actif) : indique le fichier de
microprogramme actif.
•
Active Firmware Version (Version du microprogramme actif) : indique la version du
fichier de microprogramme actif.
ÉTAPE 2 Renseignez les champs suivants :
•
Operation Type (Type d'opération) : sélectionnez Update Firmware (Mettre à jour le
microprogramme) ou Backup Firmware (Sauvegarder le microprogramme).
•
Copy Method (Méthode de copie) : sélectionnez TFTP.
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur TFTP par
adresse IP ou par nom.
Définition du serveur par adresse :
•
Version IP : indiquez si une adresse IPv4 ou IPv6 est utilisée pour le serveur.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
100
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
7
Administration : Gestion des fichiers
Opérations du microprogramme
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la
liaison locale du type d'adresse IPv6 est sélectionnée)
•
Server IP Address/Name (Nom/Adresse IP du serveur) : saisissez l'adresse IP ou le
nom du serveur TFTP en fonction des informations requises.
•
(Mise à jour) Source : saisissez le nom du fichier source.
•
(Sauvegarde) Destination : saisissez le nom du fichier de sauvegarde.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de mise à jour ou de sauvegarde du micrologiciel via SCP :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations du microprogramme.
Les champs suivants s'affichent :
•
Active Firmware File (Fichier de microprogramme actif) : indique le fichier de
microprogramme actif.
•
Active Firmware Version (Version du microprogramme actif) : indique la version du
fichier de microprogramme actif.
ÉTAPE 2 Renseignez les champs suivants :
•
Operation Type (Type d'opération) : sélectionnez Update Firmware (Mettre à jour le
microprogramme) ou Backup Firmware (Sauvegarder le microprogramme).
•
Copy Method (Méthode de copie) : sélectionnez SCP.
ÉTAPE 3 Pour activer l'authentification du serveur SSH (qui est désactivée par défaut), cliquez sur Edit
(Modifier) dans Remote SSH Server Authentication (Authentification du serveur SSH
distant). Vous accédez à la page Authentification du serveur SSH afin de configurer le serveur
SSH.
ÉTAPE 4 Revenez à cette page.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
101
7
Administration : Gestion des fichiers
Opérations du microprogramme
ÉTAPE 5 Sélectionnez l'une des méthodes suivantes pour effectuer l'authentification du client SSH :
•
Utiliser les informations d'identification système du client SSH : définit les
informations d'identification permanentes de l'utilisateur SSH. Cliquez sur
Informations d'identification système pour accéder à la page Authentification de
l'utilisateur SSH où vous pouvez définir le nom d'utilisateur et le mot de passe pour
toutes les utilisations futures.
•
Utiliser les infos d'identification unique du client SSH : saisissez les informations
suivantes :
-
Nom d'utilisateur : saisissez un nom d'utilisateur pour ce mode de copie.
-
Mot de passe : saisissez un mot de passe pour cette copie.
REMARQUE Le nom d'utilisateur et le mot de passe relatifs aux informations
d'identification unique ne seront pas enregistrés dans le fichier de configuration.
ÉTAPE 6 Renseignez les champs suivants :
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur SCP par son
adresse IP ou son nom de domaine.
Définition du serveur par adresse :
-
Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6.
-
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les
options sont les suivantes :
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Global : l'adresse IPv6 est de type monodiffusion globale IPv6, visible et joignable
à partir d'autres réseaux.
-
102
Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste.
•
Server IP Address/Name (Nom/Adresse IP du serveur TFTP) : saisissez l'adresse IP
ou le nom de domaine du serveur SCP en fonction des informations requises.
•
(Mise à jour) Source : saisissez le nom du fichier source.
•
(Sauvegarde) Destination : saisissez le nom du fichier de sauvegarde.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Opérations du microprogramme
7
ÉTAPE 7 Cliquez sur Appliquer. Si les fichiers, les mots de passe et les adresses du serveur sont
corrects, l'une des actions suivantes peut se produire :
•
Si l'authentification du serveur SSH est activée (dans la page Authentification du
serveur SSH) et si le serveur SCP est sécurisé, l'opération aboutit. Si le serveur SCP
n'est pas sécurisé, l'opération échoue et une erreur s'affiche.
•
Si l'authentification du serveur SSH n'est pas activée, l'opération aboutit pour n'importe
quel serveur SCP.
Pour permuter un fichier image :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations du microprogramme.
Les champs suivants s'affichent :
•
Active Firmware File (Fichier de microprogramme actif) : indique le fichier de
microprogramme actif.
•
Active Firmware Version (Version du microprogramme actif) : indique la version du
fichier de microprogramme actif.
ÉTAPE 2 Renseignez les champs suivants :
•
Operation Type (Type d'opération) : sélectionnez Swap Image (Permuter l'image).
•
Active Image After Reboot (Image active après redémarrage) : sélectionnez le fichier
de microprogramme qui doit être actif après le redémarrage.
•
Active Image Version Number After Reboot (Numéro de version de l'image active
après redémarrage) : affiche la version du fichier de microprogramme après le
redémarrage.
ÉTAPE 3 Cliquez sur Appliquer, attendez que le message de réussite s'affiche, puis cliquez sur
Redémarrer si vous souhaitez recharger immédiatement le nouveau microprogramme.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
103
7
Administration : Gestion des fichiers
Opérations de fichiers
Opérations de fichiers
Les fonctions disponibles sur la page File Operations (Opérations de fichiers) sont les
suivantes :
•
Sauvegarde de fichiers de configuration ou de journaux depuis l'appareil vers un
périphérique externe.
•
Restauration de fichiers de configuration depuis un périphérique externe vers
l'appareil.
•
Reproduction d'un fichier de configuration.
Lorsque vous restaurez un fichier de configuration vers la Configuration d'exécution, le fichier
importé ajoute toute commande de configuration qui n'existait pas dans l'ancien fichier et
remplace toute valeur de paramètre dans les commandes de configuration existantes.
Lorsque vous restaurez un fichier de configuration vers la configuration de démarrage, le
nouveau fichier remplace le fichier précédent.
Lorsque vous procédez à une restauration vers la Configuration de démarrage, l'appareil doit
être redémarré pour que cette Configuration puisse être utilisée en tant que Configuration
d'exécution. Notez que vous pouvez redémarrer l'appareil en suivant la procédure présentée à
la section Redémarrage.
Lorsque vous cliquez sur Appliquer dans une quelconque fenêtre, les modifications que vous
avez apportées aux paramètres de configuration de l'appareil sont stockées uniquement dans la
Configuration d'exécution.
!
PRÉCAUTION
À moins que la Configuration d'exécution ne soit copiée sur la Configuration de démarrage ou
sur un autre fichier de configuration, toutes les modifications apportées depuis la dernière copie
du fichier seront perdues au redémarrage de l'appareil.
Les combinaisons suivantes de copie de types de fichiers internes sont autorisées :
104
•
De la configuration d'exécution sur la configuration de démarrage ou tout autre fichier
de sauvegarde
•
De la configuration de démarrage sur la configuration d'exécution ou tout autre fichier
de sauvegarde
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Opérations de fichiers
7
•
D'un fichier de sauvegarde sur la configuration d'exécution ou la configuration de
démarrage
•
De la configuration miroir sur la configuration d'exécution, la configuration de
démarrage ou tout autre fichier de sauvegarde
Les sections suivantes décrivent ces opérations.
Procédure de mise à jour d'un fichier de configuration système via HTTP/HTTPS,
USB ou la mémoire interne Flash :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
•
Type d'opération : sélectionnez Mettre à jour le fichier.
•
Type du fichier de destination : sélectionnez les types de fichiers de configuration à
mettre à jour.
•
Copy Method (Méthode de copie) : sélectionnez HTTP/HTTPS, USB ou Internal
Flash (Mémoire interne Flash).
•
File Name (Nom de fichier) : saisissez le nom du fichier à partir duquel effectuer la
mise à jour (fichier source).
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de mise à jour d'un fichier de configuration système via le serveur TFTP :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
•
Type d'opération : sélectionnez Mettre à jour le fichier.
•
Type du fichier de destination : sélectionnez les types de fichiers de configuration à
mettre à jour.
•
Copy Method (Méthode de copie) : sélectionnez TFTP.
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur TFTP par son
adresse IP ou son nom de domaine.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
105
7
Administration : Gestion des fichiers
Opérations de fichiers
Définition du serveur par adresse :
-
Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6.
Si le serveur est sélectionné par son nom dans la définition de serveur, il est inutile
de sélectionner les options relatives à la version IP.
-
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les
options sont les suivantes :
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
-
Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste.
•
Server IP Address/Name (Nom/Adresse IP du serveur) : saisissez l'adresse IP ou le
nom du serveur TFTP.
•
Source : saisissez le nom du fichier de mise à jour.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de mise à jour d'un fichier de configuration système via SCP :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
•
Type d'opération : sélectionnez Mettre à jour le fichier.
•
Type du fichier de destination : sélectionnez les types de fichiers de configuration à
mettre à jour.
•
Copy Method (Méthode de copie) : sélectionnez SCP.
ÉTAPE 3 Pour activer l'authentification du serveur SSH (qui est désactivée par défaut), cliquez sur Edit
(Modifier) dans Remote SSH Server Authentication (Authentification du serveur SSH
distant). Vous accédez à la page Authentification du serveur SSH afin de configurer le serveur
SSH.
ÉTAPE 4 Revenez à cette page.
106
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
7
Administration : Gestion des fichiers
Opérations de fichiers
ÉTAPE 5 Sélectionnez l'une des méthodes suivantes pour effectuer l'authentification du client SSH :
•
Utiliser les informations d'identification système du client SSH : définit les
informations d'identification permanentes de l'utilisateur SSH. Cliquez sur
Informations d'identification système pour accéder à la page Authentification de
l'utilisateur SSH où vous pouvez définir le nom d'utilisateur et le mot de passe pour
toutes les utilisations futures.
•
Utiliser les infos d'identification unique du client SSH : saisissez les informations
suivantes :
-
Nom d'utilisateur : saisissez un nom d'utilisateur pour ce mode de copie.
-
Mot de passe : saisissez un mot de passe pour cette copie.
REMARQUE Le nom d'utilisateur et le mot de passe relatifs aux informations
d'identification unique ne seront pas enregistrés dans le fichier de configuration.
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur SCP par son
adresse IP ou son nom de domaine.
Définition du serveur par adresse :
-
Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6.
-
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les
options sont les suivantes :
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
-
Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste.
•
Server IP Address/Name (Nom/Adresse IP du serveur) : saisissez l'adresse IP ou le
nom du serveur SCP.
•
Source : saisissez le nom du fichier source.
ÉTAPE 6 Cliquez sur Appliquer pour commencer l'opération.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
107
7
Administration : Gestion des fichiers
Opérations de fichiers
Procédure de sauvegarde d'un fichier de configuration système via HTTP/HTTPS :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
•
Type d'opération : sélectionnez Sauvegarder le fichier.
•
Source File Type (Type du fichier source) : sélectionnez les types de fichiers de
configuration à sauvegarder.
•
Copy Method (Méthode de copie) : sélectionnez HTTP/HTTPS.
•
Sensitive Data Handling (Gestion des données confidentielles) : choisissez la méthode
d'inclusion des données confidentielles dans le fichier de sauvegarde. Les options
suivantes sont disponibles :
-
Exclure : ne pas inclure les données sensibles à la sauvegarde.
-
Encrypt (Chiffrer) : inclure les données sensibles dans la sauvegarde, mais en les
chiffrant.
-
Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte
en clair.
REMARQUE Les options disponibles relatives aux données confidentielles sont
déterminées par les règles SSD de l'utilisateur actuel. Pour plus d'informations,
reportez-vous à la page Règles SSD.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de sauvegarde d'un fichier de configuration système via USB ou la mémoire
interne Flash :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
108
•
Type d'opération : sélectionnez Sauvegarder le fichier.
•
Source File Type (Type du fichier source) : sélectionnez les types de fichiers de
configuration à sauvegarder.
•
Copy Method (Méthode de copie) : sélectionnez USB ou Internal Flash (Mémoire
interne Flash).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
7
Administration : Gestion des fichiers
Opérations de fichiers
•
File Name (Nom de fichier) : saisissez le nom du fichier de sauvegarde de destination.
•
Sensitive Data Handling (Gestion des données confidentielles) : choisissez la méthode
d'inclusion des données confidentielles dans le fichier de sauvegarde. Les options
suivantes sont disponibles :
-
Exclure : ne pas inclure les données sensibles à la sauvegarde.
-
Encrypt (Chiffrer) : inclure les données sensibles dans la sauvegarde, mais en les
chiffrant.
-
Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte
en clair.
REMARQUE Les options disponibles relatives aux données confidentielles sont
déterminées par les règles SSD de l'utilisateur actuel. Pour plus d'informations,
reportez-vous à la page Règles SSD.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de sauvegarde d'un fichier de configuration système via le serveur TFTP :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
•
Type d'opération : sélectionnez Sauvegarder le fichier.
•
Source File Type (Type de fichier source) : sélectionnez le type de fichier à
sauvegarder.
•
Copy Method (Méthode de copie) : sélectionnez TFTP.
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur TFTP par son
adresse IP ou son nom de domaine.
Définition du serveur par adresse :
-
Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6.
Si le serveur est sélectionné par son nom dans la définition de serveur, il est inutile
de sélectionner les options relatives à la version IP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
109
7
Administration : Gestion des fichiers
Opérations de fichiers
-
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les
options sont les suivantes :
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
-
Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste.
•
Server IP Address/Name (Nom/Adresse IP du serveur) : saisissez l'adresse IP ou le
nom du serveur TFTP.
•
Destination : saisissez le nom du fichier de sauvegarde.
•
Sensitive Data Handling (Gestion des données confidentielles) : choisissez la méthode
d'inclusion des données confidentielles dans le fichier de sauvegarde. Les options
suivantes sont disponibles :
-
Exclure : ne pas inclure les données sensibles à la sauvegarde.
-
Encrypt (Chiffrer) : inclure les données sensibles dans la sauvegarde, mais en les
chiffrant.
-
Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte
en clair.
REMARQUE Les options disponibles relatives aux données confidentielles sont
déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la
page Gestion sécurisée des données confidentielles > Règles SSD.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de sauvegarde d'un fichier de configuration système via SCP :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
110
•
Type d'opération : sélectionnez Sauvegarder le fichier.
•
Source File Type (Type de fichier source) : sélectionnez le type de fichier à
sauvegarder.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
7
Administration : Gestion des fichiers
Opérations de fichiers
•
Copy Method (Méthode de copie) : sélectionnez SCP.
•
Authentification du serveur SSH distant : état actuel de l'authentification du serveur
SSH distant. Cliquez sur Modifier pour accéder à Authentification du serveur SSH et
modifier le paramètre.
Authentification du client SSH : l'authentification du client peut être effectuée de l'une des
manières suivantes :
•
Utiliser les informations d'identification système du client SSH : définit les
informations d'identification permanentes de l'utilisateur SSH. Cliquez sur
Informations d'identification système pour accéder à la page Authentification de
l'utilisateur SSH où vous pouvez définir le nom d'utilisateur et le mot de passe pour
toutes les utilisations futures.
•
Utiliser les infos d'identification unique du client SSH : saisissez les informations
suivantes :
-
Nom d'utilisateur : saisissez un nom d'utilisateur pour ce mode de copie.
-
Mot de passe : saisissez un mot de passe pour cette copie.
•
Définition du serveur : indiquez si vous souhaitez spécifier le serveur SCP par son
adresse IP ou son nom de domaine.
•
Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (si IPv6 est utilisé). Les
options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste.
•
Server IP Address/Name (Nom/Adresse IP du serveur) : saisissez l'adresse IP ou le
nom du serveur SCP.
•
Destination : saisissez le nom du fichier de sauvegarde.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
111
7
Administration : Gestion des fichiers
Opérations de fichiers
•
Sensitive Data Handling (Gestion des données confidentielles) : choisissez la méthode
d'inclusion des données confidentielles dans le fichier de sauvegarde. Les options
suivantes sont disponibles :
-
Exclure : ne pas inclure les données sensibles à la sauvegarde.
-
Encrypt (Chiffrer) : inclure les données sensibles dans la sauvegarde, mais en les
chiffrant.
-
Texte en clair : inclure les données sensibles dans la sauvegarde sous forme de texte
en clair.
REMARQUE Les options disponibles relatives aux données confidentielles sont
déterminées par les règles SSD de l'utilisateur actuel. Pour en savoir plus, consultez la
page Gestion sécurisée des données confidentielles > Règles SSD.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
Procédure de copie d'un fichier de configuration système sur un autre type de fichier
de configuration :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Opérations de fichiers.
ÉTAPE 2 Renseignez les champs suivants :
•
Operation Type (Type d'opération) : sélectionnez Duplicate (Dupliquer).
•
Nom du fichier source : sélectionnez l'un des types de fichiers de configuration à
copier.
•
Destination File Name (Nom du fichier de destination) : saisissez le fichier de
configuration de destination.
ÉTAPE 3 Cliquez sur Appliquer pour commencer l'opération.
112
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Répertoire de fichiers
7
Répertoire de fichiers
La page File Directory (Répertoire de fichiers) répertorie les fichiers système présents dans le
système.
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Répertoire de fichiers.
ÉTAPE 2 Si nécessaire, activez l'option Auto Mirror Configuration (Configuration miroir
automatique). Cette option permet d'activer la création automatique de fichiers de
configuration miroir. En désactivant cette option, le fichier de configuration miroir est
supprimé si vous en aviez créé un. Consultez la section Fichiers système pour obtenir une
description des fichiers miroir et pour connaître les raisons qui peuvent vous pousser à éviter
la création automatique de fichiers de configuration miroir.
ÉTAPE 3 Sélectionnez le lecteur à partir duquel vous souhaitez afficher les fichiers et les répertoires.
Les options suivantes sont disponibles :
•
Flash : tous les fichiers sont affichés dans le répertoire racine de la station de gestion.
•
USB : affiche les fichiers sur la clé USB.
ÉTAPE 4 Cliquez sur Aller à pour afficher les champs suivants :
•
File Name (Nom de fichier) : saisissez le système de fichiers ou le nom de fichier en
fonction du type de fichier.
•
Autorisations : définissez les autorisations de lecture/écriture accordées à l'utilisateur
du fichier.
•
Size (Taille) : définissez la taille du fichier.
•
Last Modified (Dernière modification) : indiquez la date et l'heure de modification du
fichier.
•
Full Path (Chemin d'accès complet) : indiquez le chemin d'accès au fichier.
Configuration/mise à jour automatique de l'image DHCP
La fonctionnalité de configuration/mise à jour automatique de l'image constitue un moyen
pratique de configurer automatiquement des commutateurs dans un réseau et de mettre à jour
leur microprogramme. Ce processus permet à l'administrateur de vérifier à distance que la
configuration et le microprogramme de ces périphériques du réseau sont à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
113
7
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
Cette fonctionnalité comporte les étapes suivantes :
REMARQUE
•
Mise à jour automatique de l'image : téléchargement automatique d'une image du
microprogramme depuis un serveur TFTP/SCP distant. À l'issue du processus de
configuration/mise à jour automatique de l'image, le périphérique redémarre avec la
nouvelle image du microprogramme.
•
Configuration automatique : téléchargement automatique d'un fichier de
configuration depuis un serveur TFTP/SCP distant. À l'issue du processus de
configuration/mise à jour automatique de l'image, le périphérique redémarre avec le
nouveau fichier de configuration.
Si à la fois la mise à jour automatique de l'image et la configuration automatique sont
demandées, la mise à jour automatique de l'image est effectuée en premier. Après le
redémarrage du périphérique, la configuration automatique a lieu à son tour, laquelle est
également suivie d'un redémarrage final.
Pour utiliser cette fonctionnalité, configurez un serveur DHCP dans le réseau en fonction de
l'emplacement et du nom du fichier de configuration et de l'image du microprogramme de vos
périphériques. Les périphériques du réseau sont configurés en tant que clients DHCP par
défaut. Lorsqu'une adresse IP a été attribuée par le serveur DHCP aux périphériques, ces
derniers reçoivent également des informations sur le fichier de configuration et l'image du
microprogramme. Si le fichier de configuration et/ou l'image du microprogramme diffèrent de
ceux utilisés actuellement sur le périphérique, ce dernier redémarre après avoir téléchargé le
fichier et/ou l'image. La présente section décrit ces processus.
Outre la possibilité de maintenir les périphériques du réseau à jour avec les derniers fichiers de
configuration et image du microprogramme disponibles, la fonctionnalité de configuration/
mise à jour automatique permet une installation rapide des nouveaux périphériques sur le
réseau. En effet, tout nouveau périphérique prêt à l'emploi est configuré de manière à extraire
son fichier de configuration et l'image du logiciel depuis le réseau, sans intervention manuelle
de l'administrateur système. Lorsqu'il demande une adresse IP auprès du serveur DHCP pour
la première fois, le périphérique télécharge le fichier de configuration et/ou l'image du
microprogramme spécifiés par le serveur DHCP et redémarre automatiquement.
Le processus de configuration automatique prend en charge le téléchargement de fichiers de
configuration contenant des informations sensibles telles que des clés de serveur RADIUS et
des clés SSH/SSL, via l'utilisation du protocole de sécurité SCP (Secured Copy Protocol) et de
la fonctionnalité de sécurisation SSD (Secure Sensitive Data). Pour en savoir plus à ce sujet,
reportez-vous aux sections Authentification du client SSH et Sécurité : Gestion sécurisée des
données sensibles.
114
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
7
Protocoles de téléchargement (TFTP ou SCP)
Les fichiers de configuration et les images du microprogramme peuvent être téléchargés
depuis un serveur TFTP ou SCP.
L'utilisateur configure le protocole à utiliser, comme suit :
•
Automatique par extension de fichier (option par défaut) : lorsque vous sélectionnez
cette option, l'extension de fichier définie par l'utilisateur indique que les fichiers
présentant cette extension doivent être téléchargés à l'aide du protocole SCP (sur SSH)
tandis que les fichiers pourvus d'une extension autre doivent être téléchargés à l'aide du
protocole TFTP. Par exemple, si vous avez défini l'extension .xyz, les fichiers portant
cette extension sont téléchargés via SCP, tandis que les fichiers aux extensions
différentes sont téléchargés via TFTP. L'extension par défaut est .scp.
•
TFTP uniquement : le téléchargement est effectué via TFTP quelle que soit
l'extension de fichier du nom du fichier de configuration.
•
SCP uniquement : le téléchargement est effectué via SCP (sur SSH) quelle que soit
l'extension de fichier du nom du fichier de configuration.
Authentification du client SSH
SCP est basé sur le protocole SSH. Par défaut, l'authentification du serveur SSH distant est
désactivée ; l'appareil accepte donc n'importe quel serveur SSH distant prêt à l'emploi. Vous
pouvez activer l'authentification du serveur SSH distant pour que seuls les serveurs répertoriés
dans la liste des serveurs sécurisés puissent être utilisés.
Les paramètres d'authentification du client SSH sont obligatoires pour que le client (autrement
dit l'appareil) puisse accéder au serveur SSH. Voici les paramètres par défaut d'authentification
du client SSH :
REMARQUE
•
Méthode d'authentification SSH : par nom d'utilisateur/mot de passe
•
Nom d'utilisateur SSH : anonyme
•
Mot de passe SSH : anonyme
Les paramètres d'authentification du client SSH peuvent également être utilisés lors du
téléchargement manuel d'un fichier (c.-à-d., un téléchargement effectué sans exploiter la
fonctionnalité de configuration/mise à jour automatique de l'image DHCP).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
115
7
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
Processus de configuration/mise à jour automatique de l'image
La configuration automatique DHCP utilise le nom/l'adresse du serveur de configuration et le
nom/chemin du fichier de configuration, le cas échéant, dans les messages DHCP reçus. Par
ailleurs, la fonctionnalité de mise à jour de l'image DHCP utilise le nom de fichier indirect du
microprogramme, le cas échéant, dans les messages. Ces informations sont spécifiées sous
forme d'options DHCP dans le message d'offre provenant des serveurs DHCPv4 et dans les
messages de réponse informative provenant des serveurs DHCPv6.
Si ces informations sont introuvables dans les messages des serveurs DHCP, ce sont les
informations de sauvegarde ayant ont été configurées sur la page Configuration/mise à jour
automatique de l'image DHCP qui sont utilisées.
Lorsque le processus de configuration/mise à jour automatique de l'image est déclenché
(reportez-vous à la section Déclenchement de la configuration/mise à jour automatique de
l'image), la séquence d'événements décrite ci-dessous se produit.
Démarrage de la mise à jour automatique de l'image :
116
•
Le commutateur utilise le nom de fichier indirect de l'option 125 (DHCPv4) et de
l'option 60 (DHCPv6), le cas échéant, dans le message DHCP reçu.
•
Si le serveur DHCP n'a pas envoyé le nom de fichier indirect du fichier image du
microprogramme, c'est le nom du fichier image indirect de sauvegarde (indiqué sur la
page Configuration/mise à jour automatique de l'image DHCP) qui est utilisé.
•
Le commutateur télécharge le fichier image indirect, puis en extrait le nom de fichier
image sur le serveur TFTP/SCP.
•
Le commutateur compare la version du fichier image du serveur TFTP à la version de
l'image active du commutateur.
•
Si les deux versions sont différentes, la nouvelle version est chargée dans l'image non
active, un redémarrage a lieu et l'image non active devient l'image active.
•
Lors de l'utilisation du protocole SCP, un message SYSLOG est généré pour indiquer
qu'un redémarrage va avoir lieu.
•
Lors de l'utilisation du protocole SCP, un message SYSLOG est généré pour confirmer
que le processus de mise à jour automatique a eu lieu.
•
Lors de l'utilisation du protocole TFTP, des messages SYSLOG sont générés par le
processus de copie.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
7
Démarrage de la configuration automatique
•
Le périphérique utilise le nom/l'adresse du serveur TFTP/SCP ainsi que le nom/chemin
du fichier de configuration (options DHCPv4 : 66, 150 et 67, options DHCPv6 : 59
et 60), le cas échéant, dans le message DHCP reçu.
•
Si ces informations ne sont pas envoyées par le serveur DHCP, c'est le nom/l'adresse IP
du serveur de sauvegarde et le nom du fichier de configuration de sauvegarde (de la
page Configuration/mise à jour automatique de l'image DHCP) qui sont utilisés.
•
Le nouveau fichier de configuration est utilisé si son nom est différent de celui du
fichier de configuration précédemment utilisé sur le périphérique ou si ce dernier n'a
jamais été configuré.
•
Le périphérique redémarre avec le nouveau fichier de configuration à l'issue du
processus de configuration/mise à jour automatique de l'image.
•
Des messages SYSLOG sont générés par le processus de copie.
Options manquantes
•
Si le serveur DHCP n'a pas envoyé l'adresse du serveur TFTP/SCP dans une option
DHCP et que le paramètre d'adresse du serveur TFTP/SCP de secours n'a pas été
configuré, voici ce qui se passe :
-
SCP : le processus de configuration automatique est interrompu.
-
TFTP : l'appareil envoie des messages de requête TFTP à une adresse de diffusion
limitée (pour IPv4) ou à l'adresse de TOUS LES NŒUDS (pour IPv6) présents sur
ses interfaces IP et se sert ensuite du premier serveur dont il parvient à obtenir une
réponse pour poursuivre le processus de configuration/mise à jour automatique de
l'image.
Sélection du protocole de téléchargement
•
Le protocole de copie (SCP/TFTP) est sélectionné, comme décrit à la section
Protocoles de téléchargement (TFTP ou SCP).
SCP
•
Dans le cas d'un téléchargement via SCP, l'appareil accepte n'importe quel serveur
SCP/SSH spécifié (sans authentification), si l'un des cas suivants se présente :
-
L'authentification du serveur SSH est désactivée. Par défaut, l'authentification du
serveur SSH est désactivée pour permettre le téléchargement d'un fichier de
configuration pour les périphériques disposant d'une configuration d'origine (par
exemple, des appareils prêts à l'emploi).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
117
7
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
-
Le serveur SSH est configuré dans la liste des serveurs SSH sécurisés.
Si le processus d'authentification du serveur SSH est activé et si le serveur SSH ne
figure pas dans la liste des serveurs SSH sécurisés, le processus de configuration
automatique est interrompu.
•
Si cette information est en revanche disponible, le téléchargement du fichier de
configuration ou de l'image s'effectue à partir du serveur SCP.
Déclenchement de la configuration/mise à jour automatique de l'image
La configuration/mise à jour automatique de l'image via DHCPv4 se déclenche lorsque les
conditions suivantes sont remplies :
•
L'adresse IP du périphérique est affectée/renouvelée de manière dynamique au
redémarrage, renouvelée de manière explicite par une opération administrative ou
renouvelée automatiquement en raison de l'expiration d'un bail. Le renouvellement
explicité peut être activé dans la page de l'interface IPv4.
•
Si la mise à jour automatique de l'image est activée, le processus correspondant est
déclenché lorsqu'un nom de fichier image indirect est reçu d'un serveur DHCP ou
qu'un nom de fichier image indirect de sauvegarde a été configuré. Le terme
« indirect » signifie qu'il ne s'agit pas de l'image proprement dite, mais d'un fichier qui
contient le nom du chemin d'accès à l'image.
•
Si la configuration automatique est activée, le processus correspondant est déclenché
lorsque le nom du fichier de configuration est reçu d'un serveur DHCP ou qu'un nom
de fichier de fichier de configuration de secours a été configuré.
La configuration/mise à jour automatique de l'image via DHCPv6 se déclenche lorsque les
conditions suivantes sont remplies :
•
•
118
Lorsqu'un serveur DHCPv6 envoie des informations à l'appareil. Cet envoi se produit
dans les cas suivants :
-
Lorsqu'une interface compatible IPv6 est définie comme client de configuration
DHCPv6 sans état.
-
Lorsque des messages DHCPv6 sont reçus du serveur (p. ex., lorsque vous
appuyez sur le bouton de redémarrage d'une page d'interfaces IPv6.
-
Lorsque des informations DHCPv6 sont actualisées par l'appareil.
-
Lorsque le client DHCPv6 sans état est activé après redémarrage de l'appareil.
Lorsque les paquets du serveur DHCPv6 contiennent l'option de nom de fichier de
configuration.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
•
7
Le processus de mise à jour automatique de l'image est déclenché lorsqu'un nom de
fichier image indirect est fourni par le serveur DHCP ou qu'un nom de fichier image
indirect de sauvegarde a été configuré. Le terme « indirect » signifie qu'il ne s'agit pas
de l'image proprement dite, mais d'un fichier qui contient le nom du chemin d'accès à
l'image.
Configuration/mise à jour automatique de l'image DHCP
La Configuration/mise à jour automatique de l'image DHCP permet de configurer le
périphérique en tant que client DHCP.
Les valeurs par défaut suivantes existent sur le système :
•
La configuration automatique est désactivée.
•
La mise à jour automatique de l'image est désactivée.
•
Le périphérique est activé en tant que client DHCP.
•
L'authentification du serveur SSH distant est désactivée.
Avant de commencer
Pour utiliser cette fonctionnalité, le périphérique doit être configuré comme client DHCPv4 ou
DHCPv6. Le type de client DHCP défini sur le périphérique doit être en adéquation avec le
type d'interfaces défini sur le périphérique.
Préparatifs en vue de la configuration automatique
Pour préparer les serveurs DHCP et TFTP/SCP, procédez comme suit :
Serveur TFTP/SCP
•
Placez un fichier de configuration dans le répertoire de travail. Ce fichier peut être créé
en copiant un fichier de configuration depuis un périphérique. Au démarrage du
périphérique, ce fichier devient le fichier Configuration d'exécution.
Serveur DHCP
Configurez le serveur DHCP avec les options suivantes :
•
DHCPv4 :
-
66 (adresse de serveur unique) ou 150 (liste d'adresses de serveur)
-
67 (nom du fichier de configuration)
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
119
7
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
•
DHCPv6
-
Option 59 (adresse du serveur)
-
Options 60 (nom du fichier de configuration, ainsi que le nom du fichier image
indirect, séparés par une virgule)
Préparatifs en vue de la mise à jour automatique de l'image
Pour préparer les serveurs DHCP et TFTP/SCP, procédez comme suit :
Serveur TFTP/SCP
1. Créez un sous-répertoire dans le répertoire principal. Placez un fichier image du logiciel
dans ce sous-répertoire.
2. Créez un fichier indirect contenant un chemin d'accès ainsi que le nom de la version du
microprogramme (indirect-cisco.txt, par exemple, qui contient cisco\cisco-version.ros).
3. Copiez ce fichier indirect dans le répertoire principal du serveur TFTP/SCP.
Serveur DHCP
Configurez le serveur DHCP avec les options suivantes
•
DHCPv4 : option 125 (nom de fichier indirect)
•
DHCPv6 : options 60 (nom du fichier de configuration, ainsi que le nom du fichier
image indirect, séparés par une virgule)
Workflow du client DHCP
ÉTAPE 1 Définissez les paramètres de configuration automatique et/ou de mise à jour automatique de
l'image sur la page Configuration/mise à jour automatique de l'image DHCP.
ÉTAPE 2 Définissez le type d'adresse IP sur Dynamique sur la page Configuration IP > Interface IPv4.
Définissez le type d'adresse IP sur Dynamique sur la page Interfaces IPv4 et/ou définissez
l'appareil en tant que client DHCPv6 sans état sur la page Interfaces IPv6.
120
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
7
Configuration Web
Pour configurer la fonctionnalité de configuration automatique et/ou de mise à jour
automatique :
ÉTAPE 1 Cliquez sur Administration > Gestion des fichiers > Configuration automatique DHCP/
Mise à jour automatique de l'image DHCP.
ÉTAPE 2 Saisissez les valeurs appropriées.
•
Configuration automatique via DHCP : sélectionnez cette option pour activer la
configuration automatique DHCP. Cette fonctionnalité est désactivée par défaut, mais
peut être activée ici.
•
Protocole de téléchargement : sélectionnez une des options suivantes :
-
Automatique par extension de fichier : sélectionnez cette option pour indiquer que
la configuration automatique utilise le protocole TFTP ou SCP en fonction de
l'extension du fichier de configuration. Si cette option est sélectionnée, l'extension
du fichier de configuration n'a pas besoin d'être spécifiée. Si vous ne spécifiez rien,
l'extension par défaut est utilisée (comme indiqué ci-dessous).
-
Extension de fichier pour SCP : si l'option Automatique par extension de fichier
est sélectionnée, vous pouvez indiquer une extension de fichier ici. Tout fichier
portant cette extension est téléchargé via SCP. Si aucune extension n'est saisie,
l'extension par défaut .scp est utilisée.
-
TFTP uniquement : choisissez cette option pour indiquer que seul le protocole TFTP
doit être utilisé pour la configuration automatique.
-
SCP uniquement : choisissez cette option pour indiquer que seul le protocole SCP
doit être utilisé pour la configuration automatique.
•
Mise à jour automatique de l'image via DHCP : sélectionnez ce champ pour activer
la mise à jour de l'image du microprogramme depuis le serveur DHCP. Cette
fonctionnalité est désactivée par défaut, mais peut être activée ici.
•
Protocole de téléchargement : sélectionnez une des options suivantes :
-
Automatique par extension de fichier : sélectionnez cette option pour indiquer que
la mise à jour automatique utilise le protocole TFTP ou SCP en fonction de
l'extension du fichier image. Si cette option est sélectionnée, l'extension du fichier
du fichier image n'a pas besoin d'être spécifiée. Si vous ne spécifiez rien, l'extension
par défaut est utilisée (comme indiqué ci-dessous).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
121
7
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
-
Extension de fichier pour SCP : si l'option Automatique par extension de fichier
est sélectionnée, vous pouvez indiquer une extension de fichier ici. Tout fichier
portant cette extension est téléchargé via SCP. Si aucune extension n'est saisie,
l'extension par défaut .scp est utilisée.
-
TFTP uniquement : choisissez cette option pour indiquer que seul le protocole TFTP
doit être utilisé pour la mise à jour automatique.
-
SCP uniquement : choisissez cette option pour indiquer que seul le protocole SCP
doit être utilisé pour la mise à jour automatique.
•
Paramètres SSH pour SCP : lorsque vous utilisez le protocole SCP pour télécharger
les fichiers de configuration, sélectionnez l'une des options suivantes :
•
Authentification du serveur SSH distant : cliquez sur le lien Activer/désactiver pour
accéder à la page Authentification du serveur SSH. Vous pouvez y activer
l'authentification du serveur SSH à utiliser pour le téléchargement et saisir le serveur
SSH sécurisé si nécessaire.
•
Authentification du client SSH : cliquez sur le lien Informations d'identification
système pour saisir les informations d'identification utilisateur sur la page
Authentification des utilisateurs SSH.
•
Définition du serveur de secours : indiquez si le serveur de secours sera configuré Par
adresse IP ou Par nom.
ÉTAPE 3 Définition du serveur par adresse :
•
Version IP : indiquez si l'adresse utilisée est de type IPv4 ou IPv6.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
•
122
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la
liaison locale du type d'adresse IPv6 est sélectionnée)
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Administration : Gestion des fichiers
Configuration/mise à jour automatique de l'image DHCP
7
ÉTAPE 4 Saisissez les informations facultatives suivantes qui seront utilisées si le serveur DHCP ne
fournit pas les informations requises.
•
Nom/Adresse IP du serveur de secours : saisissez l'adresse IP ou le nom du serveur
de secours.
•
Nom du fichier de configuration de secours : entrez le nom du fichier de
configuration de secours.
•
Backup Indirect Image File Name (Nom du fichier image indirect de sauvegarde) :
entrez le nom du fichier image indirect à utiliser. Il s'agit d'un fichier qui contient le
chemin d'accès à l'image. Exemple de nom de fichier image indirect : indirectcisco.scp. Ce fichier contient le chemin d'accès et le nom de l'image du
microprogramme.
Les champs suivants s'affichent :
•
Last Auto Configuration/Image Server IP Address (Adresse IP du dernier serveur
pour configuration automatique/mise à jour automatique de l'image) : adresse du
dernier serveur de secours.
•
Dernier nom du fichier de configuration automatique : dernier nom du fichier de
configuration.
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont copiés dans le fichier de Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
123
8
Administration : Paramètres d'heure
Les horloges système synchronisées constituent un cadre de référence pour tous les
périphériques du réseau. La synchronisation de l'heure du réseau est cruciale, car chaque
aspect de la gestion, de la sécurité, de la planification et du débogage d'un réseau implique de
déterminer le moment où se produit l'événement. Sans synchronisation des horloges, la
corrélation précise des fichiers journaux entre périphériques est impossible pour la détection
des failles de sécurité ou le suivi de l'utilisation du réseau.
La synchronisation de l'heure réduit également la confusion dans les systèmes de fichiers
partagés : il est essentiel que les heures de modification soient cohérentes, quelle que soit la
machine sur laquelle se trouvent les systèmes de fichiers.
Pour ces raisons, l'heure configurée sur tous les périphériques du réseau doit être précise.
REMARQUE
Le périphérique prend en charge le protocole SNTP (Simple Network Time Protocol). Lorsque
ce dernier est activé, le périphérique synchronise son heure de manière dynamique à partir d'un
serveur SNTP. Le périphérique fonctionne uniquement en tant que client SNTP et ne peut pas
fournir de services d'heure à d'autres périphériques.
Cette rubrique décrit les options permettant de configurer l'heure système, le fuseau horaire et
l'heure d'été (DST). Elle couvre les sujets suivants :
•
Configuration de l'heure système
•
Modes SNTP
•
Heure système
•
SNTP monodiffusion
•
SNTP multidestination/pluridiffusion
•
Authentification SNTP
•
Plage horaire
•
Période récurrente
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
124
8
Administration : Paramètres d'heure
Configuration de l'heure système
Configuration de l'heure système
L'heure système peut être réglée manuellement par l'utilisateur, définie dynamiquement à
partir d'un serveur SNTP ou synchronisée à partir de l'ordinateur qui exécute l'interface
utilisateur graphique (GUI). Si un serveur SNTP est choisi, les paramètres d'heure manuels
sont écrasés lorsque des communications avec le serveur sont établies.
Dans le cadre du processus de démarrage, le périphérique configure toujours l'heure, le fuseau
horaire et l'heure d'été. Ces paramètres sont obtenus à partir de l'ordinateur qui exécute la GUI,
du SNTP, des valeurs définies manuellement ou, si ces éléments échouent, des valeurs d'usine.
Time
Les méthodes suivantes permettent de définir l'heure système sur le périphérique :
•
Manuel : l'utilisateur doit définir l'heure manuellement.
•
À partir de votre ordinateur : l'heure peut être reçue à partir de l'ordinateur, à l'aide
des informations du navigateur.
La configuration de l'heure à partir de l'ordinateur est enregistrée dans le fichier de
Configuration d'exécution. Vous devez copier la Configuration d'exécution vers la
Configuration de démarrage pour permettre au périphérique d'utiliser l'heure de
l'ordinateur après le redémarrage. L'heure après le redémarrage est définie lors de la
première connexion WEB au périphérique.
Lorsque vous configurez cette fonction pour la première fois, si l'heure n'a pas encore
été réglée, le périphérique définit l'heure à partir de l'ordinateur.
Cette méthode de réglage de l'heure fonctionne avec les connexions HTTP et HTTPS.
•
SNTP : l'heure peut être reçue à partir de serveurs de temps SNTP. SNTP garantit une
synchronisation précise de l'heure réseau du périphérique, à la milliseconde près, en
utilisant un serveur SNTP comme source d'horloge. Lors de la spécification d'un
serveur SNTP, si vous choisissez de l'identifier par son nom d'hôte, trois suggestions
sont données dans l'interface utilisateur graphique :
-
time-a.timefreq.bldrdoc.gov
-
time-b.timefreq.bldrdoc.gov
-
time-c.timefreq.bldrdoc.gov
Une fois que l'heure a été définie par l'une des sources ci-dessus, elle n'est pas redéfinie par le
navigateur.
REMARQUE
SNTP est la méthode recommandée pour le réglage de l'heure.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
125
8
Administration : Paramètres d'heure
Modes SNTP
Fuseau horaire et heure d'été
Le fuseau horaire et l'heure d'été peuvent être définis sur le périphérique comme suit :
•
•
Configuration dynamique du périphérique via un serveur DHCP, où :
-
L'heure d'été dynamique, lorsqu'elle est activée et disponible, a toujours la priorité
sur la configuration manuelle de l'heure d'été.
-
Les paramètres manuels sont utilisés si le serveur fournissant les paramètres de
source échoue ou si la configuration dynamique est désactivée par l'utilisateur.
-
La configuration dynamique du fuseau horaire et de l'heure d'été se poursuit après
l'expiration de l'heure de bail IP.
La configuration manuelle du fuseau horaire et de l'heure d'été devient la configuration
de fuseau horaire et d'heure d'été opérationnelle seulement si la configuration
dynamique est désactivée ou échoue.
REMARQUE Le serveur DHCP doit fournir l'option 100 DHCP pour que la
configuration dynamique du fuseau horaire puisse avoir lieu.
Modes SNTP
Le périphérique peut recevoir l'heure système à partir d'un serveur SNTP de l'une des manières
suivantes :
•
Réception de diffusion client (mode passif) : les serveurs SNTP diffusent l'heure et le
périphérique écoute ces diffusions. Lorsque le périphérique se trouve dans ce mode, il
n'est pas nécessaire de définir un serveur SNTP monodiffusion.
•
Transmission de diffusion client (mode actif) : le commutateur, en tant que
client SNTP, demande périodiquement des mises à jour de l'heure SNTP. Ce mode
fonctionne de l'une des manières suivantes :
-
Mode client pluridiffusion SNTP : le périphérique diffuse des paquets de
requêtes d'heure à tous les serveurs SNTP du sous-réseau et attend une réponse.
-
Mode Serveur SNTP monodiffusion : le périphérique envoie des requêtes de
monodiffusion à une liste de serveurs SNTP configurés manuellement et attend une
réponse.
Le périphérique prend en charge tous les modes mentionnés ci-dessus et actifs en même
temps, et sélectionne la meilleure heure système reçue d'un serveur SNTP, conformément à un
algorithme basé sur la strate la plus proche (distance par rapport à l'horloge de référence).
126
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
8
Administration : Paramètres d'heure
Heure système
Heure système
Utilisez la page Heure système pour sélectionner la source d'heure système. Si la source est
manuelle, vous pouvez saisir l'heure à cet endroit.
!
PRÉCAUTION
Si l'heure système est définie manuellement et que le périphérique est redémarré, saisissez à
nouveau les paramètres d'heure entrés manuellement.
Pour définir l'heure système :
ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Heure système.
Les champs suivants s'affichent :
•
Heure réelle (source de l'heure système) : heure système sur le périphérique. Indique le
fuseau horaire du serveur DHCP ou l'acronyme correspondant au fuseau horaire défini
par l'utilisateur, le cas échéant.
•
Dernier serveur synchronisé : adresse, strate et type du serveur SNTP à partir duquel
l'heure système a été extraite pour la dernière fois.
ÉTAPE 2 Saisissez les paramètres suivants :
•
Paramètres de source d'horloge : sélectionnez la source utilisée pour définir l'horloge
système.
-
Source d'horloge principale (serveurs SNTP) : si cette option est activée, l'heure
système est obtenue à partir d'un serveur SNTP. Pour utiliser cette fonctionnalité,
vous devez également configurer une connexion à un serveur SNTP sur la page
SNTP multidestination/pluridiffusion. Vous pouvez également appliquer
l'authentification des sessions SNTP via la page Authentification SNTP.
-
Source d'horloge alternative (ordinateur via des sessions HTTP/HTTPS
actives) : sélectionnez cette option pour définir la date et l'heure depuis l'ordinateur
effectuant la configuration via le protocole HTTP.
REMARQUE Le paramètre de source d'horloge doit être défini à l'une des valeurs cidessus pour que l'authentification MD5 RIP fonctionne.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
127
8
Administration : Paramètres d'heure
Heure système
•
•
Paramètres manuels : définissez la date et l'heure manuellement. L'heure locale est
utilisée lorsqu'aucune source d'horloge alternative, telle qu'un serveur SNTP, n'est
disponible :
-
Date : saisissez la date du système.
-
Local Time : saisissez l'heure système.
Paramètres de fuseau horaire : l'heure locale est utilisée via le serveur DHCP ou
l'option Décalage du fuseau horaire.
-
Obtenir le fuseau horaire de DHCP : sélectionnez cette option pour activer la
configuration dynamique du fuseau horaire et l'heure d'été à partir du
serveur DHCP. Un seul ou les deux paramètres peuvent être configurés selon les
informations trouvées dans le paquet DHCP. Si cette option est activée, le
client DHCP doit être activé sur le périphérique.
REMARQUE Le client DHCP prend en charge l'option 100 permettant le réglage
dynamique du fuseau horaire.
•
-
Fuseau horaire de DHCP : affiche l'acronyme du fuseau horaire configuré à partir
du serveur DHCP. L'acronyme s'affiche dans le champ Heure actuelle.
-
Décalage du fuseau horaire : sélectionnez la différence en heures entre le temps du
méridien de Greenwich (GMT) et l'heure locale. Par exemple, le décalage de fuseau
horaire pour Paris et GMT+1 et celui pour New York est GMT- 5.
-
Acronyme du fuseau horaire : saisissez un nom qui représente ce fuseau horaire.
L'acronyme s'affiche dans le champ Actual Time.
Paramètres d'heure d'été : sélectionnez le mode de définition de l'heure d'été :
-
Heure d'été : sélectionnez cette option pour activer l'heure d'été.
-
Compensation d'heure définie : entrez le nombre de minutes de décalage par rapport
à l'heure GMT (entre 1 et 1 440). La valeur par défaut est 60.
-
Type d'heure d'été : cliquez sur l'un des éléments suivants :
États-Unis : l'heure d'été est définie selon les dates utilisées aux États-Unis.
Europe : l'heure d'été est définie selon les dates utilisées par l'Union Européenne et
d'autres pays qui appliquent cette norme.
Par dates : l'heure d'été est définie manuellement, généralement pour un autre pays
que les États-Unis ou un pays européen. Saisissez les paramètres décrits ci-après.
Recurring : l'heure d'été entre en vigueur à la même date chaque année.
128
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
8
Administration : Paramètres d'heure
Heure système
Sélectionnez By Dates pour personnaliser le début et la fin de l'heure d'été :
•
De : jour et heure de début de l'heure d'été.
•
À : jour et heure de fin de l'heure d'été.
ÉTAPE 3 Sélectionnez Récurrent pour personnaliser différemment le début et la fin de l'heure d'été :
•
•
De : date à laquelle l'heure d'été commence chaque année.
-
Day : jour de la semaine au cours duquel l'heure d'été débute chaque année.
-
Semaine : semaine du mois au cours de laquelle l'heure d'été débute chaque année.
-
Mois : mois de l'année au cours duquel l'heure d'été débute chaque année.
-
Heure : heure à laquelle l'heure d'été débute chaque année.
À : date à laquelle l'heure d'été prend fin chaque année. Par exemple, l'heure d'été prend
localement fin le quatrième vendredi du mois d'octobre à 05 h 00. Les paramètres sont
les suivants :
-
Jour : jour de la semaine au cours duquel l'heure d'été prend fin chaque année.
-
Semaine : semaine du mois au cours de laquelle l'heure d'été prend fin chaque année.
-
Mois : mois de l'année au cours duquel l'heure d'été prend fin chaque année.
-
Heure : heure à laquelle l'heure d'été prend fin chaque année.
ÉTAPE 4 Cliquez sur Appliquer. Les valeurs d'heure système sont écrites dans le fichier de
Configuration d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
129
8
Administration : Paramètres d'heure
SNTP monodiffusion
SNTP monodiffusion
Seize serveurs de monodiffusion SNTP maximum peuvent être configurés.
REMARQUE
Pour spécifier un serveur de monodiffusion SNTP par son nom, vous devez d'abord configurer
le ou les serveurs DNS sur le périphérique (reportez-vous à la section Paramètres DNS).
Pour ajouter un serveur de monodiffusion SNTP :
ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Destination unique SNTP.
ÉTAPE 2 Renseignez les champs suivants :
•
Client SNTP monodiffusion : sélectionnez cette option pour permettre au périphérique
d'utiliser des clients monodiffusion SNTP prédéfinis avec des serveurs SNTP
monodiffusion.
•
Interface source IPv4 : sélectionnez l'interface IPv4 dont l'adresse IPv4 sera utilisée
comme adresse IPv4 source dans les messages utilisés pour les communications avec le
serveur SNTP.
•
Interface source IPv6 : sélectionnez l'interface IPv6 dont l'adresse IPv6 sera utilisée
comme adresse IPv6 source dans les messages utilisés pour les communications avec le
serveur SNTP.
REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source
de l'adresse IP définie dans l'interface sortante.
La page suivante affiche ces informations pour chaque serveur SNTP monodiffusion :
130
•
Serveur SNTP : adresse IP du serveur SNTP. Le serveur ou nom d'hôte préféré est
choisi selon son niveau de strate.
•
Intervalle d'interrogation : indique si l'interrogation est activée ou désactivée.
•
ID de clé d'authentification : l'identification de clé sert à communiquer entre le
serveur SNTP et le périphérique.
•
Niveau de strate : distance par rapport à l'horloge de référence, exprimée sous la forme
d'une valeur numérique. Un serveur SNTP ne peut pas être le serveur principal (niveau
de strate 1), sauf si l'intervalle d'interrogation est activé.
•
État : état du serveur SNTP. Ce champ peut prendre les valeurs suivantes :
-
Actif : le serveur SNTP fonctionne actuellement normalement.
-
Inactif : le serveur SNTP n'est actuellement pas disponible.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
8
Administration : Paramètres d'heure
SNTP monodiffusion
-
Inconnu : l'état du serveur SNTP est inconnu.
-
En cours : connexion au serveur SNTP en cours.
•
Dernière réponse : date et heure auxquelles une réponse a été reçue de la part de ce
serveur SNTP pour la dernière fois.
•
Décalage : décalage estimé entre l'horloge du serveur et l'horloge locale, en
millisecondes. L'hôte détermine la valeur de ce décalage à l'aide de l'algorithme décrit
au sein de la RFC 2030.
•
Délai : temps estimé d'un aller-retour de transmission entre l'horloge du serveur et
l'horloge locale sur le chemin du réseau, en millisecondes. L'hôte détermine la valeur de
cet écart à l'aide de l'algorithme décrit au sein de la RFC 2030.
•
Source : configuration du serveur SNTP, par exemple : manuellement ou à partir du
serveur DHCPv6.
•
Interface : interface sur laquelle les paquets sont reçus.
ÉTAPE 3 Pour ajouter un serveur de monodiffusion SNTP, activez Client SNTP monodiffusion.
ÉTAPE 4 Cliquez sur Ajouter.
REMARQUE Pour supprimer tous les serveurs SNTP définis par l'utilisateur, cliquez
sur Restore Default Servers (Restaurer les serveurs par défaut).
ÉTAPE 5 Saisissez les paramètres suivants :
•
Définition du serveur : sélectionnez cette option si le serveur SNTP est identifié par
son adresse IP ou si vous allez sélectionner un serveur SNTP connu par son nom dans
la liste.
REMARQUE Pour spécifier un serveur SNTP connu, le périphérique doit être connecté
à Internet et configuré avec un serveur DNS, ou configuré de manière à ce qu'un
serveur DNS soit identifié en utilisant le serveur DHCP. (Voir Paramètres DNS.)
•
Version IP : sélectionnez la version de l'adresse IP : Version 6 ou Version 4.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont :
-
Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
131
8
Administration : Paramètres d'heure
SNTP multidestination/pluridiffusion
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la
liaison locale du type d'adresse IPv6 est sélectionnée).
•
SNTP Server IP Address/Name (Adresse IP/nom du serveur SNTP) : saisissez le nom
ou l'adresse IP du serveur SNTP. Le format dépend du type d'adresse sélectionné.
•
Intervalle d'interrogation : sélectionnez cette option afin d'activer l'interrogation du
serveur SNTP pour les informations d'heure système. Tous les serveurs NTP enregistrés
pour l'interrogation sont interrogés et l'horloge est sélectionnée à partir du serveur
accessible qui dispose du niveau de strate le plus faible (distance par rapport à l'horloge
de référence). Le serveur disposant de la strate la plus faible est considéré comme étant
le serveur principal. Le serveur disposant de la strate la deuxième plus faible est un
serveur secondaire et ainsi de suite. Si le serveur principal est inactif, le périphérique
interroge tous les serveurs ayant leur paramètre d'interrogation activé et sélectionne
celui disposant de la strate la plus faible comme le nouveau serveur principal.
•
Authentification : cochez la case pour activer l'authentification.
•
ID de clé d'authentification : si l'authentification est activée, sélectionnez la valeur de
l'ID de clé. Créez des clés d'authentification à l'aide de la page Authentification SNTP.
ÉTAPE 6 Cliquez sur Appliquer. Le serveur SNTP est ajouté et vous retournez à la page principale.
SNTP multidestination/pluridiffusion
Le périphérique peut être en mode actif et/ou passif. (Consultez la rubrique Modes SNTP pour
plus d'informations.)
Pour activer la réception de paquets SNTP à partir de tous les serveurs du sous-réseau et/ou la
transmission de demandes d'heure aux serveurs SNTP :
ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > SNTP multidestination/
pluridiffusion.
Sélectionnez l'une des options suivantes :
•
132
Mode client multidiffusion IPv4 SNTP (réception de diffusion client) : sélectionnez
cette option pour recevoir les transmissions de multidiffusion IPv4 de l'heure système à
partir de l'un des serveurs SNTP du sous-réseau.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
8
Administration : Paramètres d'heure
Authentification SNTP
•
Mode client multidiffusion IPv6 SNTP (réception de diffusion client) : sélectionnez
cette option pour recevoir les transmissions de multidiffusion IPv6 de l'heure système à
partir de l'un des serveurs SNTP du sous-réseau.
•
Mode client pluridiffusion IPv4 SNTP (transmission de diffusion client) :
sélectionnez cette option pour transmettre des paquets de synchronisation IPv4 SNTP
demandant des informations relatives à l'heure système. Les paquets sont transmis à
tous les serveurs SNTP du sous-réseau.
•
Mode client pluridiffusion IPv6 SNTP (transmission de diffusion client) :
sélectionnez cette option pour transmettre des paquets de synchronisation IPv6 SNTP
demandant des informations relatives à l'heure système. Les paquets sont transmis à
tous les serveurs SNTP du sous-réseau.
ÉTAPE 2 Cliquez sur Appliquer pour enregistrer les paramètres dans le fichier de configuration
d'exécution.
Authentification SNTP
Les clients SNTP peuvent authentifier les réponses à l'aide de HMAC-MD5. Un serveur SNTP
est associé à une clé, qui est utilisée en guise d'entrée de la fonction MD5 avec la réponse ellemême, le résultat de la fonction MD5 étant également inclus dans le paquet de réponse.
La page Authentification SNTP permet de configurer des clés d'authentification utilisées pour
communiquer avec un serveur SNTP qui requiert une authentification.
La clé d'authentification est créée sur le serveur SNTP dans un processus distinct qui varie
selon le type de serveur SNTP que vous utilisez. Pour plus d'informations à ce sujet, contactez
l'administrateur système du serveur SNTP.
Flux de travail
ÉTAPE 1 Activez l'authentification sur la page SNTP Authentication (Authentification SNTP) ci-
dessous.
ÉTAPE 2 Créez une clé sur la page SNTP Authentication (Authentification SNTP) ci-dessous.
ÉTAPE 3 Associez cette clé à un serveur SNTP sur la page SNTP monodiffusion.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
133
8
Administration : Paramètres d'heure
Plage horaire
Pour activer l'authentification SNTP et définir des clés :
ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Authentification SNTP.
ÉTAPE 2 Sélectionnez Authentification SNTP pour prendre en charge l'authentification d'une
session SNTP entre le périphérique et un serveur SNTP.
ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le périphérique.
ÉTAPE 4 Cliquez sur Ajouter.
ÉTAPE 5 Saisissez les paramètres suivants :
•
ID de clé d'authentification : saisissez le numéro utilisé pour identifier cette clé
d'authentification SNTP en interne.
•
Clé d'authentification (chiffrée) : saisissez la clé utilisée pour l'authentification (huit
caractères maximum) au format chiffré. Le serveur SNTP doit envoyer cette clé pour
que le périphérique se synchronise dessus.
•
Clé d'authentification (texte en clair) : saisissez la clé utilisée pour l'authentification
(huit caractères maximum) au format texte en clair. Le serveur SNTP doit envoyer cette
clé pour que le périphérique se synchronise dessus.
•
Clé de confiance : sélectionnez cette option pour recevoir les informations de
synchronisation uniquement à partir d'un serveur SNTP utilisant cette clé
d'authentification.
ÉTAPE 6 Cliquez sur Appliquer. Les paramètres d'authentification SNTP sont écrits dans le fichier de
Configuration d'exécution.
Plage horaire
Les périodes peuvent être définies et associées aux types de commandes suivants, afin que ces
commandes ne soient appliquées que pendant la période concernée :
134
•
Listes de contrôle d'accès
•
Authentification des ports 8021X
•
Paramètres des ports
•
PoE basé sur une période
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
8
Administration : Paramètres d'heure
Plage horaire
Les deux types de plages horaires sont les suivants :
•
Absolu : ce type de période débute à une date spécifique ou immédiatement et se
termine à une date spécifique ou se prolonge indéfiniment. Il est créé dans les pages
Période. Un élément récurrent peut lui être ajouté.
•
Récurrent : ce type de période contient un élément de période qui est ajouté à une
plage absolue, et il débute et se termine de manière récurrente. Il est créé dans les
pages Plage récurrente.
Si une période comprend à la fois des plages absolues et des plages récurrentes, les opérations
des commandes associées ne sont activées que si l'heure de début absolue et la période
récurrente ont été atteintes. Les opérations des commandes associées sont inactives si l'une des
plages horaires a été atteinte.
Le périphérique prend en charge 10 périodes absolues au maximum.
Toutes les spécifications horaires sont interprétées en heure locale (l'heure d'été n'a aucune
incidence). Afin de s'assurer que les entrées de la période prennent effet aux heures souhaitées,
l'heure système doit être définie.
La fonction Période permet d'effectuer les tâches suivantes :
•
Limiter l'accès des ordinateurs au réseau aux horaires de travail (par exemple) : par la
suite, les ports réseau sont ainsi verrouillés et l'accès au reste du réseau est bloqué (voir
Paramètres des ports et Agrégation de liaisons).
•
Limiter l'alimentation PoE à une période définie.
Période absolue
Pour définir une période absolue :
ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Période.
Les périodes existantes s'affichent.
ÉTAPE 2 Pour ajouter une nouvelle période, cliquez sur Ajouter.
ÉTAPE 3 Renseignez les champs suivants :
•
Nom de période : saisissez un nouveau nom de période.
•
Heure de début absolue : pour définir l'heure de début, renseignez les champs
suivants :
-
Immédiat : sélectionnez cette option pour que la période démarre immédiatement.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
135
8
Administration : Paramètres d'heure
Période récurrente
•
Date, Heure : saisissez la date et l'heure auxquelles la période débute.
Heure de fin absolue : pour définir l'heure de fin, renseignez les champs suivants :
-
Infini : sélectionnez cette option pour que la période ne se termine jamais.
-
Date, Heure : saisissez la date et l'heure auxquelles la période se termine.
ÉTAPE 4 Cliquez sur Appliquer.
ÉTAPE 5 Pour ajouter une période récurrente, cliquez sur Plage récurrente.
Période récurrente
Il est possible d'ajouter un élément de temps récurrent à une période absolue. Cela limite
l'opération à certaines périodes au sein de la plage absolue.
Pour ajouter un élément de période récurrent à une période absolue :
ÉTAPE 1 Cliquez sur Administration > Paramètres d'heure > Plage récurrente.
Les périodes récurrentes existantes s'affichent (filtrées par période spécifique absolue).
ÉTAPE 2 Sélectionnez la période absolue à laquelle ajouter la plage récurrente.
ÉTAPE 3 Pour ajouter une nouvelle période récurrente, cliquez sur Ajouter.
ÉTAPE 4 Renseignez les champs suivants :
•
Heure de début récurrente : saisissez la date et l'heure auxquelles la période débute
sur une base récurrente.
•
Heure de fin récurrente : saisissez la date et l'heure auxquelles la période se termine
de façon récurrente.
ÉTAPE 5 Cliquez sur Appliquer.
ÉTAPE 6 Cliquez sur Période pour accéder à la page Période absolue.
136
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Cette section fournit des informations sur la configuration de la détection.
Elle couvre les rubriques suivantes :
•
Bonjour
•
LLDP et CDP
•
Détection - LLDP
•
Détection - CDP
Bonjour
En tant que client Bonjour, l'appareil diffuse périodiquement des paquets de protocole de
détection Bonjour vers un ou plusieurs sous-réseaux IP à connexion directe, annonçant ainsi sa
propre existence et les services qu'il offre, par exemple HTTP ou HTTPS. (Utilisez la page
Sécurité > Services TCP/UDP pour activer ou désactiver les services de périphérique.) Le
périphérique peut être détecté par un système de gestion réseau ou autre application tierce. Par
défaut, Bonjour est activé et s'exécute sur le VLAN de gestion.
Lorsque le périphérique est en mode système de couche 2, la détection Bonjour est activée
globalement et les annonces Bonjour sont envoyées au VLAN de gestion. Le périphérique
annonce tous les services qui ont été activés par l'administrateur en fonction de la
configuration définie sur la page Services.
Lorsque vous activez à la fois la découverte Bonjour et IGMP, l'adresse IP de multidiffusion
de Bonjour apparaît sur la page Ajouter une adresse IP de groupe de multidiffusion.
Lorsque vous désactivez la détection Bonjour, le périphérique cesse toute annonce de type de
service et ne répond à aucune demande de service émanant des applications de gestion réseau.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
137
9
Administration : Détection
LLDP et CDP
La détection Bonjour peut uniquement être activée globalement et non séparément pour
chaque port ou chaque VLAN. Le périphérique annonce les services qui ont été activés par
l'administrateur.
Lorsque vous activez à la fois la découverte Bonjour et IGMP, l'adresse IP de multidiffusion
de Bonjour apparaît sur la page Ajout d'adresses IP de groupe de multidiffusion.
Si la détection Bonjour est désactivée, le périphérique cesse les annonces de type de service et
ne répond à aucune demande de service émanant des applications de gestion réseau.
Par défaut, Bonjour est activé sur toutes les interfaces membres du VLAN de gestion.
Pour configurer le protocole Bonjour :
ÉTAPE 1 Cliquez sur Administration > Détection - Bonjour.
ÉTAPE 2 Sélectionnez Activer pour activer globalement la détection Bonjour.
ÉTAPE 3 Pour activer Bonjour sur une interface spécifique, cliquez sur Ajouter.
ÉTAPE 4 Sélectionnez l'interface. Si une adresse IP a été attribuée à l'interface, celle-ci est affichée.
ÉTAPE 5 Cliquez sur Appliquer pour mettre à jour le fichier de Configuration d'exécution.
REMARQUE
Cliquez sur Supprimer pour désactiver Bonjour sur une interface (le système effectue alors la
suppression sans réaliser d'autres opérations, telles qu'Appliquer).
LLDP et CDP
LLDP (Link Layer Discovery Protocol) et CDP (Cisco Discovery Protocol) sont des
protocoles de couche de liaison permettant aux voisins LLDP et CDP à connexion directe de
s'annoncer et de notifier leurs fonctionnalités. Par défaut, le périphérique envoie régulièrement
une annonce LLDP/CDP à toutes ses interfaces, puis traite les paquets LLDP et CDP entrants
conformément aux exigences des protocoles. Dans LLDP et CDP, les annonces sont codées en
TLV (Type, Longueur, Valeur) dans le paquet.
138
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
LLDP et CDP
Les remarques de configuration CDP/LLDP suivantes s'appliquent :
REMARQUE
•
CDP/LLDP peut être activé ou désactivé globalement, ou pour chaque port. La
fonctionnalité CDP/LLDP d'un port ne s'applique que si CDP/LLDP est globalement
activé.
•
Si CDP/LLDP est globalement activé, le périphérique élimine les paquets CDP/LLDP
entrants provenant des ports où CDP/LLDP est désactivé.
•
Si CDP/LLDP est globalement désactivé, le périphérique peut être configuré pour
ignorer l'inondation tenant compte du VLAN, ou l'inondation ne tenant pas compte du
VLAN, de tous les paquets CDP/LLDP entrants. L'inondation tenant compte du VLAN
transmet un paquet CDP/LLDP entrant au VLAN où le paquet est reçu, mais pas au
port d'entrée. L'inondation ne tenant pas compte du VLAN transmet un paquet CDP/
LLDP entrant à tous les ports, sauf au port d'entrée. Par défaut, le système élimine les
paquets CDP/LLDP lorsque CDP/LLDP est désactivé au niveau global. Vous pouvez
configurer l'élimination/l'inondation des paquets CDP et LLDP entrants
respectivement sur les pages Propriétés CDP et Propriétés LLDP.
•
La fonction Port intelligent automatique requiert l'activation de CDP et/ou LLDP. La
fonction Port intelligent automatique configure automatiquement une interface basée
sur l'annonce CDP/LLDP reçue de l'interface.
•
Les périphériques d'extrémité CDP et LLDP, tels que les téléphones IP, apprennent la
configuration VLAN voix des annonces CDP et LLDP. Par défaut, le périphérique est
activé pour envoyer une annonce CDP et LLDP basée sur le VLAN voix qui est
configuré sur le périphérique. Pour plus d'informations, reportez-vous à la section
VLAN voix.
CDP/LLDP ne peut pas détecter si un port se trouve dans un LAG. Si un LAG contient plusieurs
ports, CDP/LLDP transmet les paquets sur chaque port sans tenir compte de l'appartenance des
ports à un LAG.
Le fonctionnement du CDP/LLDP est indépendant de l'état STP d'une interface.
Si le contrôle d'accès au port 802.1x est activé sur une interface, le périphérique transmet les
paquets CDP/LLDP à l'interface, et les reçoit de cette dernière, uniquement si l'interface est
authentifiée et autorisée.
Si un port est la cible de la mise en miroir, CDP/LLDP le considère inactif.
REMARQUE
CDP et LLDP sont des protocoles de couche de liaison permettant aux périphériques CDP/
LLDP à connexion directe de s'annoncer et de notifier mutuellement leurs fonctionnalités. Dans
les déploiements où les périphériques prenant en charge CDP/LLDP ne sont pas directement
connectés et sont séparés des périphériques ne prenant pas en charge CDP/LLDP, les
périphériques prenant en charge CDP/LLDP ne peuvent recevoir l'annonce des autres
périphériques que si les périphériques ne prenant pas en charge CDP/LLDP transmettent les
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
139
9
Administration : Détection
Détection - LLDP
paquets CDP/LLDP qu'ils reçoivent. Si les périphériques ne prenant pas en charge CDP/LLDP
effectuent une inondation tenant compte du VLAN, les périphériques prenant en charge CDP/
LLDP ne peuvent s'entendre mutuellement que s'ils se trouvent sur le même VLAN. Un
périphérique prenant en charge CDP/LLDP peut recevoir une annonce de plusieurs
périphériques si les périphériques ne prenant pas en charge CDP/LLDP transmettent les paquets
CDP/LLDP.
Détection - LLDP
Cette section explique comment configurer LLDP. Elle couvre les rubriques suivantes :
•
Présentation de LLDP
•
Flux de travail de configuration de LLDP
•
Propriétés LLDP
•
Paramètres des ports
•
Stratégie réseau LLDP MED
•
Paramètres des ports LLDP MED
•
État des ports LLDP
•
Informations locales LLDP
•
Informations de voisinage LLDP
•
Statistiques LLDP
•
Surcharge LLDP
Présentation de LLDP
Le protocole LLDP permet aux gestionnaires de réseaux d'effectuer des dépannages et
d'améliorer la gestion du réseau dans des environnements multifournisseurs. LLDP normalise
les méthodes permettant aux périphériques réseau de s'annoncer auprès des autres systèmes et
de stocker les informations détectées.
LLDP permet à un périphérique d'annoncer son identificateur, sa configuration et ses fonctions
auprès de périphériques voisins qui peuvent alors stocker ces données dans un fichier MIB
(Management Information Base, base d'informations de gestion). Le système de gestion réseau
modélise la topologie du réseau en interrogeant ces bases de données MIB.
140
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
LLDP est un protocole de couche de liaison. Par défaut, le périphérique arrête et traite tous les
paquets LLDP entrants conformément aux exigences du protocole.
Le protocole LLDP possède une extension appelée LLDP Media Endpoint Discovery (LLDP
MED, détection d'extrémité de média), qui fournit et accepte des informations émanant de
périphériques d'extrémité de média, tels que les téléphones VoIP et les téléphones vidéo. Pour
plus d'informations sur LLDP-MED, reportez-vous à Stratégie réseau LLDP MED.
Flux de travail de configuration de LLDP
Voici des exemples d'actions qu'il est possible de réaliser avec la fonction LLDP, dans l'ordre
suggéré. Pour obtenir des instructions supplémentaires sur la configuration de LLDP, reportezvous à la section LLDP/CDP. Les pages de configuration LLDP sont accessibles à la section
LLDP et CDP.
1. Saisissez les paramètres globaux LLDP tels que l'intervalle de temps pour l'envoi des mises
à jour LLDP, via la page Propriétés LLDP.
2. Configurez LLDP pour chaque port à l'aide de la page Paramètres des ports. Sur cette page,
vous pouvez configurer les interfaces pour recevoir/transmettre des PDU LLDP, envoyer
des notifications SNMP, spécifier les TLV à annoncer, mais aussi annoncer l'adresse de
gestion du périphérique.
3. Créez des stratégies réseau LLDP MED à l'aide de la page Stratégie réseau LLDP MED.
4. Associez les stratégies réseau LLDP MED et les TLV LLDP-MED facultatives aux
interfaces souhaitées, à l'aide de la page Paramètres des ports LLDP MED.
5. Si la fonction Auto Smartport (Port intelligent automatique) doit détecter les fonctionnalités
des périphériques LLDP, activez LLDP sur la page Propriétés.
6. Affichez les informations de surcharge à l'aide de la page Surcharge LLDP.
Propriétés LLDP
La page Propriétés permet de saisir les paramètres LLDP généraux, comme l'activation/la
désactivation globale de cette fonction et la définition d'horloges.
Pour saisir des propriétés LLDP :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Propriétés.
ÉTAPE 2 Saisissez les paramètres.
•
État LLDP : sélectionnez cette option pour activer LLDP sur le périphérique (activée
par défaut).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
141
9
Administration : Détection
Détection - LLDP
•
Traitement des trames LLDP : si LLDP n'est pas activé, sélectionnez l'action à
réaliser en cas de réception d'un paquet correspondant aux critères sélectionnés :
-
Filtrage : supprime le paquet.
-
Inondation : transfère le paquet à tous les membres du VLAN.
•
Intervalle d'annonce TLV : définissez, en nombre de secondes, la fréquence d'envoi
des mises à jour des annonces LLDP ou utilisez la valeur par défaut.
•
Intervalle de notification SNMP de changement de topologie : saisissez le délai
minimal entre deux notifications SNMP.
•
Multiplicateur de conservation : saisissez la durée de conservation des paquets LLDP
avant leur élimination, en multiples de l'intervalle d'annonce TLV. Par exemple, si
l'intervalle d'annonce TLV est de 30 secondes et que le multiplicateur de conservation
(Hold Multiplier) est 4, les paquets LLDP seront supprimés après 120 secondes.
•
Délai de réinitialisation : saisissez l'intervalle en secondes qui sépare la désactivation
et la réactivation de LLDP, suite à un cycle d'activation ou de désactivation de LLDP.
•
Délai de transmission : saisissez le délai en secondes qui séparera deux transmissions
de trames LLDP successives en cas de modification dans la MIB de systèmes
locaux LLDP.
•
Notification d'ID de châssis : sélectionnez l'une des options suivantes pour une
notification dans les messages LLDP :
-
Adresse MAC : spécifiez l'adresse MAC du périphérique.
-
Nom d'hôte : spécifiez le nom d'hôte de ce périphérique.
ÉTAPE 3 Dans le champ LED-MED Properties Fast Start Repeat Count (Nombre de répétitions pour
le démarrage rapide des propriétés LED-MED), saisissez le nombre d'envois de paquets LLDP
lors de l'initialisation du mécanisme de démarrage rapide LLDP MED. Cela se produit
lorsqu'un nouveau périphérique d'extrémité établit une liaison au périphérique. Pour consulter
la description de LLDP MED, reportez-vous à la section Stratégie réseau LLDP MED.
ÉTAPE 4 Cliquez sur Appliquer. Les propriétés LLDP sont ajoutées au fichier de Configuration
d'exécution.
142
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
Paramètres des ports
La page LLDP Port Settings (Paramètres des ports LLDP) vous permet d'activer LLDP et la
notification SNMP pour chaque port, et de saisir les TLV envoyées dans la PDU LLDP.
Vous pouvez sélectionner les TLV LLDP-MED à annoncer sur la page Paramètres des ports
LLDP MED et configurer la TLV d'adresse de gestion du périphérique.
Pour définir les paramètres des ports LLDP :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Paramètres des ports.
Cette page affiche les informations LLDP des ports.
ÉTAPE 2 Sélectionnez un port, puis cliquez sur Modifier.
Cette page contient les champs suivants :
•
Interface : sélectionnez le port à modifier .
•
Administrative Status : sélectionnez l'option de publication LLDP pour le port. Les
valeurs disponibles sont les suivantes :
•
-
Émission uniquement : publication uniquement, pas de détection.
-
Rx Only : détection uniquement, pas de publication.
-
Tx & Rx : publication et détection.
-
Désactiver : indique que LLDP est désactivé sur le port.
Notification SNMP : sélectionnez Activer pour envoyer des notifications aux
destinataires de notifications SNMP (système de gestion SNMP, par exemple) en cas de
modification de la topologie.
L'intervalle entre deux notifications est défini dans le champ Topology Change SNMP
Notification Interval (Intervalle de notification SNMP de changement de topologie) de
la page Propriétés LLDP. Définissez les destinataires des notifications SNMP à l'aide
de la page Destinataires de notifications SNMPv1.2.
•
TLV facultatives sélectionnées : sélectionnez les informations que le périphérique doit
publier en déplaçant la TLV voulue depuis la liste TLV facultatives disponibles. Les
TLV disponibles contiennent les informations suivantes :
-
Description du port : informations sur le port, notamment son fabricant, son nom de
produit et la version du matériel/logiciel.
-
Nom du système : nom attribué au système, au format alphanumérique. Cette valeur
est identique à l'objet sysName.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
143
9
Administration : Détection
Détection - LLDP
-
Description du système : description de l'entité réseau, au format alphanumérique.
Inclut le nom du système et la version du matériel, le système d'exploitation et les
logiciels réseau pris en charge par le périphérique. Cette valeur est identique à l'objet
sysDescr.
-
Fonctionnalités du système : fonctions principales du périphérique. L'écran indique
aussi si ces fonctions sont activées sur le périphérique. Les fonctionnalités sont
indiquées par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur,
Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et
Station. Les bits 8 à 15 sont réservés.
-
802.3 MAC-PHY : fonction duplex et débit, avec les paramètres duplex et de débit
actuels du périphérique d'envoi. L'écran indique également si les paramètres actuels
sont obtenus par négociation automatique ou par configuration manuelle.
-
Alimentation 802.3 via MDI : alimentation maximale transmise via MDI.
-
802.3 Link Aggregation : indique s'il est possible d'agréger la liaison (associée au
port sur lequel la PDU LLDP est transmise). L'écran indique également si la liaison
est actuellement agrégée et, le cas échéant, précise l'ID du port agrégé.
-
802.3 Maximum Frame Size : capacité de taille maximale de trame de
l'implémentation MAC/PHY.
-
Alimentation à 4 fils via MDI : (concerne les ports PoE prenant en charge un PoE de
60 watts) TLV conçue par Cisco pour prendre en charge l'alimentation PoE (Power
over Ethernet) qui fournit 60 watts (de série, vous ne bénéficiez que de 30 watts).
TLV facultative d'adresse de gestion
•
•
144
Mode d'annonce : sélectionnez l'une des méthodes suivantes pour l'annonce de
l'adresse IP de gestion au périphérique :
-
Annonce automatique : spécifie que le logiciel choisit automatiquement une adresse
de gestion à annoncer parmi toutes les adresses IP du périphérique. En cas
d'adresses IP multiples, le logiciel choisit l'adresse IP la plus basse parmi les
adresses IP dynamiques. S'il n'y a pas d'adresses dynamiques, le logiciel choisit
l'adresse IP la plus basse parmi les adresses IP statiques.
-
Aucune : aucune annonce de l'adresse IP de gestion.
-
Annonce manuelle : sélectionnez cette option et l'adresse IP de gestion à annoncer.
Adresse IP : si vous avez sélectionné Annonce manuelle, sélectionnez l'adresse de
gestion voulue dans la liste d'adresses IP fournie.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
VLAN et protocole 802.1
•
PVID : sélectionnez cette option pour annoncer le PVID dans la TLV.
•
Port and Protocol VLAN ID : ID VLAN du port et du protocole.
•
ID VLAN : sélectionnez les VLAN qui feront l'objet d'une annonce.
•
ID des protocoles : sélectionnez les protocoles qui feront l'objet d'une annonce.
•
ID des protocoles sélectionnés : sélectionnez les protocoles à utiliser dans la case ID
des protocoles, puis placez-les dans la case ID des protocoles sélectionnés.
ÉTAPE 3 Saisissez les informations voulues et cliquez sur Appliquer. Les paramètres des ports sont
écrits dans le fichier de Configuration d'exécution.
Stratégie réseau LLDP MED
LLDP Media Endpoint Discovery (LLDP MED) est une extension de LLDP qui fournit les
fonctionnalités supplémentaires suivantes pour la prise en charge des périphériques
d'extrémité de média.
•
Permet l'annonce et la découverte des stratégies réseau pour les applications en temps
réel telles que la voix et/ou la vidéo.
•
Elle détecte l'emplacement des périphériques afin de permettre la création de bases de
données d'emplacements. Dans le cas du protocole VoIP (voix sur IP), elle permet
également l'accès aux services d'urgence (E-911 aux États-Unis) à l'aide des
informations de géolocalisation du téléphone IP.
•
Informations de dépannage. LLDP MED envoie des alertes aux gestionnaires de
réseaux concernant les éléments ci-dessous :
-
Conflits de débit de port et de mode duplex
-
Erreurs de configuration des stratégies QoS
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
145
9
Administration : Détection
Détection - LLDP
Configuration d'une stratégie réseau LLDP MED
Une stratégie réseau LLDP MED est un ensemble de paramètres de configuration apparentés,
destiné à une application en temps réel, telle que la voix ou la vidéo. Une stratégie réseau (si
elle est configurée) est incluse dans les paquets LLDP sortants qui sont envoyés vers le
périphérique d'extrémité de média LLDP associé. Le périphérique d'extrémité de média doit
envoyer son trafic comme spécifié dans la stratégie réseau qu'il reçoit. Par exemple, vous
pouvez créer une stratégie pour le trafic VoIP qui demande au téléphone VoIP d'effectuer les
tâches suivantes :
•
Envoyer du trafic voix sur le VLAN 10 en tant que paquet balisé et avec 802.1p
priorité 5
•
Envoyer du trafic voix avec DSCP 46
Vous pouvez associer des stratégies réseau aux ports à l'aide de la page Paramètres des ports
LLDP MED. Un administrateur peut configurer manuellement une ou plusieurs stratégies
réseau, ainsi que les interfaces où les stratégies doivent être envoyées. Il est de la
responsabilité de l'administrateur de créer manuellement les VLAN et leurs appartenances de
port conformément aux stratégies réseau et à leurs interfaces associées.
En outre, l'administrateur peut demander au périphérique de générer et d'annoncer
automatiquement une stratégie réseau pour l'application vocale qui est basée sur le VLAN
voix géré par le périphérique. Pour plus d'informations sur la façon dont le périphérique gère
son VLAN voix, reportez-vous à la section VLAN voix automatique.
Pour définir une stratégie réseau LLDP MED :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Stratégie réseau LLDP MED.
Cette page contient les stratégies réseau précédemment créées.
ÉTAPE 2 Sélectionnez Auto pour la stratégie réseau LLDP MED de l'application vocale si le
périphérique doit générer et annoncer automatiquement une stratégie réseau pour l'application
vocale qui est basée sur le VLAN voix géré par le périphérique.
REMARQUE Si cette case est cochée, vous ne pouvez pas configurer manuellement une
stratégie réseau de voix.
ÉTAPE 3 Cliquez sur Appliquer pour ajouter ce paramètre au fichier de Configuration d'exécution.
ÉTAPE 4 Pour définir une nouvelle stratégie, cliquez sur Ajouter.
ÉTAPE 5 Saisissez les valeurs appropriées :
•
146
Network Policy Number : sélectionnez le numéro de la stratégie à créer.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
•
Application : sélectionnez le type d'application (type de trafic) pour lequel vous
définissez la stratégie réseau.
•
ID VLAN : saisissez l'ID du VLAN auquel le trafic doit être envoyé.
•
Type VLAN : indiquez si le trafic doit être balisé ou non.
•
User Priority : sélectionnez le niveau de priorité qui sera accordé au trafic défini par
cette stratégie réseau. Il s'agit de la valeur CoS.
•
DSCP Value : sélectionnez la valeur DSCP à associer aux données d'application
envoyées par les voisins. Cette valeur leur indique la façon dont ils doivent marquer le
trafic des applications qu'ils envoient au périphérique.
ÉTAPE 6 Cliquez sur Appliquer. La stratégie réseau est définie.
REMARQUE Vous devez configurer manuellement les interfaces, afin d'inclure les
stratégies réseau définies manuellement pour les paquets LLDP sortants, via la page
Paramètres des ports LLDP-MED.
Paramètres des ports LLDP MED
La page Paramètres des ports LLDP-MED permet de sélectionner les TLV LLDP-MED et/ou
les stratégies réseau à inclure dans l'annonce LLDP sortante pour les interfaces souhaitées.
Vous pouvez configurer les stratégies réseau sur la page Stratégie réseau LLDP MED.
REMARQUE
Si la stratégie réseau LLDP-MED pour l'application vocale (page Stratégie réseau LLDP MED)
est définie sur Auto (Automatique) et que le VLAN voix automatique fonctionne, le
périphérique génère automatiquement une stratégie réseau LLDP-MED pour l'application
vocale, pour tous les ports qui sont activés pour LLDP-MED et membres du VLAN voix.
Pour configurer LLDP MED sur chaque port :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Paramètres des ports LLDP MED.
Cette page affiche les paramètres LLDP MED suivants pour tous les ports (seuls les champs
qui ne sont pas décrits sur la page Modifier sont répertoriés) :
•
Stratégie réseau définie par l'utilisateur : stratégies définies pour les types de trafic
(appelées applications). Vous utilisez pour ce faire la Stratégie réseau LLDP MED.
Dans ce cas, les informations suivantes sont affichées pour la stratégie sur le port :
-
Actif : le type de trafic actif sur le port.
-
Application : le type de trafic pour lequel la stratégie est définie.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
147
9
Administration : Détection
Détection - LLDP
•
Lieu : indique si la TLV de lieu est transmise.
•
PoE : indique si la TLV PoE-PSE est transmise.
•
Inventaire : indique si la TLV d'inventaire est transmise.
ÉTAPE 2 Le message affiché en haut de la page indique si la génération de la stratégie réseau LLDP
MED pour l'application vocale est automatique (reportez-vous à la section Présentation de
LLDP). Cliquez sur le lien pour changer de mode.
ÉTAPE 3 Pour associer une TLV LLDP MED supplémentaire et/ou une ou plusieurs stratégies réseau
LLDP MED définies par l'utilisateur à un port, sélectionnez-la, puis cliquez sur Modifier.
ÉTAPE 4 Configurez les paramètres suivants :
•
Interface : sélectionnez l'interface à configurer.
•
État LLDP MED : activez/désactivez LLDP MED sur ce port.
•
Notification SNMP : indiquez si la notification SNMP doit être envoyée, port par port,
lorsqu'une station de travail prenant en charge MED est détectée (un système de
gestion SNMP, par exemple), lors d'un changement de topologie.
•
TLV facultatives sélectionnées : sélectionnez les TLV que le périphérique peut publier
en les déplaçant de la liste TLV facultatives disponibles vers la liste TLV facultatives
sélectionnées.
•
Selected Network Policies (Stratégies réseau disponibles) : sélectionnez les stratégies
LLPD MED que LLDP va publier en les déplaçant de la liste Available Network
Policies (Stratégies réseau disponibles) vers la liste Selected Network Policies
(Stratégies réseau sélectionnées). Vous les aviez précédemment créées sur la page
Stratégie réseau LLDP MED. Pour inclure une ou plusieurs stratégies réseau définies
par l'utilisateur dans l'annonce, vous devez aussi sélectionner Stratégie réseau dans les
TLV facultatives disponibles.
REMARQUE Vous devez remplir les champs suivants, au format hexadécimal, en
respectant exactement le format de données défini dans la norme LLDP MED (ANSITIA-1057_final_for_publication.pdf) :
148
-
Location Coordinate : saisissez les coordonnées de l'emplacement que LLDP
devra publier.
-
Adresse physique de l'emplacement : saisissez l'adresse de l'emplacement que
LLDP devra publier.
-
Emplacement ECS ELIN : saisissez l'emplacement ECS (Emergency Call Service,
service d'appel d'urgence) ELIN que LLDP devra publier.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres des ports LLDP MED sont écrits dans le fichier de
Configuration d'exécution.
État des ports LLDP
La page LLDP Port Status (État des ports LLDP) contient des informations globales LLDP
pour chaque port.
ÉTAPE 1 Pour afficher l'état des ports LLDP, cliquez sur Administration > Détection - LLDP > État
des ports LLDP.
Les informations concernant tous les ports s'affichent.
ÉTAPE 2 Sélectionnez un port spécifique, puis cliquez sur LLDP Local Information Detail (Détails
sur les informations locales LLDP) pour consulter le détail des TLV LLDP et LLDP MED
envoyées au port.
ÉTAPE 3 Sélectionnez un port spécifique, puis cliquez sur Détails sur les informations de voisinage
LLDP pour consulter les informations relatives aux TLV LLDP et LLDP MED reçues du port.
•
Informations globales d'état des ports LLDP
•
Sous-type de l'ID du châssis : type d'ID de châssis (adresse MAC, par exemple).
•
Chassis ID : identificateur du châssis. Si vous avez choisi l'adresse MAC comme soustype d'ID de châssis, l'adresse MAC du périphérique s'affiche.
•
Nom du système : nom du périphérique.
•
Description du système : description du périphérique, au format alphanumérique.
•
Supported System Capabilities : fonctions principales du périphérique telles que
Bridge (pont), WLAN AP (point d'accès WLAN) ou Router (routeur).
•
Fonctionnalités système activées : fonctions principales activées sur le périphérique.
•
Port ID Subtype : type d'ID de port affiché.
•
Table d'état des ports LLDP
•
Interface : identificateur de port.
•
État LLDP : option de publication LLDP.
•
État LLDP MED : indique si la fonction est activée ou désactivée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
149
9
Administration : Détection
Détection - LLDP
•
Local PoE (Power Type, Power Source, Power Priority, Power Value) (PoE local
[Type d'alimentation, Source d'alimentation, Priorité d'alimentation]) : informations
PoE locales annoncées.
•
Remote PoE (Power Type, Power Source, Power Priority, Power Value) (PoE
distant [Type d'alimentation, Source d'alimentation, Priorité d'alimentation]) :
informations PoE annoncées par le voisin.
•
# of neighbors : nombre de voisins détectés.
•
Fonctionnalités de voisinage du 1er périphérique : affiche les fonctions principales
du voisin, par exemple : pont ou routeur.
Informations locales LLDP
Pour afficher l'état LLDP de port local annoncé sur un port :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Informations locales LLDP.
ÉTAPE 2 Sélectionnez l'interface pour laquelle les informations locales LLDP doivent être affichées.
Cette page contient les champs suivants pour l'interface sélectionnée :
Global
150
•
Sous-type de l'ID du châssis : type d'ID de châssis. (Par exemple, l'adresse MAC.)
•
Chassis ID : identificateur du châssis. Si vous avez choisi l'adresse MAC comme soustype d'ID de châssis, l'adresse MAC du périphérique s'affiche.
•
Nom du système : nom du périphérique.
•
Description du système : description du périphérique, au format alphanumérique.
•
Supported System Capabilities : fonctions principales du périphérique telles que
Bridge (pont), WLAN AP (point d'accès WLAN) ou Router (routeur).
•
Fonctionnalités système activées : fonctions principales activées sur le périphérique.
•
Port ID Subtype : type d'ID de port affiché.
•
Port ID : identificateur du port.
•
Description du port : informations sur le port, notamment son fabricant, son nom de
produit et la version du matériel/logiciel.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
Management Address (adresse de gestion)
Affiche la table d'adresses de l'agent LLDP local. D'autres gestionnaires distants peuvent
utiliser cette adresse pour obtenir des informations sur le périphérique local. Cette adresse est
constituée des éléments suivants :
•
Adresse IPv4 : adresse IPv4 renvoyée qui convient le mieux pour la gestion.
•
Adresse IPv6 globale : adresse IPv6 globale renvoyée qui convient le mieux pour la
gestion.
•
Adresse IPv6 liaison locale : adresse IPv6 liaison locale renvoyée qui convient le
mieux pour la gestion.
MAC/PHY Details (informations MAC/PHY)
•
Auto-Negotiation Supported : état de prise en charge de la négociation automatique
du débit de port.
•
Auto-Negotiation Enabled : état d'activation de la négociation automatique du débit de
port.
•
Fonctionnalités annoncées de négociation automatique : fonctions de négociation
automatique du débit de port. Exemples : mode half-duplex 1000BASE-T ou mode full
duplex 100BASE-TX.
•
Operational MAU Type : type de MAU (unité de raccordement de supports). La MAU
gère les fonctions de couche physique, notamment la conversion des données
numériques à partir de la détection de collision des interfaces Ethernet et l'injection de
bits dans le réseau. Exemple : mode full duplex 100BASE-TX.
802.3 Details (informations relatives à 802.3)
•
802.3 Maximum Frame Size : taille maximale de trame IEEE 802.3 prise en charge.
802.3 Link Aggregation (agrégation de liaisons 802.3)
•
Aggregation Capability : indique si l'interface peut faire l'objet d'une agrégation.
•
Aggregation Status : indique si l'interface est agrégée.
•
ID du port d'agrégation : ID d'interface agrégée annoncé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
151
9
Administration : Détection
Détection - LLDP
Alimentation 802.3 via MDI
•
Classe de port de prise en charge de l'alimentation MDI : classe de port annoncée
pour la prise en charge de l'alimentation.
•
Prise en charge de l'alimentation MDI PSE : indique si l'alimentation MDI est prise
en charge sur le port.
•
État de l'alimentation MDI PSE : indique si l'alimentation MDI est activée sur le port.
•
Capacité de contrôle des paires d'alimentation PSE : indique si le contrôle des paires
d'alimentation est pris en charge sur le port.
•
Paire d'alimentation PSE : type de contrôle des paires d'alimentation pris en charge
sur le port.
•
Classe d'alimentation PSE : classe de port annoncée pour l'alimentation.
•
Type d'alimentation : type d'appareil alimenté connecté au port.
•
Source d'alimentation : source d'alimentation du port.
•
Priorité d'alimentation : priorité d'alimentation du port.
•
Valeur d'alimentation exigée par l'appareil alimenté : quantité d'énergie allouée par
le PSE à l'appareil alimenté.
•
Valeur d'alimentation allouée au PSE : quantité d'énergie allouée à l'équipement
source d'alimentation (PSE).
802.3 Energy Efficient Ethernet (EEE) (si le périphérique prend en charge EEE)
152
•
Émission locale : durée (en microsecondes) pendant laquelle le partenaire de liaison
effectuant la transmission attend avant de commencer la transmission des données après
avoir quitté le mode LPI (Low Power Idle).
•
Réception locale : durée (en microsecondes) pendant laquelle le partenaire de liaison
effectuant la réception demande au partenaire de liaison effectuant la transmission
d'attendre avant de transmettre les données après avoir quitté le mode LPI (Low Power
Idle).
•
Écho d'émission à distance : indique la réflexion du partenaire de liaison locale pour
la valeur d'émission du partenaire de liaison distante.
•
Écho de réception à distance : indique la réflexion du partenaire de liaison locale pour
la valeur de réception du partenaire de liaison distante.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
Alimentation à 4 fils via MDI
•
Prise en charge de PoE à 4 paires : indique que le système et le port prennent en
charge les câbles à 4 paires (uniquement pour les ports spécifiques qui disposent de cette
capacité matérielle).
•
Détection des paires de rechange/Classification requise : indique qu'un câble à
4 paires est nécessaire.
•
État voulu de la paire de rechange de l'appareil alimenté : indique qu'un appareil
alimenté demande à activer la fonctionnalité 4 paires.
•
État opérationnel de la paire de rechange de l'appareil alimenté : indique si la
fonctionnalité 4 paires est activée ou désactivée.
MED Details (informations MED)
•
Fonctionnalités prises en charge : fonctions MED prises en charge sur le port.
•
Fonctionnalités actuelles : fonctions MED activées sur le port.
•
Classe de périphérique : classe du périphérique d'extrémité LLDP MED. Les classes
disponibles sont les suivantes :
-
Classe d'extrémité 1 : classe d'extrémité générique offrant des services LLDP de
base.
-
Classe d'extrémité 2 : classe d'extrémité de média offrant des services de lecture
multimédia en continu, en plus des services de classe 1.
-
Classe d'extrémité 3 : classe de périphérique de communications offrant tous les
services de classe 1 et de classe 2 ainsi que des fonctions de reconnaissance de
l'emplacement, d'appel d'urgence, de prise en charge des périphériques de Couche 2
et de gestion des informations de périphérique.
•
Type de périphérique PoE : type PoE du port, par exemple : appareil alimenté.
•
Source d'alimentation PoE : source d'alimentation du port.
•
Priorité d'alimentation PoE : priorité d'alimentation du port.
•
Valeur d'alimentation PoE : valeur d'alimentation du port.
•
Hardware Revision : version du matériel.
•
Firmware Revision : version du microprogramme.
•
Software Revision : version du logiciel.
•
Serial Number : numéro de série du périphérique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
153
9
Administration : Détection
Détection - LLDP
•
Manufacturer Name : nom du fabricant du périphérique.
•
Model Name : nom du modèle de périphérique.
•
Asset ID : ID de la ressource.
Location Information (informations sur l'emplacement)
•
Physique : adresse postale.
•
Coordonnées : coordonnées géographiques de l'emplacement : latitude, longitude et
altitude.
•
ECS ELIN : numéro ELIN (Emergency Location Identification Number, numéro
d'identification de l'emplacement en cas d'urgence) pour l'ECS (Emergency Call
Service, service d'appel d'urgence).
Network Policy Table (table des stratégies réseau)
•
Type d'application : type d'application de la stratégie réseau. Exemple : Voix.
•
VLAN ID : ID du VLAN pour lequel la stratégie réseau est définie.
•
Type de VLAN : type de VLAN pour lequel la stratégie réseau est définie. Ce champ
peut prendre les valeurs suivantes :
-
Tagged : indique que la stratégie réseau est définie pour les VLAN balisés.
-
Untagged : indique que la stratégie réseau est définie pour les VLAN non balisés.
•
Priorité d'utilisateur : priorité d'utilisateur de la stratégie réseau.
•
DSCP : DSCP de la stratégie réseau.
ÉTAPE 3 En bas de la page, cliquez sur Table d'état des ports LLDP pour voir les détails dans la Table
d'état des ports LLDP (consultez la section Paramètres des ports).
Informations de voisinage LLDP
La page Informations de voisinage LLDP contient les informations reçues des périphériques
voisins.
Après une temporisation (basée sur la valeur reçue du paramètre de durée de vie du voisin,
durée au cours de laquelle aucune PDU LLDP n'a été reçue d'un voisin), les informations sont
supprimées.
154
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
Pour afficher les informations LLDP des voisins :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Informations de voisinage LLDP.
ÉTAPE 2 Sélectionnez l'interface pour laquelle les informations de voisinage LLDP doivent être
affichées.
Cette page contient les champs suivants pour l'interface sélectionnée :
•
Local Port : numéro du port local auquel le voisin est connecté.
•
Sous-type de l'ID du châssis : type d'ID de châssis (adresse MAC, par exemple).
•
Chassis ID : identificateur du châssis du périphérique de voisinage réseau (LAN) 802.
•
Port ID Subtype : type d'ID de port affiché.
•
Port ID : identificateur du port.
•
Nom du système : nom publié du périphérique.
•
Time to Live : durée en secondes à l'issue de laquelle les informations concernant ce
voisin sont supprimées.
ÉTAPE 3 Sélectionnez un port local puis cliquez sur Détails.
La page Informations de voisinage LLDP comporte les champs suivants :
Détails du port
•
Port local : numéro du port.
•
Entrée MSAP : numéro d'entrée MSAP (Media Service Access Point, point d'accès de
service multimédia) du périphérique.
Détails de base
•
Sous-type de l'ID du châssis : type d'ID de châssis (adresse MAC, par exemple).
•
ID du châssis : identifiant du châssis du périphérique de voisinage réseau (LAN) 802.
•
Port ID Subtype : type d'ID de port affiché.
•
Port ID : identificateur du port.
•
Description du port : informations sur le port, notamment son fabricant, son nom de
produit et la version du matériel/logiciel.
•
Nom du système : nom du système publié.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
155
9
Administration : Détection
Détection - LLDP
•
Description du système : description de l'entité réseau, au format alphanumérique.
Inclut le nom du système et la version du matériel, le système d'exploitation et les
logiciels réseau pris en charge par le périphérique. Cette valeur est identique à l'objet
sysDescr.
•
Fonctionnalités système prises en charge : fonctions principales du périphérique. Les
fonctionnalités sont indiquées par deux octets. Les bits 0 à 7 indiquent respectivement
Autres, Répéteur, Pont, Point d'accès WLAN, Routeur, Téléphone, Système de câble
DOCSIS et Station. Les bits 8 à 15 sont réservés.
•
Fonctionnalités système activées : fonctions principales activées sur le périphérique.
Table des adresses de gestion
•
Sous-type de l'adresse : sous-type d'adresse gérée. Exemple : MAC ou IPv4.
•
Adresse : adresse gérée.
•
Sous-type de l'interface : sous-type de port.
•
Numéro de l'interface : numéro de port.
MAC/PHY Details (informations MAC/PHY)
•
Auto-Negotiation Supported : état de prise en charge de la négociation automatique
du débit de port. Les valeurs admises sont Vrai et Faux.
•
Auto-Negotiation Enabled : état d'activation de la négociation automatique du débit de
port. Les valeurs admises sont Vrai et Faux.
•
Fonctionnalités annoncées de négociation automatique : fonctions de négociation
automatique du débit de port. Exemples : mode half-duplex 1000BASE-T ou mode full
duplex 100BASE-TX.
•
Operational MAU Type : type de MAU (unité de raccordement de supports). La MAU
gère les fonctions de couche physique, notamment la conversion des données
numériques à partir de la détection de collision des interfaces Ethernet et l'injection de
bits dans le réseau. Exemple : mode full duplex 100BASE-TX.
Alimentation 802.3 via MDI
156
•
Classe de port de prise en charge de l'alimentation MDI : classe de port annoncée
pour la prise en charge de l'alimentation.
•
Prise en charge de l'alimentation MDI PSE : indique si l'alimentation MDI est prise
en charge sur le port.
•
État de l'alimentation MDI PSE : indique si l'alimentation MDI est activée sur le port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
•
Capacité de contrôle des paires d'alimentation PSE : indique si le contrôle des paires
d'alimentation est pris en charge sur le port.
•
Paire d'alimentation PSE : type de contrôle des paires d'alimentation pris en charge
sur le port.
•
Classe d'alimentation PSE : classe de port annoncée pour l'alimentation.
•
Type d'alimentation : type d'appareil alimenté connecté au port.
•
Source d'alimentation : source d'alimentation du port.
•
Priorité d'alimentation : priorité d'alimentation du port.
•
Valeur d'alimentation exigée par l'appareil alimenté : quantité d'énergie demandée
par l'appareil alimenté.
•
Valeur d'alimentation allouée par le PSE : quantité d'énergie allouée par le PSE à
l'appareil alimenté.
Alimentation à 4 fils via MDI
•
Prise en charge de PoE à 4 paires : indique que le système et le port prennent en
charge les câbles à 4 paires (uniquement pour les ports spécifiques qui disposent de cette
capacité matérielle).
•
Détection des paires de rechange/Classification requise : indique qu'un câble à
4 paires est nécessaire.
•
État voulu de la paire de rechange de l'appareil alimenté : indique qu'un appareil
alimenté demande à activer la fonctionnalité 4 paires.
•
État opérationnel de la paire de rechange de l'appareil alimenté : indique si la
fonctionnalité 4 paires est activée ou désactivée.
802.3 Details (informations relatives à 802.3)
•
Taille de trame maximale 802.3 : taille maximale de trame annoncée comme possible
sur le port.
802.3 Link Aggregation (agrégation de liaisons 802.3)
•
Capacité d'agrégation : indique si le port peut faire l'objet d'une agrégation.
•
État de l'agrégation : indique si le port est actuellement agrégé.
•
ID du port d'agrégation : ID du port agrégé annoncé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
157
9
Administration : Détection
Détection - LLDP
802.3 Energy Efficient Ethernet (EEE)
•
Émission à distance : durée (en microsecondes) pendant laquelle le partenaire de
liaison effectuant la transmission attend avant de commencer la transmission des
données après avoir quitté le mode LPI (Low Power Idle).
•
Réception à distance : durée (en microsecondes) pendant laquelle le partenaire de
liaison effectuant la réception demande au partenaire de liaison effectuant la
transmission d'attendre avant de transmettre les données après avoir quitté le mode LPI
(Low Power Idle).
•
Écho d'émission local : indique la réflexion du partenaire de liaison locale pour la
valeur d'émission du partenaire de liaison distante.
•
Écho de réception local : indique la réflexion du partenaire de liaison locale pour la
valeur de réception du partenaire de liaison distante.
MED Details (informations MED)
158
•
Fonctionnalités prises en charge : fonctions MED activées sur le port.
•
Fonctionnalités actuelles : TLV MED annoncées par le port.
•
Classe de périphérique : classe du périphérique d'extrémité LLDP MED. Les classes
disponibles sont les suivantes :
-
Classe de point de terminaison 1 : indique une classe de point de terminaison
générique offrant des services LLDP de base.
-
Classe de point de terminaison 2 : indique une classe de point de terminaison de
média offrant des services de lecture multimédia en continu, en plus des services de
classe 1.
-
Classe de point de terminaison 3 : indique une classe de périphérique de
communications offrant tous les services de classe 1 et de classe 2, ainsi que des
fonctions de reconnaissance de l'emplacement, d'appel d'urgence, de prise en charge
des commutateurs Layer 2 et de gestion des informations de périphérique.
•
Type de périphérique PoE : type PoE du port, par exemple : appareil alimenté/PSE.
•
Source d'alimentation PoE : source d'alimentation du port.
•
Priorité d'alimentation PoE : priorité d'alimentation du port.
•
Valeur d'alimentation PoE : valeur d'alimentation du port.
•
Révision du matériel : version du matériel.
•
Firmware Revision : version du microprogramme.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
•
Software Revision : version du logiciel.
•
Serial Number : numéro de série du périphérique.
•
Manufacturer Name : nom du fabricant du périphérique.
•
Model Name : nom du modèle de périphérique.
•
Asset ID : ID de la ressource.
VLAN et protocole 802.1
•
PVID : ID VLAN annoncé pour le port.
PPVID
Table PPVID
•
VID : ID VLAN du protocole.
•
Pris en charge : ID VLAN de port et de protocole pris en charge.
•
Activés : ID VLAN de port et de protocole activés.
ID VLAN
Table des ID VLAN
•
VID : ID VLAN du port et du protocole.
•
Nom du VLAN : noms des VLAN annoncés.
Table des ID de protocole
•
ID des protocoles : ID des protocoles annoncés.
Location Information (informations sur l'emplacement)
Saisissez les structures de données suivantes au format hexadécimal, conformément à la
section 10.2.4 de la norme ANSI-TIA-1057 :
•
Physique : adresse physique ou postale.
•
Coordonnées : coordonnées géographiques de l'emplacement : latitude, longitude et
altitude.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
159
9
Administration : Détection
Détection - LLDP
•
ECS ELIN : numéro ELIN (Emergency Location Identification Number, numéro
d'identification de l'emplacement en cas d'urgence) du périphérique pour l'ECS
(Emergency Call Service, service d'appel d'urgence).
•
Inconnu : informations d'emplacement inconnues.
Network Policy Table (table des stratégies réseau)
•
Type d'application : type d'application de la stratégie réseau. Exemple : Voix.
•
VLAN ID : ID du VLAN pour lequel la stratégie réseau est définie.
•
Type VLAN : type de VLAN pour lequel la stratégie réseau est définie, à savoir avec
ou sans balise.
•
User Priority : priorité d'utilisateur de la stratégie réseau.
•
DSCP : DSCP de la stratégie réseau.
ÉTAPE 4 Sélectionnez un port et cliquez sur Table d'état des ports LLDP pour voir les détails dans la
Table d'état des ports LLDP.
Statistiques LLDP
La page Statistiques LLDP affiche des informations statistiques concernant LLDP pour
chaque port.
Pour afficher les statistiques LLDP :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Statistiques LLDP.
Pour chaque port, les champs suivants sont affichés :
160
•
Interface : identificateur de l'interface .
•
Trames émises (total) : nombre de trames transmises.
•
Trames reçues
-
Total : nombre des trames reçues.
-
Éliminé : nombre des trames reçues qui ont été éliminées.
-
Erreurs : nombre total des trames reçues comportant des erreurs.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - LLDP
•
•
TLV reçues
-
Éliminée : nombre de TLV reçues qui ont été éliminées.
-
Non reconnue : nombre de TLV reçues non reconnues.
Nombre de suppressions d'informations du voisin : nombre d'expirations du délai
maximal du voisin sur l'interface.
ÉTAPE 2 Cliquez sur Actualiser pour afficher les statistiques les plus récentes.
Surcharge LLDP
LLDP ajoute des informations telles que des TLV LLDP et LLDP MED dans les paquets
LLDP. La surcharge LLDP se produit lorsque la quantité totale d'informations à inclure dans
un paquet LLDP dépasse la taille PDU maximale prise en charge par une interface.
La page LLDP Overloading (Surcharge LLDP) affiche le nombre d'octets d'informations
LLDP/LLDP-MED, le nombre d'octets disponibles pour les informations LLDP
supplémentaires, ainsi que l'état de surcharge de chaque interface.
Pour afficher les informations de surcharge LLDP :
ÉTAPE 1 Cliquez sur Administration > Détection - LLDP > Surcharge LLDP.
Cette page contient les champs suivants, pour chaque port :
•
Interface : identificateur de port.
•
Octets totaux utilisés : nombre total d'octets d'informations LLDP dans chaque paquet.
•
Available Bytes Left : nombre total d'octets disponibles restants pour des informations
LLDP supplémentaires dans chaque paquet.
•
État : indique si des TLV sont en cours de transmission ou si une surcharge est
intervenue.
ÉTAPE 2 Pour afficher les détails de surcharge d'un port, sélectionnez-le et cliquez sur Détails.
Cette page contient les informations suivantes pour chaque TLV envoyée sur le port :
•
LLDP Mandatory TLVs (TLV LLDP obligatoires)
-
Taille (octets) : taille totale des TLV obligatoires, en octets.
-
État : indique si un groupe de TLV obligatoires est en cours de transmission ou si
une surcharge est intervenue.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
161
9
Administration : Détection
Détection - LLDP
•
•
•
•
•
•
•
162
LLDP MED Capabilities (fonctionnalités LLDP MED)
-
Taille (octets) : taille totale des paquets de fonctionnalités LLDP MED, en octets.
-
État : indique si les paquets de fonctionnalités LLDP MED ont été envoyés ou si une
surcharge est survenue.
LLDP MED Location (emplacement LLDP MED)
-
Taille (octets) : taille totale des paquets d'emplacement LLDP MED, en octets.
-
État : indique si les paquets d'emplacement LLDP MED ont été envoyés ou si une
surcharge est survenue.
LLDP MED Network Policy (stratégie réseau LLDP MED)
-
Taille (octets) : taille totale des paquets de stratégie réseau LLDP MED, en octets.
-
État : indique si les paquets de stratégie réseau LLDP MED ont été envoyés ou si
une surcharge est survenue.
Alimentation LLDP MED étendue via MDI
-
Taille (octets) : taille totale des paquets d'alimentation LLDP MED étendue via
MDI, en octets.
-
État : indique si les paquets d'alimentation LLDP MED étendue via MDI ont été
envoyés ou si une surcharge est survenue.
TLV 802.3
-
Taille (octets) : taille totale des paquets de TLV 802.3 LLDP MED, en octets.
-
État : indique si les paquets de TLV 802.3 LLDP MED ont été envoyés ou si une
surcharge est survenue.
LLDP Optional TLVs (TLV LLDP facultatives)
-
Taille (octets) : taille totale des paquets de TLV LLDP MED facultatives, en octets.
-
État : indique si les paquets de TLV facultatives LLDP MED ont été envoyés ou si
une surcharge est survenue.
LLDP MED Inventory (inventaire LLDP MED)
-
Taille (octets) : taille totale des paquets de TLV d'inventaire LLDP MED, en octets.
-
État : indique si les paquets d'inventaire LLDP MED ont été envoyés ou si une
surcharge est survenue.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - CDP
•
Total
-
Total (octets) : nombre total d'octets d'informations LLDP dans chaque paquet.
-
Octets restants disponibles : nombre total d'octets disponibles restants pour envoyer
des informations LLDP supplémentaires dans chaque paquet.
Détection - CDP
Cette section explique comment configurer CDP.
Elle couvre les rubriques suivantes :
•
Propriétés CDP
•
Paramètres d'interface CDP
•
Informations locales CDP
•
Informations de voisinage CDP
•
Statistiques CDP
Propriétés CDP
Comme LLDP, CDP (Cisco Discovery Protocol) est un protocole de couche de liaison
permettant aux voisins à connexion directe de s'annoncer et de notifier mutuellement leurs
fonctionnalités. Contrairement à LLDP, CDP est un protocole appartenant à Cisco.
Flux de travail de configuration de CDP
Vous trouverez ci-après un exemple de workflow pour la configuration de CDP sur le
périphérique. Vous trouverez également des instructions de configuration de CDP
supplémentaires à la section LLDP/CDP.
ÉTAPE 1 Entrez les paramètres globaux CDP sur la page Propriétés CDP.
ÉTAPE 2 Configurez CDP sur chaque interface via la page Paramètres d'interface CDP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
163
9
Administration : Détection
Détection - CDP
ÉTAPE 3 Si la fonction Auto Smartport (Port intelligent automatique) est utilisée pour détecter les
fonctionnalités des périphériques CDP, activez CDP sur la page Propriétés.
Reportez-vous à Types de port intelligent afin d'obtenir une description de la façon dont CDP
est utilisé pour identifier les périphériques pour la fonction Port intelligent.
Pour saisir les paramètres généraux CDP :
ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Propriétés.
ÉTAPE 2 Saisissez les paramètres.
164
•
État CDP : sélectionnez cette option pour activer CDP sur le périphérique.
•
Traitement des trames CDP : si CDP n'est pas activé, sélectionnez l'action à réaliser
en cas de réception d'un paquet correspondant aux critères sélectionnés :
-
Pontage : transfère le paquet basé sur le VLAN.
-
Filtrage : supprime le paquet.
-
Inondation : inondation ne tenant pas compte du VLAN qui transmet les
paquets CDP entrants à tous les ports, sauf aux ports d'entrée.
•
Annonce VLAN voix CDP : sélectionnez cette option pour permettre au périphérique
d'annoncer le VLAN voix dans CDP sur tous les ports activés pour CDP et membres du
VLAN voix. Vous pouvez configurer le VLAN voix sur la page Propriétés du VLAN
voix.
•
Validation CDP des TLV obligatoires : si cette option est sélectionnée, les paquets
CDP entrants qui ne contiennent pas de TLV obligatoires sont éliminés et le compteur
d'erreurs non valides est incrémenté.
•
CDP Version : sélectionnez la version du protocole CDP à utiliser.
•
Délai d'attente CDP : durée de conservation des paquets CDP avant leur élimination,
en multiples de l'intervalle d'annonce TLV. Par exemple, si l'intervalle d'annonce TLV
est de 30 secondes et que le multiplicateur de conservation (Hold Multiplier) est 4, les
paquets LLDP seront supprimés après 120 secondes. Les options suivantes sont
disponibles :
-
Valeurs par défaut : utilisez la durée par défaut (180 secondes).
-
Défini par l'utilisateur : saisissez la durée en secondes.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - CDP
•
•
•
Niveau de transmission CDP : fréquence (en secondes) d'envoi des mises à jour
d'annonces CDP. Les options suivantes sont disponibles :
-
Valeurs par défaut : utilisez la fréquence par défaut (60 secondes).
-
Défini par l'utilisateur : saisissez la fréquence en secondes.
Format d'ID de périphérique : sélectionnez le format de l'ID de périphérique
(adresse MAC ou numéro de série). Les options suivantes sont disponibles :
-
Adresse MAC : utilisez l'adresse MAC du périphérique comme ID de périphérique.
-
Numéro de série : utilisez le numéro de série du périphérique comme ID de
périphérique.
-
Nom d'hôte : utilisez le nom d'hôte du périphérique comme ID de périphérique.
Interface source : adresse IP à utiliser dans la TLV des trames. Les options suivantes
sont disponibles :
-
Valeurs par défaut : utilisez l'adresse IP de l'interface sortante.
-
Défini par l'utilisateur : utilisez l'adresse IP de l'interface (dans le champ Interface)
dans la TLV d'adresse.
•
Interface : si vous avez sélectionné Défini par l'utilisateur pour Interface source,
sélectionnez l'interface.
•
Non-concordance VLAN voix Syslog : cochez cette option pour envoyer un message
SYSLOG lorsqu'une non-concordance VLAN voix est détectée. Cela signifie que les
informations de VLAN voix dans la trame entrante ne correspondent pas à ce qu'indique
le périphérique local.
•
Non-concordance VLAN natif Syslog : cochez cette option pour envoyer un message
SYSLOG lorsqu'une non-concordance VLAN natif est détectée. Cela signifie que les
informations de VLAN natif dans la trame entrante ne correspondent pas à ce qu'indique
le périphérique local.
•
Non-concordance duplex Syslog : cochez cette option pour envoyer un message
SYSLOG lorsque les informations duplex ne correspondent pas. Cela signifie que les
informations duplex dans la trame entrante ne correspondent pas à ce qu'indique le
périphérique local.
ÉTAPE 3 Cliquez sur Appliquer. Les propriétés LLDP sont définies.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
165
9
Administration : Détection
Détection - CDP
Paramètres d'interface CDP
Utilisez la page Paramètres d'interface pour activer CDP et la notification de serveur de
journalisation distant par port ainsi que pour sélectionner les TLV incluses dans les
PDU LLDP.
En définissant ces propriétés, il est possible de sélectionner les types d'informations à fournir
aux périphériques qui prennent en charge le protocole LLDP.
Vous pouvez sélectionner les TLV LLDP MED à annoncer sur la page Paramètres des ports
LLDP MED.
Pour définir les paramètres d'interface CDP :
ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Paramètres d'interface.
Cette page affiche les informations CDP suivantes pour chaque interface.
•
État CDP : option de publication CDP pour le port.
•
Signalisation des conflits avec les voisins CDP : état des options de rapport qui sont
activées/désactivées sur la page Modifier (VLAN voix/VLAN natif/Duplex).
•
No. of Neighbors : nombre de voisins détectés.
Quatre boutons sont disponibles en bas de la page :
•
Copier les paramètres : sélectionnez ce bouton pour copier une configuration d'un port
vers un autre.
•
Modifier : les différents champs sont décrits à l'étape 2 ci-dessous.
•
CDP Local Information Details (Détail des informations locales CDP) : vous accédez
à la page Informations locales CDP.
•
CDP Neighbor Information Details (Détail des informations de voisinage CDP) :
vous accédez à la page Informations de voisinage CDP.
ÉTAPE 2 Sélectionnez un port, puis cliquez sur Modifier.
Cette page contient les champs suivants :
•
Interface : sélectionnez l'interface à définir.
•
État CDP : sélectionnez cette option pour activer/désactiver l'option de
publication CDP pour le port.
REMARQUE Les trois champs suivants sont opérationnels si le périphérique a été
configuré pour envoyer des interceptions à la station de gestion.
166
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - CDP
•
Non-concordance VLAN voix Syslog : cochez cette option pour permettre l'envoi d'un
message SYSLOG lorsqu'une non-concordance VLAN voix est détectée. Cela signifie
que les informations de VLAN voix dans la trame entrante ne correspondent pas à ce
qu'indique le périphérique local.
•
Non-concordance VLAN natif Syslog : cochez cette option pour permettre l'envoi
d'un message SYSLOG lorsqu'une non-concordance VLAN natif est détectée. Cela
signifie que les informations de VLAN natif dans la trame entrante ne correspondent pas
à ce qu'indique le périphérique local.
•
Non-concordance duplex Syslog : cochez cette option pour permettre l'envoi d'un
message SYSLOG lors de la détection d'informations duplex ne correspondant pas.
Cela signifie que les informations duplex dans la trame entrante ne correspondent pas à
ce qu'indique le périphérique local.
ÉTAPE 3 Saisissez les informations voulues et cliquez sur Appliquer. Les paramètres des ports sont
écrits dans le fichier de Configuration d'exécution.
Informations locales CDP
Pour afficher les informations qui sont annoncées par le protocole CDP à propos du
périphérique local :
ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Informations locales CDP.
ÉTAPE 2 Sélectionnez un port local ; les champs suivants s'affichent :
•
Interface : numéro du port local.
•
État CDP : indique si CDP est activé.
•
Device ID TLV (TLV d'ID de périphérique)
•
-
Type d'ID de périphérique : type d'ID de périphérique annoncé dans la TLV d'ID de
périphérique.
-
ID de périphérique : ID de périphérique annoncé dans la TLV d'ID de périphérique.
Durée de vie du nom du système
-
•
Nom du système : nom système de l'appareil.
Address TLV (TLV de l'adresse)
-
Adresses 1 à 3 : adresses IP (annoncées dans la TLV d'adresse de périphérique).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
167
9
Administration : Détection
Détection - CDP
•
Port TLV (TLV du port)
-
•
Capabilities TLV (TLV des fonctionnalités)
-
•
•
-
ID du dispositif : type de périphérique associé au port annoncé dans la TLV de
dispositif.
-
ID du VLAN du dispositif : VLAN du périphérique utilisé par le dispositif ; par
exemple, si le dispositif est un téléphone IP, il s'agit du VLAN voix.
Extended Trust TLV (TLV de confiance étendue)
Confiance étendue : l'activation de cette option indique que le port est sécurisé.
L'hôte/serveur à partir duquel le paquet est reçu est ainsi sécurisé pour le marquage
des paquets. Dans ce cas, les paquets reçus sur ce port ne sont pas marqués à
nouveau. La désactivation de cette option indique que le port n'est pas validé, auquel
cas le champ suivant peut être défini.
CoS for Untrusted Ports TLV (CoS pour le TLV des ports non validés)
-
168
Duplex : port semi-duplex ou duplex intégral annoncé dans la TLV semi-duplex ou
duplex intégral.
Appliance TLV (TLV du dispositif)
-
•
VLAN natif : identificateur du VLAN natif annoncé dans la TLV de VLAN natif.
Full/Half Duplex TLV (TLV duplex intégral/semi-duplex)
-
•
Plate-forme : identificateur de la plate-forme annoncée dans la TLV de plate-forme.
Native VLAN TLV (TLV du VLAN natif)
-
•
Version : informations sur la version logicielle sous laquelle le périphérique
fonctionne.
Platform TLV (TLV de la plateforme)
-
•
Fonctionnalités : fonctionnalités annoncées dans la TLV de port.
Version TLV (TLV de la version)
-
•
ID du port : identificateur du port annoncé dans la TLV de port.
CoS pour les ports non sécurisés : si l'option Confiance étendue est désactivée sur
le port, ce champ affiche la valeur CoS Layer 2, à savoir une valeur de
priorité 802.1D/802.1p. Il s'agit de la valeur COS par l'intermédiaire de laquelle tous
les paquets reçus sur un port non validé sont à nouveau marqués par le périphérique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - CDP
•
TLV d'alimentation disponible
-
ID de demande : l'ID de dernière demande d'alimentation reçu correspond au
dernier champ ID de demande reçu dans une TLV de demande d'alimentation. Sa
valeur est 0 si aucune TLV de demande d'alimentation n'a été reçue depuis le dernier
passage de l'interface vers l'état activé (Up).
-
ID de gestion de l'alimentation : valeur incrémentée de 1 (ou 2 pour éviter 0) à
chaque fois que l'un des événements suivants se produit :
Modification des valeurs Puissance disponible ou Niveau de gestion d'alimentation.
Une TLV de demande d'alimentation est reçue avec un champ ID de demande
différent du dernier ensemble reçu (ou à la réception de la première valeur).
L'interface passe à l'état Désactivé.
•
-
Puissance disponible : puissance consommée par le port.
-
Niveau de gestion d'alimentation : affiche la demande du fournisseur au
périphérique alimenté pour connaître sa TLV de consommation électrique. Le
périphérique affiche toujours « Aucune préférence » dans ce champ.
TLV d'alimentation à 4 fils via MDI (UPOE)
Indique si cette TLV est prise en charge.
-
Prise en charge de PoE à 4 paires : indique si PoE est pris en charge.
-
Détection des paires de rechange/Classification requise : indique si cette
classification est requise.
-
État voulu de la paire de rechange de l'appareil alimenté : indique l'état souhaité de
la paire de rechange de l'appareil alimenté.
-
État opérationnel de la paire de rechange de l'appareil alimenté : indique l'état de
la paire de rechange du PSE.
Informations de voisinage CDP
La page Informations de voisinage CDP affiche les informations CDP reçues des
périphériques voisins.
Après une temporisation (basée sur la valeur reçue du paramètre de durée de vie du voisin,
durée au cours de laquelle aucune PDU CDP n'a été reçue d'un voisin), les informations sont
supprimées.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
169
9
Administration : Détection
Détection - CDP
Pour afficher les informations de voisinage CDP :
ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Informations de voisinage CDP.
ÉTAPE 2 Pour sélectionner un filtre, cochez la case Filtre, sélectionnez une interface locale et cliquez
sur OK.
Le filtre est défini et la case Effacer le filtre est activée.
ÉTAPE 3 Cliquez sur Effacer le filtre pour supprimer le filtre.
La page Informations de voisinage CDP contient les champs suivants pour le partenaire de
liaison (voisin) :
•
ID de périphérique : ID de périphérique des voisins.
•
Nom du système : nom du système des voisins.
•
Local Interface : numéro du port local auquel le voisin est connecté.
•
Advertisement Version : version du protocole CDP.
•
Durée de vie (sec.) : durée en secondes à l'issue de laquelle les informations concernant
ce voisin sont supprimées.
•
Capabilities : fonctionnalités annoncées par le voisin.
•
Platform : informations issues de la TLV de plate-forme du voisin.
•
Neighbor Interface : interface sortante du voisin.
ÉTAPE 4 Sélectionnez un périphérique, puis cliquez sur Détails.
Cette page contient les champs suivants relatifs au voisin :
170
•
Device ID : ID du périphérique de voisinage.
•
Nom du système : nom de l'ID de périphérique de voisinage.
•
Local Interface : numéro d'interface du port via lequel la trame a été reçue.
•
Advertisement Version : version du protocole CDP.
•
Time to Live : durée en secondes à l'issue de laquelle les informations concernant ce
voisin sont supprimées.
•
Capabilities : fonctions principales du périphérique. Les fonctionnalités sont indiquées
par deux octets. Les bits 0 à 7 indiquent respectivement Autres, Répéteur, Pont, Point
d'accès WLAN, Routeur, Téléphone, Système de câble DOCSIS et Station. Les bits 8
à 15 sont réservés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - CDP
•
Plate-forme : identificateur de la plate-forme des voisins.
•
Neighbor Interface : numéro d'interface du voisin via lequel la trame a été reçue.
•
VLAN natif : VLAN natif du voisin.
•
Application : nom de l'application qui s'exécute sur le voisin.
•
Duplex : indique si l'interface de voisinage est semi-duplex ou duplex intégral.
•
Adresses : adresses des voisins.
•
Alimentation prélevée : puissance consommée par le voisin sur l'interface.
•
Version : version logicielle des voisins.
•
Demande d'énergie : énergie demandée par l'appareil alimenté connecté au port.
•
Liste de demande d'énergie : chaque appareil alimenté peut envoyer une liste de
niveaux d'énergie pris en charge (jusqu'à 3).
•
Puissance disponible
-
ID de demande : l'ID de dernière demande d'alimentation reçu correspond au
dernier champ ID de demande reçu dans une TLV de demande d'alimentation. Sa
valeur est 0 si aucune TLV de demande d'alimentation n'a été reçue depuis le dernier
passage de l'interface vers l'état activé (Up).
-
ID de gestion de l'alimentation : valeur incrémentée de 1 (ou 2 pour éviter 0) à
chaque fois que l'un des événements suivants se produit :
La valeur des champs Puissance disponible ou Niveau de gestion d'alimentation
change.
Une TLV de demande d'alimentation est reçue avec un champ ID de demande
différent du dernier ensemble reçu (ou à la réception de la première valeur).
L'interface passe à l'état Désactivé.
•
-
Puissance disponible : puissance consommée par le port.
-
Niveau de gestion d'alimentation : affiche la demande du fournisseur au
périphérique alimenté pour connaître sa TLV de consommation électrique. Le
périphérique affiche toujours « Aucune préférence » dans ce champ.
Alimentation à 4 fils via MDI
-
Prise en charge de PoE à 4 paires : indique que le système et le port prennent en
charge les câbles à 4 paires (uniquement pour les ports spécifiques qui disposent de
cette capacité matérielle).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
171
9
Administration : Détection
Détection - CDP
REMARQUE
-
Détection des paires de rechange/Classification requise : indique qu'un câble à
4 paires est nécessaire.
-
État voulu de la paire de rechange de l'appareil alimenté : indique qu'un appareil
alimenté demande à activer la fonctionnalité 4 paires.
-
État opérationnel de la paire de rechange de l'appareil alimenté : indique si la
fonctionnalité 4 paires est activée ou désactivée.
En cliquant sur le bouton Effacer la table, vous déconnectez tous les périphériques connectés
du CDP. Si la fonction Port intelligent automatique est activée, le système rétablit la valeur par
défaut de tous les types de port.
Statistiques CDP
La page Statistiques CDP affiche des informations sur les trames CDP qui ont été envoyées ou
reçues depuis un port. Les paquets CDP sont reçus des périphériques associés aux interfaces
de commutateur et sont utilisés pour la fonction Port intelligent. Pour plus d'informations,
reportez-vous à la section Détection - CDP.
Les statistiques CDP d'un port ne s'affichent que si CDP est activé globalement et sur le port.
Ceci s'effectue sur la page Propriétés CDP et sur la page Paramètres d'interface CDP.
Pour afficher les statistiques CDP :
ÉTAPE 1 Cliquez sur Administration > Détection - CDP > Statistiques CDP.
Les champs suivants s'affichent pour chaque interface :
Paquets reçus/transmis :
•
Version 1 : nombre de paquets CDP de version 1 reçus/transmis.
•
Version 2 : nombre de paquets CDP de version 2 reçus/transmis.
•
Total : nombre total de paquets CDP reçus/transmis.
La section Statistiques d'erreurs CDP affiche les compteurs d'erreurs CDP.
172
•
Somme de contrôle incorrecte : nombre de paquets reçus ayant une valeur de somme
de contrôle incorrecte.
•
Autres erreurs : nombre de paquets reçus comportant d'autres erreurs que des sommes
de contrôle incorrectes.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
9
Administration : Détection
Détection - CDP
•
Voisinages supérieurs au maximum : nombre de fois que les informations de paquet
n'ont pas pu être stockées dans le cache en raison d'un manque d'espace disponible.
ÉTAPE 2 Pour effacer tous les compteurs sur toutes les interfaces, cliquez sur Effacer tous les
compteurs de l'interface. Pour effacer tous les compteurs sur une interface, sélectionnez-la et
cliquez sur Effacer les compteurs de l'interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
173
10
Gestion des ports
Cette section décrit la configuration des ports, l'agrégation de liaisons et la fonction Green
Ethernet.
Elle couvre les sujets suivants :
•
Flux de travail
•
Paramètres des ports
•
Paramètres de reprise après erreur
•
Paramètres de détection de bouclage
•
Agrégation de liaisons
•
PoE
•
Green Ethernet
Flux de travail
Pour configurer les ports, procédez comme suit :
1. Configurez le port à l'aide de la page Paramètres des ports.
2. Activez/désactivez le protocole LACP (Link Aggregation Control Protocol), puis
configurez les ports membres potentiels sur les LAG souhaités via la page Gestion des
LAG. Par défaut, tous les LAG sont vides.
3. Configurez les paramètres Ethernet, comme le débit et la négociation automatique pour les
LAG, via la page Paramètres des LAG.
4. Configurez les paramètres LACP des ports membres d'un LAG ou candidats à l'adhésion à
un LAG dynamique, via la page LACP.
5. Configurez Green Ethernet et 802.3 Energy Efficient Ethernet via la page Propriétés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
174
10
Gestion des ports
Paramètres des ports
6. Configurez le mode d'économie d'énergie Green Ethernet et 802.3 Energy Efficient
Ethernet pour chaque port, via la page Paramètres des ports.
7. Si l'alimentation PoE est prise en charge et activée sur le périphérique, configurez ce dernier
en suivant les instructions de la section Gestion des ports : PoE.
Paramètres des ports
La page Paramètres des ports affiche les paramètres globaux de tous les ports ainsi que ceux
de chaque port. Cette page vous permet de sélectionner et de configurer les ports souhaités sur
la page Modifier les paramètres de port.
Pour configurer les paramètres des ports :
ÉTAPE 1 Cliquez sur Gestion des ports > Paramètres des ports.
Les paramètres des ports sont affichés pour tous les ports.
ÉTAPE 2 Renseignez les champs suivants :
•
Prévention des interruptions de liaison : sélectionnez cette option pour minimiser les
interruptions sur votre réseau. Si cette commande est activée, elle désactive
automatiquement les ports sur lesquels la liaison est perturbée.
•
Trames géantes : sélectionnez cette option pour prendre en charge les paquets dont les
tailles sont inférieures ou égales à 9 Ko. Si l'option Trames Jumbo (Trames Jumbo)
n'est pas activée (par défaut), le système prend en charge les tailles de paquets allant
jusqu'à 2 000 octets. Notez que la réception de paquets dont la taille excède 9 Ko peut
entraîner l'arrêt du port de réception. De la même manière, l'envoi de paquets dont la
taille excède 10 Ko peut entraîner l'arrêt du port de réception.
Pour que les trames Jumbo soient appliquées, vous devez redémarrer le périphérique
une fois la fonction activée..
ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le paramètre global.
Les modifications apportées à la configuration des trames géantes prennent effet uniquement
après un enregistrement explicite de la configuration d'exécution dans le fichier de
configuration de démarrage via la page Opérations de fichiers et après un redémarrage de
l'appareil.
ÉTAPE 4 Pour mettre à jour les paramètres des ports, sélectionnez le port voulu et cliquez sur Modifier.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
175
10
Gestion des ports
Paramètres des ports
ÉTAPE 5 Modifiez les paramètres suivants :
•
Interface : sélectionnez le numéro du port.
•
Port Description : saisissez le nom défini par l'utilisateur pour ce port ou un
commentaire.
REMARQUE : L'Interface et la Description du port
sont affichées sur la page principale dans la colonne Port.
•
Type de port : affiche le type et le débit du port. Les options possibles sont les
suivantes :
-
Ports cuivre : les ports standard, non mixtes, prennent en charge les valeurs
suivantes : 10M, 100M, 1000M (type : cuivre) et 10G.
-
Ports mixtes : le port mixte connecté avec un câble CAT6a cuivre ou une interface
Gigabit fibre SFP.
-
/SX550X/SX350X
REMARQUE La fibre SFP est prioritaire dans les ports mixtes lorsque les deux ports
sont utilisés.
176
•
État administratif : sélectionnez si le port doit être démarré ou arrêté au redémarrage
du périphérique.
•
État opérationnel : indique si le port est actuellement actif ou inactif. Si le port est
fermé en raison d'une erreur, la description de cette erreur s'affiche.
•
Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la
génération des interceptions SNMP notifiant que l'état du lien du port a subi des
modifications.
•
Période : sélectionnez pour activer la période pendant laquelle le port est à l'état Actif.
Lorsque la période n'est pas active, le port est à l'arrêt. Si vous configurez une période,
celle-ci n'est effective que lorsque le port est administrativement à l'état Actif.
•
Nom de période : sélectionnez le profil qui spécifie la période. Cela ne concerne pas le
port OOB. Si vous n'avez pas encore défini de période, cliquez sur Modifier ou accédez
à la page Plage horaire. Cela ne concerne pas le port OOB.
•
État de période opérationnelle : indique si la période est actuellement active ou
inactive.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Paramètres des ports
•
Négociation automatique : sélectionnez cette option pour activer la négociation
automatique sur le port. La négociation automatique permet à un port d'annoncer sa
vitesse de transmission, son mode duplex et ses fonctions de contrôle de flux à son
partenaire de liaison.
•
Operational Auto Negotiation : affiche l'état actuel de la négociation automatique sur
le port.
•
Vitesse du port administratif : sélectionnez la vitesse du port. Le type de port
détermine les vitesses disponibles. Vous ne pouvez choisir Vitesse administrative que si
la négociation automatique est désactivée pour le port.
•
Operational Port Speed : affiche le débit actuel du port, obtenu par négociation.
•
Mode duplex administratif : (affiché uniquement sur les ports non XG) sélectionnez
le mode duplex du port. Ce champ ne peut être configuré que lorsque la négociation
automatique est désactivée et que le débit du port est réglé sur 10M ou 100M. Lorsque
le port a un débit de 1G, le mode est toujours Duplex intégral. Les options possibles sont
les suivantes :
-
Semi-duplex : l'interface prend en charge la transmission entre le périphérique et le
client dans une seule direction à la fois.
-
Duplex intégral : l'interface prend en charge la transmission entre le périphérique et
le client dans les deux directions simultanément.
•
Mode duplex opérationnel : (affiché uniquement sur les ports non XG) affiche le mode
duplex actuel des ports.
•
Annonce automatique : sélectionnez les fonctionnalités annoncées par la négociation
automatique lorsqu'elle est activée.
REMARQUE Certaines options ne s'appliquent pas à tous les périphériques.
Les options sont les suivantes :
-
Capacité maximale : tous les débits de port et paramètres de mode duplex sont
acceptés.
-
10 Semi duplex : débit de 10 Mbit/s et mode Semi-duplex (non disponible sur les
périphériques XG).
-
10 Duplex intégral : débit de 10 Mbit/s et mode Duplex intégral (non disponible sur
les périphériques XG).
-
100 Semi-duplex : débit de 100 Mbit/s et mode Semi-duplex (non disponible sur les
périphériques XG).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
177
10
Gestion des ports
Paramètres des ports
-
100 Duplex intégral : débit de 100 Mbit/s et mode Duplex intégral.
-
1000 Duplex intégral : débit de 1 000 Mbit/s et mode Duplex intégral.
•
Annonce opérationnelle : affiche les fonctionnalités actuellement publiées à l'attention
du voisin des ports. Les options disponibles sont celles spécifiées dans le champ
Annonce administrative.
•
Mode Préférence : disponible uniquement si la négociation automatique est activée.
Sélectionnez le mode unité principale/asservie de l'interface pour l'opération de
négociation automatique. Sélectionnez l'une des options suivantes :
-
Unité asservie : commencez la négociation avec la préférence selon laquelle le port
du périphérique est l'esclave dans le processus de négociation automatique.
-
Unité principale : commencez la négociation avec la préférence selon laquelle le
port du périphérique est le maître dans le processus de négociation automatique.
•
Annonce de voisin : affiche les fonctionnalités publiées par le périphérique de
voisinage réseau (partenaire de liaison).
•
Contre-pression : (pris en charge uniquement sur les ports non XG) sélectionnez le
mode de contre-pression du port (utilisé en mode semi duplex) à appliquer pour ralentir
la vitesse de réception des paquets en cas de surcharge de l'appareil. La sélection de cette
option désactive le port distant, ce qui l'empêche d'envoyer des paquets en brouillant le
signal.
•
Contrôle de flux : activez ou désactivez le contrôle de flux 802.3x ou activez la
négociation automatique du contrôle de flux sur le port (uniquement en mode Duplex
intégral). La négociation automatique du contrôle de flux ne peut pas être activée sur les
ports mixtes.
•
MDI/MDIX : état MDI (Media Dependent Interface, interface dépendant du support)/
MDIX (Media Dependent Interface with Crossover, interface dépendant du support avec
croisement) sur le port.
Les options sont les suivantes :
178
-
MDIX : sélectionnez cette option pour permuter les paires d'émission et de réception
du port.
-
MDI : sélectionnez cette option pour relier ce périphérique à une station de travail
via un câble droit.
-
Auto : sélectionnez cette option pour configurer le périphérique afin qu'il détecte
automatiquement le brochage correct pour la connexion à un autre périphérique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Paramètres de reprise après erreur
•
MDI/MDIX opérationnel : affiche le paramètre MDI/MDIX actuel.
•
Member in LAG : indique le numéro du LAG si le port est membre d'un LAG ; sinon,
ce champ reste vide.
ÉTAPE 6 Cliquez sur Appliquer. Les paramètres des ports sont écrits dans le fichier de Configuration
d'exécution.
Paramètres de reprise après erreur
Cette page permet de réactiver automatiquement un port qui a été fermé en raison d'une
condition d'erreur à l'issue de l'intervalle de récupération automatique.
Pour configurer les paramètres de reprise sur erreur :
ÉTAPE 1 Cliquez sur Gestion des ports > Paramètres de reprise après erreur.
ÉTAPE 2 Renseignez les champs suivants :
•
Automatic Recovery Interval (Intervalle de récupération automatique) : spécifie le
délai de la récupération d'erreur automatique, si celle-ci est activée, après la fermeture
d'un port.
•
Récupération ErrDisable automatique
-
Sécurité des ports : sélectionnez cette option pour activer la récupération d'erreur
automatique lorsque le port a été fermé en raison d'une violation de la sécurité des
ports.
-
Violation d'hôte unique 802.1x : sélectionnez cette option pour activer la
récupération d'erreur automatique lorsque le port a été fermé par 802.1x.
-
Déni de service ACL : sélectionnez cette option pour activer le mécanisme de
reprise automatique après erreur par une action ACL.
-
Protection de bouclage STP : activez la reprise automatique lorsque le port a été
fermé par une protection de bouclage STP.
-
Détection de bouclage : sélectionnez cette option pour activer le mécanisme de
reprise après erreur pour les ports fermés par la détection de bouclage.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
179
10
Gestion des ports
Paramètres de détection de bouclage
-
Storm Control (Contrôle des tempêtes) : sélectionnez cette option pour activer le
mécanisme de récupération d'erreur pour les ports fermés par le contrôle des
tempêtes.
-
Prévention des interruptions de liaison : sélectionnez cette option pour minimiser
les interruptions sur votre réseau. Si cette commande est activée, elle désactive
automatiquement les ports sur lesquels la liaison est perturbée.
ÉTAPE 3 Cliquez sur Appliquer pour mettre à jour le paramètre global.
Pour réactiver manuellement un port :
ÉTAPE 1 Cliquez sur Gestion des ports > Paramètres de reprise après erreur.
La liste des interfaces désactivées et leur Motif de la suspension s'affichent.
ÉTAPE 2 Sélectionnez l'interface que vous souhaitez réactiver.
ÉTAPE 3 Cliquez sur Réactiver.
Paramètres de détection de bouclage
La détection de bouclage (LBD) empêche la formation de boucles en transmettant les paquets
de protocole de bouclage vers les ports sur lesquels la protection de bouclage a été activée.
Lorsque le commutateur envoie un paquet de protocole de bouclage, puis reçoit le même
paquet, il ferme le port qui a reçu le paquet.
La détection de bouclage fonctionne indépendamment de STP. Une fois qu'une boucle a été
détectée, le port qui l'a reçue est placé dans l'état Arrêter (fermé). Une interception est envoyée
et l'événement est consigné. Les gestionnaires de réseau peuvent définir un intervalle de
détection qui définit l'intervalle de temps entre les paquets LBD.
Les cas de boucle suivants peuvent être détectés à l'aide du protocole de détection de
bouclage :
180
•
Câble court-circuité : port qui renvoie en boucle tout le trafic reçu.
•
Direct multi-ports loop (Diriger la boucle multi-ports) : le commutateur est
connecté à un autre commutateur avec plusieurs ports et STP est désactivé.
•
LAN segment loop (Boucle de segment LAN) : le commutateur est connecté avec un
ou plusieurs ports à un segment LAN qui comporte des boucles.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Paramètres de détection de bouclage
Fonctionnement de la fonction LBD
Le protocole LBD diffuse régulièrement des paquets de détection de bouclage. Un
commutateur détecte une boucle lorsqu'il reçoit ses propres paquets LBD.
Les conditions suivantes doivent être remplies pour que la fonctionnalité LBD d'un port soit
active :
•
La fonction LBD est activée globalement.
•
La fonction LBD est activée sur le port.
•
L'état opérationnel du port est actif.
•
Le port se trouve dans l'état STP de redirection ou désactivé (état de redirection
d'instance MSTP, instance 0).
Les trames LBD sont transmises sur la file d'attente de priorité la plus élevée sur les ports LBD
actifs (avec les LAG, le paquet LBD est transmis sur chaque membre de port actif dans le
LAG).
Lorsqu'une boucle est détectée, le commutateur effectue les actions suivantes :
•
Il définit les LAG ou les ports de réception sur l'état de désactivation d'erreur.
•
Il émet une interception SNMP appropriée.
•
Il génère un message SYLOG approprié.
Configuration et paramètres par défaut
La détection de bouclage n'est pas activée par défaut.
Interactions avec les autres fonctions
Si STP est activé sur un port sur lequel la détection de bouclage est activée, ce port doit se
trouver dans l'état de redirection STP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
181
10
Gestion des ports
Paramètres de détection de bouclage
Configuration de la fonction LBD
Pour activer et configurer LBD :
ÉTAPE 1 Activez la détection de bouclage à l'échelle du système sur la page des paramètres de détection
du bouclage (ci-dessous).
ÉTAPE 2 Activez la détection de bouclage sur les ports d'accès sur la page des paramètres de détection
du bouclage (ci-dessous).
ÉTAPE 3 Activez la récupération automatique pour la détection du bouclage sur la page Paramètres de
reprise après erreur.
Pour configurer la détection du bouclage :
ÉTAPE 1 Cliquez sur Gestion des ports > Paramètres de détection du bouclage.
ÉTAPE 2 Sélectionnez Activer dans le champ global Détection de bouclage afin d'activer cette
fonction.
ÉTAPE 3 Entrez l'intervalle de détection. Il s'agit de l'intervalle entre les transmissions de paquets
LBD.
ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration
d'exécution.
Les champs suivants s'affichent pour chaque interface pour indiquer l'état de détection du
bouclage :
•
Administratif : la détection du bouclage est activée.
•
Opérationnel : la détection du bouclage est activée, mais elle n'est pas active sur
l'interface.
ÉTAPE 5 Choisissez d'activer LBD sur les ports ou les LAG dans le champ Type d'interface égal à
dans le filtre.
ÉTAPE 6 Sélectionnez les ports ou les LAG sur lesquels LBD doit être activé, puis cliquez sur Modifier.
ÉTAPE 7 Sélectionnez Activer dans le champ État de détection du bouclage pour le port ou le LAG
sélectionné.
ÉTAPE 8 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration
d'exécution.
182
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Agrégation de liaisons
Agrégation de liaisons
Cette section explique comment configurer les LAG. Elle couvre les sujets suivants :
•
Présentation de l'agrégation de liaisons
•
Configuration et paramètres par défaut
•
Flux de travail des LAG statiques et dynamiques
•
Gestion des LAG
•
Paramètres des LAG
•
LACP
Présentation de l'agrégation de liaisons
Le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation
de liaisons) fait partie de la spécification IEEE (802.3az) qui vous permet de regrouper
plusieurs ports physiques en un seul canal logique (LAG). Les LAG multiplient la bande
passante, augmentent la souplesse des ports et établissent une redondance de liaisons entre
deux périphériques.
Deux types de LAG sont pris en charge :
•
Static (Statique) : les ports dans le LAG sont configurés manuellement. Un LAG est
statique si le protocole LACP (Link Aggregation Control Protocol) est désactivé sur
celui-ci. Les ports attribués à un LAG statique sont toujours des membres actifs. Une
fois qu'un LAG a été créé manuellement, l'option LACP ne peut pas être ajoutée ni
supprimée tant que le LAG n'a pas été modifié et qu'un membre n'a pas été supprimé
(celui-ci pouvant être ajouté avant l'application) ; le bouton LACP devient alors
disponible pour la modification.
•
Dynamic : un LAG est dynamique si le protocole LACP est activé sur celui-ci. Les
ports attribués à un LAG dynamique sont des ports candidats. Le protocole LACP
détermine les ports candidats qui sont des ports membres actifs. Les ports candidats
non actifs sont des ports de réserve prêts à remplacer n'importe quel port membre actif
défaillant.
Équilibrage de la charge
La charge du trafic transféré à un LAG est équilibrée entre les divers ports qui sont des
membres actifs. Cela permet d'obtenir une bande passante effective proche du total cumulé des
bandes passantes de tous les membres actifs du LAG.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
183
10
Gestion des ports
Agrégation de liaisons
L'équilibrage de charge du trafic sur les ports membres actifs d'un LAG est géré par une
fonction de distribution par hachage, qui répartit le trafic de diffusion et de multidiffusion sur
la base des informations d'en-tête de paquet Couche 2 ou Couche 3.
Le périphérique prend en charge deux modes d'équilibrage de charge :
•
Selon les adresses MAC : traitement basé sur les adresses MAC source et cible de
tous les paquets.
•
Par adresses IP et MAC : traitement en fonction des adresses IP source et cible pour
les paquets IP. Pour les paquets non IP, traitement en fonction des adresses MAC
source et cible.
Gestion des LAG
En général, un LAG est traité par le système comme étant un seul port logique. En particulier,
le LAG comporte des attributs semblables à ceux d'un port unique, notamment son état et son
débit.
Les appareils de la gamme
Le périphérique prend en charge 8 LAG avec jusqu'à 8 ports par LAG.
Chaque LAG possède les caractéristiques suivantes :
•
Tous les ports d'un LAG doivent disposer du même type de support.
•
Les ports d'un LAG ne doivent être affectés à aucun autre LAG.
•
Il est impossible d'affecter plus de huit ports à un LAG statique. Il est également
impossible de définir plus de 16 ports comme candidats à un LAG dynamique.
•
Lorsqu'un port est ajouté à un LAG, la configuration du LAG est appliquée au port.
Lorsque vous retirez ce port du LAG, il reprend sa configuration d'origine.
•
Les divers protocoles, tels que le protocole d'arbre recouvrant (STP, Spanning Tree
Protocol), considèrent tous les ports d'un LAG comme étant un port unique.
Configuration et paramètres par défaut
Par défaut, les ports ne sont pas membres d'un LAG et ne sont pas candidats pour
l'appartenance à un LAG.
184
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Agrégation de liaisons
Flux de travail des LAG statiques et dynamiques
Une fois qu'un LAG a été manuellement créé, le protocole LACP ne peut être ni ajouté ni
supprimé tant que le LAG n'est pas modifié et qu'aucun membre n'est supprimé. C'est
seulement à cette condition que le bouton LACP deviendra disponible pour la modification.
Pour configurer un LAG statique, procédez comme suit :
1. Désactivez LACP sur le LAG pour le rendre statique. Attribuez jusqu'à huit ports membres
au LAG statique. Pour ce faire, sélectionnez les ports et déplacez-les de la Liste des ports
vers la liste Membres de LAG. Sélectionnez l'algorithme d'équilibrage de charge pour le
LAG. Effectuez ces actions sur la page Gestion des LAG.
2. Configurez les divers aspects du LAG, comme la vitesse et le contrôle de flux, via la page
Paramètres des LAG.
Pour configurer un LAG dynamique, procédez comme suit :
1. Activez le protocole LACP sur le LAG. Affectez jusqu'à 16 ports candidats au LAG
dynamique. Pour ce faire, sélectionnez les ports et déplacez-les de la liste des ports vers la
liste des membres du LAG, sur la page Gestion des LAG.
2. Configurez les divers aspects du LAG, comme la vitesse et le contrôle de flux, via la page
Paramètres des LAG.
3. Configurez la priorité et le délai LACP des ports du LAG, via la page LACP.
Gestion des LAG
La page Gestion des LAG affiche les paramètres globaux ainsi que ceux de chaque LAG. Cette
page vous permet également de configurer les paramètres globaux, mais aussi de sélectionner
et de modifier le LAG souhaité sur la page Modifier l'appartenance du LAG.
Pour sélectionner l'algorithme d'équilibrage de charge du LAG :
ÉTAPE 1 Cliquez sur Gestion des ports > Agrégation de liaisons > Gestion des LAG.
ÉTAPE 2 Sélectionnez l'un des algorithmes d'équilibrage de charge suivants :
•
Adresse MAC : équilibrage de charge basé sur les adresses MAC source et cible de tous
les paquets.
•
Adresse IP/MAC : équilibrage de charge basé sur les adresses IP source et cible pour les
paquets IP. Pour les paquets non-IP, traitement basé sur les adresses MAC source et cible.
ÉTAPE 3 Cliquez sur Appliquer. L'algorithme d'équilibrage de charge est enregistré dans le fichier de
Configuration d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
185
10
Gestion des ports
Agrégation de liaisons
Pour définir les ports membres ou candidats dans un LAG :
ÉTAPE 1 Sélectionnez le LAG à configurer et cliquez sur Modifier.
Les champs suivants sont affichés pour chaque LAG (seuls les champs ne figurant pas sur la
page Modifier font l'objet d'une description) :
•
État des liaisons : indique si le port est actif ou inactif.
•
Membre actif : ports actifs dans le LAG.
•
Membre de réserve : ports candidats pour ce LAG.
ÉTAPE 2 Entrez les valeurs des champs suivants :
•
LAG : sélectionnez le numéro du LAG.
•
Nom du LAG : saisissez le nom du LAG ou un commentaire.
•
LACP : sélectionnez cette option pour activer LACP sur le LAG sélectionné. Ceci en
fait un LAG dynamique. Vous ne pouvez activer ce champ qu'après avoir déplacé un
port vers le LAG dans le champ suivant.
•
Liste des ports : déplacez les ports à attribuer au LAG de la Liste des ports vers la liste
Membres de LAG. Vous pouvez affecter jusqu'à huit ports à un LAG statique et jusqu'à
16 ports à un LAG dynamique. Il s'agit de ports candidats.
ÉTAPE 3 Cliquez sur Appliquer. L'appartenance LAG est enregistrée dans le fichier de Configuration
d'exécution.
Paramètres des LAG
La page Paramètres des LAG affiche une table des paramètres actuels de tous les LAG. Vous
pouvez configurer les paramètres des LAG sélectionnés et réactiver les LAG suspendus sur la
page Modifier les paramètres des LAG.
Pour configurer les paramètres des LAG ou réactiver un LAG suspendu :
ÉTAPE 1 Cliquez sur Gestion des ports > Agrégation de liaisons > Paramètres des LAG.
Les LAG du système sont affichés.
ÉTAPE 2 Sélectionnez un LAG et cliquez sur Edit.
186
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Agrégation de liaisons
ÉTAPE 3 Entrez les valeurs des champs suivants :
•
LAG : sélectionnez l'ID du LAG.
•
LAG Type : affiche le type de port inclus dans le LAG.
•
Description : saisissez le nom du LAG ou un commentaire.
•
État administratif : définissez le LAG sélectionné comme étant démarré ou arrêté.
•
Operational Status : indique si le LAG est actuellement opérationnel.
•
Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la
génération des interceptions SNMP notifiant que l'état du lien des ports a subi des
modifications dans le LAG.
•
Période : sélectionnez pour activer la période pendant laquelle le port est à l'état Actif.
Lorsque la période n'est pas active, le port est à l'arrêt. Si vous configurez une période,
celle-ci n'est effective que lorsque le port est administrativement à l'état Actif.
•
Nom de période : sélectionnez le profil qui spécifie la période. Si vous n'avez pas
encore défini de période, cliquez sur Modifier ou accédez à la page Plage horaire.
•
État de période opérationnelle : indique si la période est actuellement active ou
inactive.
•
Négociation automatique administrative : permet d'activer ou de désactiver la
négociation automatique sur le LAG. La négociation automatique est un protocole établi
entre deux partenaires de liaison qui permet à un LAG d'annoncer sa vitesse de
transmission et son contrôle de flux à son partenaire (la valeur par défaut pour le
contrôle de flux est Désactivé). Il est recommandé de maintenir la négociation
automatique activée des deux côtés d'une liaison agrégée (ou de la désactiver des deux
côtés), tout en s'assurant que les débits de liaison sont identiques.
•
Négociation automatique opérationnelle : affiche le paramètre de négociation
automatique.
•
Administrative Speed (Vitesse du port administratif) : sélectionnez la vitesse des ports
dans le LAG.
•
Operational LAG Speed : affiche le débit actuel de fonctionnement du LAG.
•
Annonce administrative : sélectionnez les fonctionnalités que le LAG doit annoncer.
Les options sont les suivantes :
-
Capacité maximale : tous les débits de LAG et modes duplex sont acceptés.
-
10 Duplex intégral : le LAG annonce un débit de 10 Mbit/s et le mode est Duplex
intégral.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
187
10
Gestion des ports
Agrégation de liaisons
-
100 Duplex intégral : le LAG annonce un débit de 100 Mbit/s et le mode est Duplex
intégral.
-
1000 Duplex intégral : le LAG annonce un débit de 1000 Mbit/s et le mode est
Duplex intégral.
•
Annonce opérationnelle : affiche l'état d'annonce administrative. Le LAG annonce ses
capacités à son LAG voisin pour lancer le processus de négociation. Les options
disponibles sont celles spécifiées dans le champ Annonce administrative.
•
Contrôle de flux administratif : définissez le contrôle de flux à Activer ou
Désactiver, ou activez la négociation automatique du contrôle de flux sur le LAG.
•
Contrôle de flux opérationnel : affiche le paramètre de contrôle de flux actuel.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
LACP
Un LAG dynamique est un LAG où LACP est activé ; le protocole LACP (Link Aggregation
Control Protocol, protocole de contrôle de l'agrégation de liaisons) est exécuté sur chaque port
candidat défini dans le LAG.
Priorité et règles LACP
Les options Priorité du système LACP et Priorité des ports LACP déterminent les ports
candidats qui deviennent des ports membres actifs d'un LAG dynamique configuré avec plus
de huit ports candidats.
Les ports candidats sélectionnés pour le LAG sont tous connectés au même périphérique
distant. Les commutateurs locaux et distants sont associés à une priorité du système LACP.
L'algorithme suivant permet de déterminer si les propriétés du port LACP sont extraites du
périphérique local ou distant : la priorité du système LACP local est comparée à la priorité du
système LACP distant. Le périphérique ayant la priorité la plus basse contrôle la sélection de
ports candidats pour le LAG. Si les deux priorités sont identiques, les adresses MAC locale et
distante sont comparées. La priorité du périphérique ayant l'adresse MAC la plus basse
contrôle la sélection de ports candidats pour le LAG.
188
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Agrégation de liaisons
Un LAG dynamique peut comporter jusqu'à 16 ports Ethernet du même type. Huit ports au
maximum peuvent être actifs et huit ports au maximum peuvent être en mode de réserve. Si un
LAG dynamique comprend plus de huit ports, le périphérique situé du côté qui contrôle la
liaison applique les priorités de port pour déterminer les ports agrégés dans le LAG et ceux qui
restent en mode de réserve à chaud. Les priorités des ports de l'autre périphérique (du côté de
la liaison qui n'a pas le contrôle) sont ignorées.
Les règles supplémentaires permettant de sélectionner des ports actifs ou de réserve dans un
LACP dynamique sont les suivantes :
•
Toute liaison fonctionnant avec un débit différent de celui du membre actif ayant le
débit le plus élevé ou fonctionnant en mode semi-duplex est désignée comme étant
celle de réserve. Tous les ports actifs d'un LAG dynamique fonctionnent avec le même
débit en bauds.
•
Si la priorité LACP du port de la liaison est inférieure à celle des membres de liaison
actuellement actifs et si le nombre maximal de membres actifs a déjà été atteint, la
liaison devient inactive et est placée en mode de réserve.
LACP sans membre de liaison
Pour que le protocole LACP puisse créer un LAG, vous devez configurer les ports situés aux
deux extrémités du lien pour LACP, ce qui signifie que les ports envoient des PDU LACP et
gèrent les PDU reçues.
Toutefois, un partenaire de liaison peut être temporairement non configuré pour LACP. Par
exemple, lorsque le partenaire de liaison est sur un périphérique qui est en cours de réception
de sa configuration via le protocole de configuration automatique. Les ports de ce périphérique
ne sont pas encore configurés pour LACP. Si la liaison LAG ne s'établit pas, le périphérique ne
peut pas être configuré. Un cas similaire se produit avec les ordinateurs à amorçage réseau par
double carte (PXE par exemple), qui reçoivent leur configuration LAG uniquement après leur
démarrage.
Lorsque vous configurez plusieurs ports LACP et que la liaison est activée sur un ou plusieurs
ports, mais que ces derniers restent sans réponse LACP de la part du partenaire de liaison, le
premier port dont la liaison a été activée est ajouté au LAG LACP et devient actif (les autres
ports deviennent non-candidats). Ainsi, le périphérique voisin peut, par exemple, obtenir son
adresse IP via DHCP et obtenir sa configuration via la configuration automatique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
189
10
Gestion des ports
Agrégation de liaisons
Paramètres LACP
Utilisez la page LACP pour configurer les ports candidats au LAG et pour configurer les
paramètres LACP pour chaque port.
Lorsque tous les facteurs sont égaux, si le LAG est configuré avec davantage de ports
candidats que le maximum de ports actifs autorisé (8), le périphérique sélectionne des ports et
les marque comme actifs à partir du LAG dynamique dont la priorité est la plus élevée sur le
périphérique.
REMARQUE
Le paramètre LACP ne s'applique pas aux ports qui ne sont pas membres d'un LAG dynamique.
Pour définir les paramètres LACP :
ÉTAPE 1 Cliquez sur Gestion des ports > Agrégation de liaisons > LACP.
ÉTAPE 2 Définissez le paramètre LACP System Priority (Priorité du système LACP).
ÉTAPE 3 Sélectionnez un port et cliquez sur Modifier.
ÉTAPE 4 Entrez les valeurs des champs suivants :
•
Port : sélectionnez le numéro du port auquel s'appliquent les valeurs de délai et de
priorité.
•
Priorité des ports LACP : saisissez la valeur de priorité LACP du port.
•
Délai LACP : intervalle qui sépare l'envoi et la réception de deux PDU LACP
consécutives. Sélectionnez les transmissions périodiques des PDU LACP, qui
s'effectuent à une vitesse de transmission longue ou courte, selon la préférence de
délai LACP définie.
ÉTAPE 5 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
190
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
PoE
PoE
Cette section décrit comment utiliser la fonctionnalité PoE.
Elle couvre les sujets suivants :
•
Vue d'ensemble
•
Propriétés PoE
•
Paramètres
•
Statistiques
•
Présentation de la fonction Green Ethernet
Vue d'ensemble
Un appareil PoE est un PSE (Power Sourcing Equipment) qui assure l'alimentation électrique
des appareils alimentés (PD, Pod Devices) connectés par les câbles cuivre existants, sans
interférence avec le trafic réseau, la mise à jour du réseau physique ou la modification de
l'infrastructure réseau.
Fonctionnalités
PoE offre les fonctions suivantes :
•
Elle élimine le besoin d'assurer l'alimentation 110/220 V (CA) de tous les appareils
connectés à un réseau local (LAN) filaire.
•
Elle supprime la nécessité de placer tous les appareils réseau à proximité de sources
d'alimentation.
•
Elle élimine le besoin de déployer des systèmes à double câblage dans une entreprise et
permet ainsi de réduire de façon significative les coûts d'installation.
PoE peut être utilisé dans tout réseau d'entreprise déployant des appareils de puissance
relativement faible connectés au LAN Ethernet et notamment :
•
les téléphones IP ;
•
les points d'accès sans fil ;
•
les passerelles IP ;
•
les appareils de surveillance audio et vidéo à distance.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
191
10
Gestion des ports
PoE
Fonctionnement
Le processus de mise en œuvre de PoE comprend les étapes suivantes :
•
Détection : envoie des impulsions spéciales sur le câble cuivre. Lorsqu'un appareil PoE
est situé à l'autre extrémité, cet appareil répond à ces impulsions.
•
Classification : la négociation entre le PSE (Power Sourcing Equipment) et l'appareil
alimenté (PD, Pod Device) débute après l'étape de détection. Au cours de la négociation,
l'appareil alimenté spécifie sa classe, ce qui indique la quantité maximale d'énergie qu'il
consomme.
•
Consommation électrique : une fois l'étape de classification terminée, le PSE assure
l'alimentation de l'appareil alimenté (PD). Si l'appareil pod prend en charge la
technologie PoE, mais sans classification, il est supposé être de classe 0 (le maximum).
Si un appareil alimenté essaie de consommer plus d'énergie que ne l'autorise la norme,
le PSE arrête d'alimenter le port.
Le PoE prend en charge deux modes :
•
Limite du port : la puissance maximale que l'appareil accepte de fournir est limitée à
la valeur configurée par l'administrateur système, indépendamment du résultat de la
classification.
•
Limite de classe : la puissance maximale que l'appareil accepte de fournir est
déterminée par les résultats obtenus à l'étape de classification. Cela signifie qu'elle est
définie conformément à la demande du client.
Appareils PoE
Les ports de liaison montante peuvent fonctionner en tant qu'appareil alimenté (PD, Powered
Device), avec 1 ou 2 ports d'appareil alimenté. Sur les appareils comptant 8 ports, le port le
plus élevé sera celui de l'appareil alimenté (les ports d'appareil alimenté ne disposent pas de la
fonctionnalité PSE). En présence de 2 ports d'appareil alimenté, il est conseillé de les
connecter à un seul PSE. Les 2 ports d'appareil alimenté sont fonctionnels s'ils utilisent le
même standard d'alimentation (tous les deux AF, AT ou 60 W PoE).
Pour plus d'informations sur les différentes références et leurs informations PoE, voir
Commutateurs avec alimentation PoE
Considérations relatives à la configuration PoE
Veuillez tenir compte des points suivants lors de la configuration de PoE :
192
•
La quantité d'énergie que le PSE peut fournir.
•
La quantité d'énergie que l'appareil alimenté essaie vraiment de consommer.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
PoE
Les options suivantes peuvent être configurées :
•
Puissance maximale qu'un PSE est autorisé à fournir à un appareil alimenté.
•
Modification du mode de Limite de classe en Limite du port et vice versa alors que
l'appareil fonctionne. Les valeurs de puissance par port qui ont été configurées pour le
mode Limite du port sont conservées.
REMARQUE Remplacer le mode Limite de classe par Limite de port et inversement
tandis que l'appareil PSE fonctionne provoque le redémarrage forcé de l'appareil
alimenté.
•
De la limite de port maximale autorisée en tant que limite numérique par port en mW
(mode Port Limit).
•
De générer un filtre lorsqu'un appareil alimenté essaie de consommer trop d'énergie et
à quel pourcentage de la puissance maximale ce filtre est généré.
Le matériel PoE spécifique détecte automatiquement la classe du PD et sa limite de puissance
en fonction de la classe de l'appareil connecté à chaque port spécifique (mode Limite de
classe).
Si, à tout moment au cours de la connexion, un PD relié nécessite plus de puissance de la part
du PSE que l'allocation configurée ne le permet (que le PSE soit en mode Limite de classe ou
Limite du port), le PSE en question :
•
maintient l'état actif/inactif de la liaison du port PoE ;
•
désactive l'alimentation du port PoE ;
•
consigne le motif de l'arrêt de l'alimentation ;
•
génère une interception SNMP.
Propriétés PoE
REMARQUE
Cette section concerne uniquement les appareils prenant en charge la fonctionnalité PoE.
La page Propriétés PoE permet de sélectionner le mode PoE Limite du port ou Limite de
classe, et de spécifier les filtres PoE à générer.
Ces paramètres sont saisis à l'avance. Lorsque l'appareil alimenté se connecte et consomme de
l'énergie, il peut consommer beaucoup moins que la puissance maximale autorisée.
La puissance de sortie est désactivée lors du redémarrage, de l'initialisation et de la
configuration système pour veiller à ne pas endommager les appareils alimentés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
193
10
Gestion des ports
PoE
Pour configurer PoE sur l'appareil et surveiller la puissance consommée :
ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Propriétés.
ÉTAPE 2 Entrez les valeurs des champs suivants :
•
Mode d'alimentation : sélectionnez l'une des options suivantes :
-
Limite de classe : la limite maximale de puissance par port est déterminée par la
classe de l'appareil, elle-même résultant de l'étape de classification.
-
Limite du port : la limite maximale de puissance de chaque port est configurée par
l'utilisateur.
REMARQUE Lorsque vous modifiez le mode de Limite de port à Limite de classe ou
inversement, vous devez d'abord désactiver les ports PoE, puis les réactiver après avoir
modifié les options de configuration de l'alimentation.
•
Interceptions : permet d'activer ou de désactiver les interceptions. Si les interceptions
sont activées, vous devez également activer SNMP et configurer au moins un
destinataire de notification SNMP.
•
Seuil des interceptions d'alimentation : saisissez le seuil d'utilisation sous la forme
d'un pourcentage de la limite de puissance. Une alarme se déclenche si la puissance
dépasse cette valeur.
•
Version du logiciel : affiche la version logicielle de la puce PoE.
Les compteurs suivants sont affichés pour l'appareil ou pour toutes les unités de la pile :
•
Puissance nominale : quantité totale d'énergie que l'appareil peut fournir à l'ensemble
des appareils alimentés connectés.
•
Consommation : puissance actuellement consommée par les ports PoE.
•
Puissance disponible : puissance nominale moins la quantité d'énergie consommée.
•
Puces PSE et révision matérielle : numéro de révision du matériel et des puces PoE.
ÉTAPE 3 Cliquez sur Appliquer pour enregistrer les propriétés PoE.
194
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
PoE
Paramètres
La page Paramètres affiche les informations PoE système sur l'activation de PoE sur les
interfaces, la surveillance de la consommation actuelle et la limite maximale de puissance par
port en mode Limite du port.
REMARQUE
La fonctionnalité PoE de l'appareil peut être configurée pour une période donnée. Cette
configuration vous permet d'indiquer les jours de la semaine et les heures auxquels la
fonctionnalité PoE est activée pour chaque port. La fonctionnalité PoE est désactivée en dehors
des périodes de temps ainsi spécifiées. Pour utiliser cette option, une période doit d'abord être
définie sur la page Plage horaire.
Cette page limite la puissance par port à une consommation en watts spécifique. Pour que ces
paramètres soient actifs, le système doit être en mode Limite du port PoE. Ce mode est
configuré sur la page Propriétés PoE.
Lorsque l'énergie consommée sur le port dépasse la limite du port, l'alimentation du port est
désactivée.
Exemple de priorité PoE :
Supposition : un appareil doté de 48 ports fournit un total de 375 watts.
L'administrateur configure tous les ports pour qu'ils allouent jusqu'à 30 watts. Au final, si les
48 ports allouent 30 watts chacun, on obtient 1440 watts, ce qui est beaucoup trop. L'appareil
ne peut pas fournir suffisamment d'énergie à chaque port ; il suit donc certaines priorités.
L'administrateur définit la priorité de chaque port, en lui allouant autant de puissance que
possible.
Vous devez entrer ces priorités sur la page Paramètres PoE.
Reportez-vous à la section Paramètres système pour obtenir une description des modèles
d'appareils qui prennent en charge la fonctionnalité PoE et connaître la puissance maximale
pouvant être allouée aux ports PoE.
Pour configurer les paramètres de limite du port PoE :
ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Paramètres.
Les ports sont affichés avec les informations PoE appropriées. Ces champs sont décrits sur la
page Modifier, sauf les champs suivants :
•
Affectation de puissance administrative (mW) : indiquez la quantité d'énergie qui
peut être allouée.
•
État opérationnel : indique si la fonction PoE est actuellement active sur le port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
195
10
Gestion des ports
PoE
•
Standard PoE : affiche le type de fonctionnalité PoE pris en charge, comme 60 W PoE
et 802.3 AT.
ÉTAPE 2 Sélectionnez un port puis cliquez sur Modifier.
ÉTAPE 3 Renseignez les champs suivants :
•
Interface : sélectionnez le port à configurer.
•
État administratif : permet d'activer ou de désactiver PoE sur le port.
•
Période : sélectionnez cette option pour activer la fonctionnalité PoE sur le port.
•
Nom de la période : si l'option Période est activée, choisissez la plage temporelle à
utiliser. Les périodes sont définies sur la page Période. Pour définir une nouvelle
période, cliquez sur Modifier.
•
Niveau de priorité : sélectionnez la priorité du port (faible, élevée ou critique) à utiliser
lorsque l'alimentation est faible. Par exemple, si 99 % de la puissance disponible est
consommée, et que le port 1 a une priorité élevée et le port 3 une priorité faible, le port 1
sera alimenté, contrairement au port 3.
•
Affectation de puissance administrative : ce champ s'affiche uniquement si le mode
d'alimentation Limite du port est défini sur la page Propriétés PoE. Si le mode
d'alimentation Limite du port est sélectionné, saisissez la puissance affectée au port (en
milliwatts).
•
Forcer quatre paires : sélectionnez cette option pour obliger la paire de rechange à
fournir de l'énergie. Cette option permet de fournir une alimentation PoE de 60 watts
aux appareils alimentés ne prenant pas en charge la négociation PoE CDP/LLDP.
•
Affectation de puissance maximale : ce champ s'affiche uniquement si le mode
d'alimentation Limite de puissance est défini sur la page Propriétés PoE. Affiche la
puissance maximale autorisée sur ce port.
•
Puissance négociée : puissance allouée à l'appareil.
•
Protocole de négociation de la puissance : protocole qui détermine la puissance
négociée.
•
Consommation électrique : affiche la puissance (en milliwatts) affectée sous
Paramètres (Limite de classe).
•
Classe : affiche la classe de puissance générée.
La page Paramètres (Limite de classe) affiche les informations PoE système sur l'activation de
PoE sur les interfaces, la surveillance de la consommation actuelle et la limite maximale de
puissance par port.
196
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
PoE
REMARQUE
La fonctionnalité PoE de l'appareil peut être configurée pour une période donnée. Cette
configuration vous permet d'indiquer les jours de la semaine et les heures auxquels la
fonctionnalité PoE est activée pour chaque port. La fonctionnalité PoE est désactivée en dehors
des périodes de temps ainsi spécifiées. Pour utiliser cette option, une période doit d'abord être
définie sur la page Plage horaire.
Cette page permet de limiter la puissance par port en fonction de la classe de l'appareil
alimenté connecté. Pour que ces paramètres soient actifs, le système doit être en mode Limite
de classe PoE. Vous pouvez configurer ce mode sur la page Propriétés PoE.
Lorsque l'énergie consommée sur le port dépasse la limite de classe, l'alimentation du port est
désactivée.
Exemple de priorité PoE :
Reportez-vous à la section Paramètres système pour obtenir une description des modèles
d'appareils qui prennent en charge la fonctionnalité PoE et connaître la puissance maximale
pouvant être allouée aux ports PoE.
Pour configurer les paramètres de limite de classe PoE :
ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Paramètres (Limite de classe).
Les ports sont affichés avec les informations PoE appropriées. Ces champs sont décrits sur la
page Modifier, sauf les champs suivants :
•
Standard PoE : affiche le type de fonctionnalité PoE pris en charge, comme 60 W PoE
et 802.3 AT.
•
État opérationnel : indique si la fonction PoE est actuellement active sur le port.
ÉTAPE 2 Sélectionnez un port puis cliquez sur Modifier.
ÉTAPE 3 Renseignez le champ suivant :
•
Interface : sélectionnez le port à configurer.
•
État administratif : permet d'activer ou de désactiver PoE sur le port.
•
Niveau de priorité : sélectionnez la priorité du port (faible, élevée ou critique) à utiliser
lorsque l'alimentation est faible. Par exemple, si 99 % de la puissance disponible est
consommée, et que le port 1 a une priorité élevée et le port 3 une priorité faible, le port 1
sera alimenté, contrairement au port 3.
•
Forcer quatre paires : activez cette fonctionnalité pour proposer une meilleure
alimentation.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
197
10
Gestion des ports
PoE
•
Consommation électrique : affiche la puissance (en milliwatts) affectée Paramètres
(Limite de classe).
•
Classe : affiche la classe de l'appareil, ce qui indique son niveau de puissance
maximum :
Classe
Puissance maximale fournie par le port de l'appareil
0
30 watts
1
4 watts
2
7 watts
3
15,4 watts
4
30 watts
•
Affectation de puissance maximale : ce champ s'affiche uniquement si le mode
d'alimentation Limite de puissance est défini sur la page Propriétés PoE. Affiche la
puissance maximale autorisée sur ce port.
•
Puissance négociée : puissance allouée à l'appareil.
•
Protocole de négociation de la puissance : protocole qui détermine la puissance
négociée.
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres PoE du port sont consignés dans le fichier de
Configuration d'exécution.
Statistiques
Cette page présente les tendances en matière de consommation électrique, c'est-à-dire la
consommation électrique moyenne au fil du temps. Ces données s'avèrent utiles pour
surveiller le comportement de la fonctionnalité PoE et corriger les erreurs.
L'appareil stocke les valeurs de consommation des ports PoE (en watts) au fil du temps. Cela
permet de calculer et d'afficher la consommation PoE moyenne sur la période spécifiée (jour/
semaine/mois) et de dégager des tendances. Les informations sont fournies pour chaque
interface ainsi que pour l'appareil dans son intégralité.
Les valeurs de consommation PoE sont prélevées toutes les minutes. Les statistiques
quotidiennes, hebdomadaires et mensuelles sont enregistrées dans la mémoire Flash, de sorte
qu'elles restent disponibles après un redémarrage.
198
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
PoE
Voici un exemple de consommation PoE moyenne par port/appareil :
Somme de toutes les valeurs de consommation PoE sur une période/Nombre de
minutes dans la période d'échantillonnage.
Pour afficher la tendance de consommation PoE sur l'appareil et définir les paramètres de la vue :
ÉTAPE 1 Cliquez sur Gestion des ports > PoE > Statistiques.
ÉTAPE 2 Sélectionnez le port dans le champ Interface.
ÉTAPE 3 Sélectionnez la Fréquence d'actualisation.
ÉTAPE 4 Les champs suivants s'affichent pour l'interface sélectionnée :
Historique de consommation
•
Consommation moyenne au cours de la dernière heure : moyenne de toutes les
mesures de consommation PoE au cours de la dernière heure.
•
Consommation moyenne au cours du dernier jour : moyenne de toutes les mesures
de consommation PoE au cours du dernier jour.
•
Consommation moyenne au cours de la dernière semaine : moyenne de toutes les
mesures de consommation PoE au cours de la dernière semaine.
Compteurs d'événements PoE
•
Compteur de surcharges : nombre de conditions de surcharge détectées.
•
Compteur de courts-circuits : nombre de conditions de court-circuit détectées.
•
Compteur de rejets : nombre de conditions de rejet détectées.
•
Compteur d'absences : nombre de conditions d'absence détectées.
•
Compteur de signatures non valides : nombre de conditions de signature non valide
détectées.
Les opérations suivantes peuvent être effectuées sur la page principale :
•
Effacer les compteurs d'événements : efface les compteurs d'événements affichés.
•
Afficher les statistiques de toutes les interfaces : affiche les statistiques ci-dessus
pour toutes les interfaces.
•
Voir le graphique de l'historique des interfaces : affiche les compteurs sous forme
graphique.
•
Actualiser : actualise les compteurs affichés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
199
10
Gestion des ports
Green Ethernet
Vous pouvez effectuer les opérations suivantes en cliquant sur Afficher les statistiques de
toutes les interfaces :
•
Effacer les compteurs d'événements : efface les compteurs d'événements affichés.
•
Afficher les statistiques de l'interface : affiche les statistiques ci-dessus pour une
interface.
•
Afficher le graphique de l'historique des interfaces : affiche les compteurs sous
forme graphique pour l'interface sélectionnée.
•
Actualiser : actualise les compteurs affichés.
Vous pouvez effectuer les opérations suivantes en cliquant sur Afficher le graphique de
l'historique des interfaces :
•
Afficher les statistiques de l'interface : affiche les statistiques d'une interface
sélectionnée sous la forme d'un tableau. Indiquez l'intervalle de temps en heures,
jours, semaines ou années.
•
Afficher les statistiques de toutes les interfaces : affiche les statistiques ci-dessus
pour toutes les interfaces sous la forme d'un tableau. Indiquez l'intervalle de temps en
heures, jours, semaines ou années.
•
Effacer les compteurs d'événements : efface les compteurs.
Green Ethernet
Cette section décrit la fonction Green Ethernet qui est conçue pour réduire la consommation
d'énergie du périphérique.
Elle contient les sections suivantes :
200
•
Présentation de la fonction Green Ethernet
•
Propriétés
•
Paramètres des ports
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Green Ethernet
Présentation de la fonction Green Ethernet
Green Ethernet est le nom d'usage d'un ensemble de fonctions conçues pour respecter
l'environnement et réduire la consommation électrique d'un périphérique. La fonction Green
Ethernet est différente de EEE, puisque la détection d'énergie Green Ethernet est activée sur
tous les périphériques alors qu'avec EEE, seuls les ports Giga-octets sont activés.
La fonction Green Ethernet réduit la consommation énergétique globale comme suit :
•
Mode Détection d'énergie : sur une liaison inactive, le port passe en mode inactif, ce
qui permet d'économiser l'énergie tout en maintenant le port à l'état administratif
Démarré. La sortie de ce mode et le retour au mode entièrement opérationnel sont
rapides, transparents et sans aucune perte de trame. Ce mode est pris en charge sur les
ports GE comme sur les ports FE. Il est désactivé par défaut.
•
Mode Courte portée : cette fonction permet d'économiser de l'énergie sur une courte
longueur de câble. Une fois que la longueur du câble a été analysée, la consommation
d'énergie est ajustée en fonction de cette longueur. Si la longueur de câble est inférieure
à 30 mètres pour des ports 10 Gigabit et 50 mètres pour d'autres types de ports, le
périphérique a besoin de moins de puissance pour envoyer des trames sur ce câble, ce
qui représente une économie d'énergie. Ce mode n'est pris en charge que sur les ports
RJ45 ; il ne s'applique pas aux ports combinés. Il est désactivé par défaut.
Outre les fonctions Green Ethernet ci-dessus, la fonction 802.3az Energy Efficient Ethernet
(EEE) est disponible sur les périphériques prenant en charge les ports GE. EEE réduit la
consommation électrique lorsqu'il n'y a pas de trafic sur le port. Pour plus d'informations,
reportez-vous à Fonction 802.3az Energy Efficient Ethernet (EEE) (uniquement sur les
modèles GE).
EEE est activé par défaut au niveau global. Sur un port GE ou FE donné, si EEE est activé, le
mode Courte portée est désactivé. De même, l'utilisateur doit désactiver EEE avant d'activer le
mode Courte portée. Sur les interfaces XG, le mode Courte portée est toujours activé et il n'y a
pas de restrictions sur les paramètres EEE.
Ces modes peuvent être configurés pour chaque port, sans tenir compte de l'appartenance au
LAG des ports.
Les LED des périphériques consomment de l'énergie. Étant donné que les périphériques se
situent la plupart du temps dans une pièce inoccupée, le fait de maintenir ces LED allumées est
un gaspillage d'énergie. La fonction Green Ethernet permet de désactiver les LED des ports
(liaison, vitesse et PoE) lorsqu'elles ne sont pas nécessaires et de les activer lorsqu'elles le sont
(débogage, raccordement de périphériques supplémentaires, etc.).
Sur la page Récapitulatif du système, les voyants qui sont représentés sur les illustrations des
cartes des appareils ne sont pas affectés par la désactivation des voyants.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
201
10
Gestion des ports
Green Ethernet
Il est possible de contrôler les économies d'énergie, la consommation électrique actuelle et
l'énergie totale économisée. La quantité totale d'énergie économisée est affichée sous la forme
d'un pourcentage de l'énergie qu'auraient consommé les interfaces physiques sans le mode
Green Ethernet.
L'énergie économisée s'affiche uniquement si elle est liée à la fonction Green Ethernet. La
quantité d'énergie économisée par EEE n'apparaît pas.
Économie d'énergie par la désactivation des LED de port
La fonctionnalité de désactivation des LED des ports permet d'économiser l'énergie
consommée par les LED des périphériques. Étant donné que les périphériques se trouvent
souvent dans une pièce inoccupée, le fait de maintenir ces LED allumées est un gaspillage
d'énergie. La fonction Green Ethernet permet de désactiver les LED des ports (liaison, vitesse
et PoE) lorsqu'elles ne sont pas nécessaires et de les activer lorsqu'elles le sont (débogage,
raccordement de périphériques supplémentaires, etc.).
Sur la page Récapitulatif du système, les voyants qui sont représentés sur les illustrations des
cartes des appareils ne sont pas affectés par la désactivation des voyants.
Les LED du port peuvent être désactivées via la page Propriétés.
Fonction 802.3az Energy Efficient Ethernet (EEE)
Cette section décrit la fonction 802.3az Energy Efficient Ethernet (EEE).
Elle couvre les sujets suivants :
202
•
Présentation de 802.3az EEE
•
Négociation des fonctionnalités d'annonce
•
Détection du niveau de liaison pour 802.3az EEE
•
Disponibilité de 802.3az EEE
•
Configuration par défaut
•
Interactions entre les fonctions
•
Flux de travail de configuration de 802.3az EEE
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Green Ethernet
Présentation de 802.3az EEE
802.3az EEE est conçue pour réduire la consommation énergétique lorsqu'il n'y a pas de trafic
sur la liaison. Dans Green Ethernet, la consommation est réduite lorsque le port est inactif.
Avec 802.3az EEE, la consommation est réduite lorsque le port est actif, mais qu'il n'y a pas de
trafic sur celui-ci.
802.3az EEE n'est pas prise en charge sur le port OOB.
REMARQUE
L'état du partenaire de liaison distante peut être affiché uniquement lorsque le débit de la liaison
est de 1G ou 10G.
Lorsque vous utilisez la fonction 802.3az EEE, les systèmes situés aux deux extrémités de la
liaison peuvent désactiver une partie de leurs fonctionnalités et économiser de l'énergie au
cours des périodes sans trafic.
802.3az EEE prend en charge le fonctionnement IEEE 802.3 MAC à 100 Mbit/s et
1 000 Mbit/s :
LLDP permet de sélectionner un ensemble optimal de paramètres pour les deux périphériques.
Si LLDP n'est pas pris en charge par le partenaire de liaison ou s'il est désactivé, la fonction
802.3az EEE reste opérationnelle, mais n'utilise peut-être pas le mode opérationnel optimal.
La fonction 802.3az EEE est implémentée via le mode de port LPI (Low Power Idle).
Lorsqu'il n'y a pas de trafic et que cette fonction est activée sur le port, ce dernier passe en
mode LPI, ce qui réduit de manière importante la consommation énergétique.
Les deux extrémités d'une connexion (le port du périphérique et le périphérique en cours de
connexion) doivent prendre en charge 802.3az EEE pour qu'elle fonctionne. Lorsqu'il n'y a
aucun trafic, les deux extrémités envoient des signaux indiquant que la consommation va être
réduite. Lorsque les signaux provenant des deux extrémités sont reçus, le signal Maintenir
actif indique que les ports ont l'état LPI (et non l'état Inactif) et que la consommation est
réduite.
Pour que les ports restent en mode LPI, le signal Maintenir actif doit être reçu en continu des
deux extrémités.
Négociation des fonctionnalités d'annonce
La prise en charge de la fonction 802.3az EEE est annoncée lors de la phase de négociation
automatique. La négociation automatique permet au périphérique lié de détecter les
fonctionnalités (modes de fonctionnement) prises en charge par le périphérique situé à l'autre
extrémité de la liaison, de déterminer les fonctionnalités communes et de se configurer luimême pour un fonctionnement conjoint. La négociation automatique s'effectue au moment de
la connexion, lors d'une commande exécutée par le système de gestion ou lors de la détection
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
203
10
Gestion des ports
Green Ethernet
d'une erreur de liaison. Au cours du processus d'établissement de la liaison, les deux
partenaires de liaison échangent leurs fonctionnalités 802.3az EEE. La négociation
automatique fonctionne automatiquement sans interaction de l'utilisateur lorsqu'elle est activée
sur le périphérique.
REMARQUE
Si la négociation automatique n'est pas activée sur un port, la fonction EEE est désactivée. Une
seule exception s'applique : si le débit de la liaison est de 1G ou 10G, la fonction EEE est
toujours activée même si la négociation automatique est désactivée.
Détection du niveau de liaison pour 802.3az EEE
Outre les fonctionnalités décrites ci-dessus, les fonctionnalités et paramètres 802.3az EEE
sont également annoncés par le biais de trames qui sont basées sur les TLV spécifiques à
l'organisation et définies dans l'annexe G du protocole IEEE Std 802.1AB (LLDP). LLDP
permet d'optimiser encore davantage le fonctionnement de 802.3az EEE une fois que la
négociation automatique est terminée. La TLV 802.3az EEE permet de définir précisément le
réveil et les durées d'actualisation du système.
Disponibilité de 802.3az EEE
Reportez-vous aux notes de version pour obtenir la liste complète des produits qui prennent en
charge EEE.
Configuration par défaut
Par défaut, les fonctions 802.3az EEE et EEE LLDP sont activées au niveau global et pour
chaque port.
Interactions entre les fonctions
Les interactions de 802.3az EEE avec les autres fonctions sont décrites ci-après :
204
•
Si la négociation automatique n'est pas activée sur le port, l'état opérationnel de la
fonction 802.3az EEE est désactivé. L'exception à cette règle est que si la vitesse de la
liaison est de 1 Go, la fonction EEE est toujours activée même si la négociation
automatique est désactivée.
•
Si la fonction 802.3az EEE est activée et que le port est actif, elle commence à
fonctionner immédiatement conformément à la valeur de réveil maximale du port.
•
Si la vitesse du port sur le port GE passe à 10 Mbit, la fonction 802.3az EEE est
désactivée. Cette fonctionnalité est uniquement prise en charge sur les modèles GE.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Green Ethernet
Flux de travail de configuration de 802.3az EEE
Cette section explique comment configurer la fonction 802.3az EEE et afficher ses compteurs.
ÉTAPE 1 Assurez-vous que la négociation automatique est activée sur le port en ouvrant la page
Gestion des ports > Paramètres des ports.
a. Sélectionnez un port et ouvrez la page Modifier le paramètre de port.
b. Sélectionnez le champ Négociation automatique pour vérifier qu'elle est bien activée.
ÉTAPE 2 Assurez-vous que la fonction 802.3 Energy Efficient Ethernet (EEE) est activée au niveau
global sur la page Propriétés (elle est activée par défaut). Cette page indique également la
quantité d'énergie qui a été économisée.
ÉTAPE 3 Assurez-vous que la fonction 802.3az EEE est activée sur un port en ouvrant la page
Paramètres des ports.
a. Sélectionnez un port et ouvrez la page Modifier le paramètre de port.
b. Activez le mode 802.3 Efficient Energy Ethernet (EEE) sur le port (il est activé par
défaut).
c. Indiquez si vous souhaitez activer ou désactiver l'annonce des fonctionnalités 802.3az EEE
via LLDP dans LLDP 802.3 Energy Efficient Ethernet (EEE) (elle est activée par défaut).
ÉTAPE 4 Pour consulter les informations relatives à 802.3 EEE sur le périphérique local, ouvrez la page
Informations locales LLDP, puis affichez les informations disponibles dans le bloc 802.3
Energy Efficient Ethernet (EEE).
ÉTAPE 5 Pour consulter les informations associées à 802.3az EEE sur l'appareil distant, ouvrez les
pages Informations de voisinage LLDP, puis affichez les informations contenues dans le bloc
802.3 Energy Efficient Ethernet (EEE).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
205
10
Gestion des ports
Green Ethernet
Propriétés
La page Propriétés affiche et active la configuration du mode Green Ethernet pour le
périphérique. Les économies d'énergie actuelles sont également affichées.
Pour activer Green Ethernet et EEE, et afficher les économies d'énergie :
ÉTAPE 1 Cliquez sur Gestion des ports > Green Ethernet > Propriétés.
ÉTAPE 2 Entrez les valeurs des champs suivants :
•
Mode de détection d'énergie : cochez la case pour activer ce mode. Ce paramètre n'est
pas pris en charge par certains périphériques XG.
•
Courte portée : (pour les périphériques non XG) cochez cette case pour activer cette
fonctionnalité.
•
LED des ports : sélectionnez cette option pour activer les LED des ports. Lorsque les
LED des ports sont désactivés, ils n'affichent pas l'état des liaisons, l'activité, etc.
•
802.3 EEE (Energy Efficient Ethernet) : permet d'activer ou de désactiver
globalement le mode EEE.
ÉTAPE 3 Cliquez sur Réinitialiser le compteur d'économie d'énergie pour réinitialiser les
informations sur les économies d'énergie réalisées.
ÉTAPE 4 Cliquez sur Appliquer. Les propriétés Green Ethernet sont écrites dans le fichier de
Configuration d'exécution.
Paramètres des ports
La page Paramètres des ports affiche les modes Green Ethernet et EEE actuels de chaque port,
et permet de configurer la fonction Green Ethernet sur un port par l'intermédiaire de la page
Modifier le paramètre de port. Pour que les modes Green Ethernet fonctionnent sur un port,
vous devez avoir activé ces modes globalement sur la page Propriétés.
Les paramètres EEE s'affichent uniquement pour les périphériques qui disposent de ports GE.
EEE fonctionne uniquement lorsque les ports sont activés pour la négociation automatique.
Seule exception : EEE fonctionne encore même si la négociation automatique est désactivée,
mais que le port a un débit de 1 Go minimum.
Les fonctionnalités Courte portée et Détection d'énergie sont toujours activées sur les
périphériques XG ; elles ne peuvent pas être désactivées. Sur les périphériques équipés de
ports FE ou GE, ces fonctionnalités peuvent être activées ou désactivées.
206
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
10
Gestion des ports
Green Ethernet
Pour définir les paramètres Green Ethernet de chaque port :
ÉTAPE 1 Cliquez sur Gestion des ports > Green Ethernet > Paramètres des ports.
La page Paramètres des ports affiche les éléments suivants :
•
État des paramètres globaux : affiche les éléments suivants :
-
Mode Détection d'énergie : indique si ce mode est activé ou non.
-
Mode Courte portée : indique si ce mode est activé ou non.
-
Mode 802.3 Energy Efficient Ethernet (EEE) : indique si ce mode est activé ou
non.
Pour chaque port, les champs suivants sont décrits :
REMARQUE
Il est possible que certains champs ne s'affichent pas sur certaines références.
•
Port : numéro du port.
•
Détection d'énergie : état du mode de détection d'énergie sur le port :
•
-
Administratif : indique si le mode de détection d'énergie est activé.
-
Opérationnel : indique si le mode de détection d'énergie est actuellement
opérationnel sur le port local. Vous savez ainsi si elle a été activée (État
administratif), si elle a été activée sur le port local et si elle est opérationnelle sur le
port local.
-
Motif : précise pourquoi le mode de détection d'énergie n'est pas opérationnel même
s'il est activé.
Courte portée : état du mode Courte portée sur le port :
-
Administratif : indique si le mode Courte portée est activé.
-
Opérationnel : indique si le mode Courte portée est actuellement opérationnel sur le
port local. Vous savez ainsi si elle a été activée (État administratif), si elle a été
activée sur le port local et si elle est opérationnelle sur le port local.
-
Motif : précise pourquoi le mode Courte portée n'est pas opérationnel même s'il est
activé.
-
Longueur de câble—longueur du câble.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
207
10
Gestion des ports
Green Ethernet
•
802.3 Energy Efficient Ethernet (EEE) : état du port concernant la fonction EEE :
-
Administratif : indique si la fonction EEE est activée.
-
Opérationnel : indique si la fonction EEE est actuellement opérationnelle sur le port
local. Vous savez ainsi si elle a été activée (État administratif), si elle a été activée
sur le port local et si elle est opérationnelle sur le port local.
-
LLDP administratif : indique si l'annonce des compteurs EEE via LLDP est activée.
-
LLDP opérationnel : indique si l'annonce des compteurs EEE via LLDP est
actuellement opérationnelle.
-
Support EEE sur la distance : indique si la fonction EEE est prise en charge sur le
partenaire de liaison. La fonction EEE doit être prise en charge sur les partenaires
de liaison local et distant.
ÉTAPE 2 Sélectionnez un port puis cliquez sur Modifier.
ÉTAPE 3 (Périphériques non XG uniquement) Activez ou désactivez le mode Détection d'énergie sur
le port.
ÉTAPE 4 (Périphériques non XG uniquement) Activez ou désactivez le mode Courte portée sur le port
si le périphérique comporte des ports GE.
ÉTAPE 5 Activez ou désactivez le mode 802.3 Energy Efficient Ethernet (EEE) sur le port.
ÉTAPE 6 Activez ou désactivez le mode 802.3 Energy Efficient Ethernet (EEE) LLDP sur le port
(annonce des fonctionnalités EEE via LLDP).
ÉTAPE 7 Cliquez sur Appliquer. Les paramètres des ports Green Ethernet sont écrits dans le fichier de
Configuration d'exécution.
208
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Ce document décrit la fonction Port intelligent.
Il contient les rubriques suivantes :
•
Présentation
•
Fonctionnement de la fonction Port intelligent
•
Port intelligent automatique
•
Gestion des erreurs
•
Configuration par défaut
•
Relations avec les autres fonctions
•
Tâches courantes de port intelligent
•
Configuration de port intelligent à l'aide de l'interface Web
•
Macros Port intelligent intégrées
Présentation
La fonction Port intelligent constitue un moyen pratique d'enregistrer et de partager des
configurations communes. En appliquant la même macro Port intelligent à plusieurs
interfaces, ces dernières partagent un ensemble commun de configurations.
Il est possible d'appliquer une macro Port intelligent à une interface par nom de macro ou par
Type de port intelligent associé à la macro.Il y a deux façons d'appliquer une macro Port
intelligent par type de port intelligent à une interface :
•
Port intelligent statique : vous attribuez manuellement un type de port intelligent à
une interface. La macro Port intelligent correspondante est alors appliquée à l'interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
209
11
Port intelligent
Présentation
•
Port intelligent automatique : l'option Port intelligent automatique attend qu'un
appareil soit associé à l'interface avant d'appliquer une configuration. Lorsqu'un
appareil est détecté à partir d'une interface, la macro Port intelligent (si elle est
attribuée) qui correspond au Type de port intelligent de l'appareil en cours d'association
est automatiquement appliquée.
La fonction Port intelligent est constituée de plusieurs composants et opère conjointement
avec d'autres fonctions de l'appareil. Ces composants et fonctions sont décrits dans les sections
suivantes :
•
Port intelligent, Types de port intelligent et Macros Port intelligent, décrits dans cette
section.
•
VLAN vocal et Port intelligent, décrits dans la section VLAN voix.
•
LLDP/CDP pour port intelligent, décrits respectivement dans les sections Détection LLDP et Détection - CDP.
Les flux de travail classiques sont également décrits dans la section Tâches courantes de port
intelligent.
Qu'est-ce qu'un port intelligent ?
Un port intelligent est une interface à laquelle une macro intégrée peut être appliquée. Ces
macros sont conçues pour permettre de configurer rapidement l'appareil, afin de répondre aux
exigences de communication et d'utiliser les fonctions des différents types de périphériques
réseau. Les exigences d'accès réseau et de qualité de service (QoS) varient si l'interface est
connectée à un téléphone IP, une imprimante ou un routeur et/ou un point d'accès (AP).
Types de port intelligent
Les Types de port intelligent se réfèrent aux types des appareils associés ou devant être
associés aux ports intelligents. L'appareil prend en charge les types de port intelligent
suivants :
210
•
Imprimante
•
Bureau
•
Invité
•
Serveur
•
Hôte
•
Caméra IP
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Présentation
•
Téléphone IP
•
Téléphone IP+Bureau
•
Commutateur
•
Routeur
•
Point d'accès sans fil
Les Types de port intelligent sont nommés pour décrire le type d'appareil connecté à une
interface. Chaque Type de port intelligent est associé à deux macros Port intelligent. La
première, appelée « la macro », permet d'appliquer la configuration souhaitée. La deuxième,
appelée « l'anti-macro », permet d'annuler toute configuration effectuée par « la macro »
lorsque cette interface change de type de port intelligent.
Le tableau suivant décrit la relation entre les Types de port intelligent et le Port intelligent
automatique.
Type de port intelligent
Pris en charge par le Port
intelligent automatique
Pris en charge par le Port
intelligent automatique par défaut
Inconnu
Non
Non
Par défaut
Non
Non
Imprimante
Non
Non
Bureau
Non
Non
Invité
Non
Non
Serveur
Non
Non
Hôte
Oui
Non
Caméra IP
Non
Non
Téléphone IP
Oui
Oui
Téléphone IP de bureau
Oui
Oui
Commutateur
Oui
Oui
Routeur
Oui
Non
Point d'accès sans fil
Oui
Oui
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
211
11
Port intelligent
Présentation
Types de port intelligent spéciaux
Il existe deux types de port intelligent spéciaux : Par défaut et Inconnu. Ces deux types ne sont
pas associés à des macros, mais servent à indiquer l'état de l'interface par rapport au port
intelligent.
Les types de port intelligent spéciaux sont décrits ci-dessous :
•
Par défaut
Une interface à laquelle un Type de port intelligent n'est pas (encore) attribué a l'état
Port intelligent par défaut.
Si l'option Port intelligent automatique attribue un type de port intelligent à une
interface et que l'interface n'est pas configurée pour être Port intelligent automatique
persistant, alors son type de port intelligent est réinitialisé à la valeur par défaut dans
les cas suivants :
•
-
Une opération de désactivation/activation de la liaison est effectuée sur l'interface.
-
L'appareil est redémarré.
-
Tous les appareils associés à l'interface ont vu leur délai expirer, ce qui est défini
par l'absence d'annonce CDP et/ou LLDP en provenance de l'appareil pendant une
durée spécifiée.
Inconnu
Si une macro Port intelligent est appliquée à une interface et qu'une erreur se produit,
l'état Inconnu est attribué à l'interface. Dans ce cas, les fonctions Smartport (Port
intelligent) et Auto Smartport (Port intelligent automatique) ne sont pas actives sur
l'interface tant que vous n'avez pas corrigé l'erreur et appliqué l'action Reset
(Réinitialiser) (sur la page Paramètres d'interface) qui réinitialise l'état Smartport (Port
intelligent).
Pour obtenir des conseils de dépannage, reportez-vous à la partie flux de travail dans
Tâches courantes de port intelligent.
REMARQUE
212
Dans cette section, l'expression « délai expiré » sert à décrire les messages LLDP et CDP via
leur TTL. Si la fonction Port intelligent automatique est activée, que l'État persistant est
désactivé et qu'aucun message CDP ou LLDP n'est plus reçu sur l'interface avant que les deux
TTL des paquets CDP et LLDP les plus récents ne diminuent à 0, l'anti-macro est exécutée et
le Type de port intelligent est réinitialisé à ses valeurs par défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Présentation
Macros Port intelligent
Une macro Port intelligent est un script qui configure une interface de manière appropriée
pour un appareil réseau spécifique.
Ne confondez pas les macros Port intelligent avec les macros globales. Les macros globales
configurent l'appareil de manière globale, alors que l'étendue d'une macro Port intelligent est
limitée à l'interface à laquelle elle s'applique.
Le code source de la macro peut être trouvé en exécutant la commande show parser macro
name [macro_name] en mode d'exécution privilégiée de l'interface de ligne de commande
(CLI) ou en cliquant sur le bouton Afficher la source de la macro sur la page Paramètres de
type.
Une macro et l'anti-macro correspondante sont couplées en association avec chaque Type de
port intelligent. La macro applique la configuration et l'anti-macro la supprime.
Deux macros Port intelligent sont couplées par leurs noms de la manière suivante :
•
macro_name (par exemple : printer)
•
no_macro_name (par exemple : no_printer, l'anti-macro Port intelligent inverse de la
macro Port intelligent printer)
Pour afficher la liste des macros Port intelligent intégrées pour chaque type d'appareil,
reportez-vous à la section Macros Port intelligent intégrées.
Application d'un Type de port intelligent à une interface
Lorsque des Types de port intelligent sont appliqués aux interfaces, les Types de port
intelligent et la configuration dans les macros Port intelligent associées sont enregistrés dans le
fichier de Configuration d'exécution. Si l'administrateur enregistre le fichier de Configuration
d'exécution dans le fichier de Configuration de démarrage, l'appareil applique les Types de
port intelligent et les macros Port intelligent aux interfaces après le redémarrage du système,
comme suit :
•
Si le fichier de Configuration de démarrage ne spécifie pas de Type de port intelligent
pour une interface, son Type de port intelligent est défini sur Par défaut.
•
Si le fichier de Configuration de démarrage spécifie un Type de port intelligent
statique, le Type de port intelligent de l'interface est défini sur ce type statique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
213
11
Port intelligent
Présentation
•
Si le fichier de Configuration de démarrage spécifie un Type de port intelligent qui a
été dynamiquement attribué par la fonction Port intelligent automatique.
-
Si l'état Auto Smartport Global Operational (Port intelligent automatique global
opérationnel), l'état Port intelligent automatique de l'interface et l'état Persistant
sont tous activés, le type de port intelligent est défini sur ce type dynamique.
-
Sinon, l'anti-macro correspondante est appliquée et l'état de l'interface est défini sur
Par défaut.
Échec de la macro et opération de réinitialisation
Une macro Port intelligent peut échouer s'il y a un conflit entre la configuration existante de
l'interface et une macro Port intelligent.
Lorsqu'une macro Port intelligent échoue, un message SYSLOG contenant les paramètres
suivants est envoyé :
•
Numéro de port
•
Type de port intelligent
•
Numéro de ligne de la commande CLI ayant échoué dans la macro
Lorsqu'une macro Port intelligent échoue sur une interface, l'état de l'interface est défini sur
Inconnu. La raison de l'échec peut être affichée sur la page Paramètres d'interface, dans la
fenêtre contextuelle Show Diagnostics (Afficher les diagnostics).
Une fois que la source du problème a été identifiée et que la configuration existante ou la
macro Port intelligent a été corrigée, vous devez effectuer une opération de réinitialisation de
'interface avant de pouvoir la réappliquer avec un type de port intelligent (sur les pages
Paramètres d'interface). Pour obtenir des conseils de dépannage, reportez-vous à la partie flux
de travail dans Tâches courantes de port intelligent.
214
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Fonctionnement de la fonction Port intelligent
11
Fonctionnement de la fonction Port intelligent
Il est possible d'appliquer une macro Port intelligent à une interface par le type de port
intelligent associé à la macro.
Puisque le système prend en charge les Types de port intelligent correspondant aux appareils
qui ne peuvent pas être découverts via CDP et/ou LLDP, ces Types de port intelligent doivent
être attribués de manière statique aux interfaces souhaitées. Pour ce faire, accédez à la page
Paramètres d'interface, sélectionnez la case d'option correspondant à l'interface souhaitée, puis
cliquez sur Edit (Modifier). Sélectionnez ensuite le Type de port intelligent que vous
souhaitez attribuer, puis réglez les paramètres si nécessaire avant de cliquer sur Appliquer.
Il y a deux façons d'appliquer une macro Port intelligent par type de port intelligent à une
interface :
•
Port intelligent statique
Vous attribuez manuellement un Type de port intelligent à une interface. La macro Port
intelligent correspondante est appliquée à l'interface. Sur la page Paramètres
d'interface, vous pouvez attribuer manuellement un type de port intelligent à une
interface.
•
Port intelligent automatique
Lorsqu'un appareil est détecté à partir d'une interface, la macro Port intelligent (si elle
est présente) qui correspond au Type de port intelligent de l'appareil en cours
d'association est automatiquement appliquée. La fonction Port intelligent automatique
est activée par défaut au niveau global et au niveau de l'interface.
Dans les deux cas, l'anti-macro associée est exécutée lorsque le Type de port intelligent est
supprimé de l'interface, et l'anti-macro est exécutée exactement de la même manière,
supprimant ainsi toute la configuration de l'interface.
Port intelligent automatique
Pour que le Port intelligent automatique attribue automatiquement des Types de port
intelligent aux interfaces, la fonction Port intelligent automatique doit être activée au niveau
global et sur les interfaces pertinentes que le port intelligent automatique doit être autorisé à
configurer. Par défaut, le Port intelligent automatique est activé et autorisé à configurer toutes
les interfaces. Le type de port intelligent attribué à chaque interface est déterminé par les
paquets CDP et LLDP reçus respectivement sur chaque interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
215
11
Port intelligent
Port intelligent automatique
•
Si plusieurs appareils sont associés à une interface, un profil de configuration adapté à
tous les appareils est si possible appliqué à l'interface.
•
Si un appareil est arrivé à expiration (ne reçoit plus d'annonces des autres appareils), la
configuration de l'interface est modifiée conformément à son État persistant. Si l'État
persistant est activé, la configuration de l'interface est conservée. Sinon, le Type de
port intelligent revient à ses valeurs par défaut.
Activation du Port intelligent automatique
Le port intelligent automatique peut être activé au niveau global sur la page Propriétés en
procédant comme suit :
REMARQUE
•
Activé : active manuellement le Port intelligent automatique et le rend opérationnel
immédiatement.
•
Activer par VLAN voix automatique : permet au Port intelligent automatique de
fonctionner si la fonction VLAN voix automatique est activée et opérationnelle.
Activer par VLAN voix automatique est la valeur par défaut.
Outre l'activation du Port intelligent automatique au niveau global, vous devez aussi activer le
Port intelligent automatique sur l'interface souhaitée. Par défaut, le Port intelligent automatique
est activé sur toutes les interfaces.
Pour plus d'informations sur l'activation du VLAN voix automatique, reportez-vous à la
section VLAN voix.
Identification du Type de port intelligent
Si le port intelligent automatique est activé au niveau global (sur la page Propriétés) et sur une
interface (sur la page Paramètres d'interface), l'appareil applique une macro Port intelligent à
l'interface conformément au type de port intelligent de l'appareil en cours d'association. Le
Port intelligent automatique détecte les Types de port intelligent des appareils en cours
d'association, sur la base des fonctionnalités CDP et/ou LLDP notifiées par les appareils.
Par exemple, si un téléphone IP est associé à un port, il transmet des paquets CDP ou LLDP
qui annoncent ses fonctionnalités. Après réception de ces paquets CDP et/ou LLDP, l'appareil
détecte le Type de port intelligent approprié au téléphone et applique la macro Port intelligent
correspondante à l'interface à laquelle le téléphone IP est associé.
216
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Port intelligent automatique
À moins que le Port intelligent automatique persistant ne soit activé sur une interface, le Type
de port intelligent et la configuration générée qui est appliquée par le Port intelligent
automatique sont supprimés si le ou les périphériques en cours d'association arrivent à
expiration, passent en liaison inactive ou redémarrent, ou si le périphérique connecté reçoit des
fonctionnalités conflictuelles. Les délais d'expiration sont déterminés par l'absence
d'annonces CDP et/ou LLDP en provenance de l'appareil pendant une durée spécifiée.
Utilisation des informations CDP/LLDP pour identifier les Types de port
intelligent
L'appareil détecte le type d'appareil associé au port, sur la base des fonctionnalités CDP/LLDP.
Ce mappage est présenté dans les tableaux suivants :
Mise en correspondance des fonctionnalités CDP avec le type de port intelligent
Nom de la fonctionnalité
Bit CDP
Type de port intelligent
Routeur
0x01
Routeur
Pont TB
0x02
Point d'accès sans fil
Pont SR
0x04
Ignorer
Commutateur
0x08
Commutateur
Hôte
0x10
Hôte
Filtrage conditionnel IGMP
0x20
Ignorer
Répéteur
0x40
Ignorer
Téléphone VoIP
0x80
ip_phone
Appareil géré à distance
0x100
Ignorer
Port de téléphone CAST
0x200
Ignorer
Relais MAC à deux ports
0x400
Ignorer
Mise en correspondance des fonctionnalités LLDP avec le type de port intelligent
Nom de la fonctionnalité
Bit LLDP
Type de port intelligent
Autre
1
Ignorer
Répéteur IETF RFC 2108
2
Ignorer
Pont MAC IEEE Std. 802.1D
3
Commutateur
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
217
11
Port intelligent
Port intelligent automatique
Mise en correspondance des fonctionnalités LLDP avec le type de port intelligent (suite)
REMARQUE
Nom de la fonctionnalité
Bit LLDP
Type de port intelligent
Point d'accès WLAN IEEE Std. 802.11 MIB
4
Point d'accès sans fil
Routeur IETF RFC 1812
5
Routeur
Téléphone IETF RFC 4293
6
ip_phone
Système de câble DOCSIS IETF RFC 4639 et
IETF RFC 4546
7
Ignorer
Station uniquement IETF RFC 4293
8
Hôte
Composant C-VLAN d'un pont VLAN IEEE
Std. 802.1Q
9
Commutateur
Composant S-VLAN d'un pont VLAN IEEE
Std. 802.1Q
10
Commutateur
Relais MAC à deux ports (TPMR) IEEE Std.
802.1Q
11
Ignorer
Réservé
12-16
Ignorer
Si seul le téléphone IP et les bits hôtes sont définis, le Type de port intelligent est
ip_phone_desktop.
Plusieurs appareils associés au port
L'appareil détecte le Type de port intelligent d'un appareil connecté via les fonctionnalités que
l'appareil annonce dans ses paquets CDP et/ou LLDP.
Si plusieurs appareils sont connectés à l'appareil par le biais d'une seule interface, le Port
intelligent automatique utilise chaque annonce de fonctionnalité qu'il reçoit via cette interface
pour attribuer le Type de port intelligent correct. L'attribution est basée sur l'algorithme
suivant :
218
•
Si tous les appareils présents sur une interface annoncent la même fonctionnalité (il n'y
a pas de conflit), le Type de port intelligent correspondant est appliqué à l'interface.
•
Si l'un des appareils est un commutateur, le Type de port intelligent Commutateur est
utilisé.
•
Si l'un des appareils est un point d'accès, le Type de port intelligent Point d'accès sans
fil est utilisé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Gestion des erreurs
•
Si l'un des appareils est un téléphone IP et qu'un autre appareil est un hôte, le type de
port intelligent ip_phone_desktop est utilisé.
•
Si l'un des appareils est un téléphone IP de bureau et que l'autre est un téléphone IP ou
un hôte, le type de port intelligent ip_phone_desktop est utilisé.
•
Dans tous les autres cas, le Type de port intelligent par défaut est utilisé.
Pour plus d'informations sur LLDP/CDP, reportez-vous respectivement aux sections Détection
- LLDP et Détection - CDP.
Interface du Port intelligent automatique persistant
Si l'État persistant d'une interface est activé, son Type de port intelligent et la configuration qui
est déjà appliquée dynamiquement par le Port intelligent automatique sont conservés sur
l'interface, même si l'appareil en cours d'association est arrivé à expiration, l'interface a été
désactivée et l'appareil a été redémarré (si l'on part du principe que la configuration a été
enregistrée). Le Type de port intelligent et la configuration de l'interface ne sont pas modifiés,
sauf si le Port intelligent automatique détecte un appareil en cours d'association avec un autre
Type de port intelligent. Si l'État persistant d'une interface est désactivé, l'interface rétablit le
Type de port intelligent par défaut lorsque l'appareil en cours d'association arrive à expiration,
l'interface est désactivée ou l'appareil est redémarré. L'activation de l'État persistant sur une
interface élimine le retard de détection de l'appareil.
REMARQUE
La persistance des Types de port intelligent appliqués aux interfaces est effective entre les
redémarrages uniquement si la configuration d'exécution avec le Type de port intelligent
appliqué aux interfaces est enregistrée dans le fichier de Configuration de démarrage.
Gestion des erreurs
Lorsque l'application d'une macro Port intelligent à une interface échoue, vous pouvez
examiner le point d'échec sur la page Paramètres d'interface, réinitialiser le port et réappliquer
la macro une fois que l'erreur a été corrigée via la page Paramètres d'interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
219
11
Port intelligent
Configuration par défaut
Configuration par défaut
Le port intelligent est toujours disponible. Par défaut, le Port intelligent automatique est activé
par le VLAN voix automatique, se base sur CDP et LLDP pour détecter le type de port
intelligent de l'appareil en cours d'association, et détecte le type de port intelligent
Téléphone IP, Téléphone IP+Bureau, Commutateur ou Point d'accès sans fil.
Pour obtenir une description des valeurs de voix par défaut, reportez-vous à la section VLAN
voix.
Relations avec les autres fonctions
La fonction Port intelligent automatique est activée par défaut. Vous avez la possibilité de la
désactiver. Les OUI de téléphonie ne peuvent actuellement pas fonctionner avec les fonctions
Port intelligent automatique et VLAN voix automatique. Le Port intelligent automatique doit
être désactivé avant d'activer le OUI de téléphonie.
Tâches courantes de port intelligent
Cette section décrit quelques tâches courantes permettant de configurer le Port intelligent et le
Port intelligent automatique.
Flux de travail 1 : pour activer globalement le Port intelligent automatique sur
l'appareil et configurer un port avec la fonction Port intelligent automatique, procédez
comme suit :
ÉTAPE 1 Pour activer la fonction Auto Smartport (Port intelligent automatique) sur l'appareil, ouvrez la
page Propriétés. Définissez Port intelligent automatique administratif sur Activer ou
Activer par VLAN voix.
ÉTAPE 2 Spécifiez si l'appareil doit traiter les annonces CDP et/ou LLDP des appareils connectés.
ÉTAPE 3 Sélectionnez le type des appareils à détecter dans le champ Détection périphérique de port
intelligent auto.
ÉTAPE 4 Cliquez sur Appliquer.
ÉTAPE 5 Pour activer la fonction Auto Smartport (Port intelligent automatique) sur une ou plusieurs
interfaces, ouvrez la page Paramètres d'interface.
220
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Tâches courantes de port intelligent
ÉTAPE 6 Sélectionnez l'interface et cliquez sur Modifier.
ÉTAPE 7 Sélectionnez Port intelligent automatique dans le champ Application de port intelligent.
ÉTAPE 8 Cochez ou décochez État persistant.
ÉTAPE 9 Cliquez sur Appliquer.
Flux de travail 2 : pour configurer une interface en tant que port intelligent statique,
procédez comme suit :
ÉTAPE 1 Pour activer la fonction Smartport (Port intelligent) sur l'interface, ouvrez la page Paramètres
d'interface.
ÉTAPE 2 Sélectionnez l'interface et cliquez sur Modifier.
ÉTAPE 3 Sélectionnez le type de port intelligent que vous souhaitez attribuer à l'interface dans le champ
Application de port intelligent.
ÉTAPE 4 Définissez les paramètres de macro souhaités.
ÉTAPE 5 Cliquez sur Appliquer.
Flux de travail 3 : pour définir les valeurs par défaut des paramètres de macro Port
intelligent, procédez comme suit :
Cette procédure vous permet d'effectuer les tâches suivantes :
•
Afficher la source de la macro.
•
Modifier les valeurs par défaut des paramètres.
•
Restaurer les paramètres d'usine.
ÉTAPE 1 Ouvrez la page Paramètres de type.
ÉTAPE 2 Sélectionnez le Type de port intelligent.
ÉTAPE 3 Cliquez sur Afficher la source de la macro pour afficher la macro Port intelligent actuelle qui
est associée au Type de port intelligent sélectionné.
ÉTAPE 4 Cliquez sur Modifier pour ouvrir une nouvelle fenêtre dans laquelle vous pouvez modifier les
valeurs par défaut des paramètres dans les macros qui sont liées à ce type de port intelligent.
Les valeurs par défaut de ces paramètres sont utilisées lorsque le Port intelligent automatique
applique le Type de port intelligent sélectionné (le cas échéant) à une interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
221
11
Port intelligent
Tâches courantes de port intelligent
ÉTAPE 5 Sur la page Modifier, modifiez les champs.
ÉTAPE 6 Cliquez sur Appliquer pour rétablir la macro si les paramètres ont changé.
Flux de travail 4 : pour réexécuter une macro Port intelligent si celle-ci a échoué,
procédez comme suit :
ÉTAPE 1 Sur la page Paramètres d'interface, sélectionnez une interface avec le type de port intelligent
Unknown (Inconnu).
ÉTAPE 2 Cliquez sur Afficher les diagnostics pour visualiser le problème.
ÉTAPE 3 Lancez la procédure de dépannage, puis corrigez le problème. Reportez-vous au conseil de
dépannage ci-dessous.
ÉTAPE 4 Cliquez sur Modifier. Une nouvelle fenêtre s'ouvre. Cliquez sur Réinitialiser pour
réinitialiser l'interface.
ÉTAPE 5 Revenez à la page principale et réappliquez la macro en utilisant Réappliquer (pour les
appareils qui ne sont ni des commutateurs, ni des routeurs ni des points d'accès) ou
Réappliquer la macro de port intelligent (pour les commutateurs, routeurs ou points
d'accès) afin d'exécuter la macro Port intelligent sur l'interface.
Il existe une deuxième méthode de réinitialisation d'une ou plusieurs interfaces inconnues :
ÉTAPE 1 Sur la page Paramètres d'interface, activez la case à cocher Port Type equals to (Type de port
est égal à).
ÉTAPE 2 Sélectionnez Inconnu et cliquez sur OK.
ÉTAPE 3 Cliquez sur Réinitialiser tous les ports intelligents inconnus. Réappliquez ensuite la macro
comme indiqué ci-dessus.
ASTUCE
222
L'échec de la macro peut être dû à un conflit avec une configuration de l'interface qui a été
effectuée avant l'application de la macro (le plus souvent rencontré dans les paramètres de
sécurité et de contrôle des tempêtes), un type de port incorrect, une typo ou une commande
incorrecte dans la macro définie par l'utilisateur ou encore une valeur de paramètre non valide.
Les paramètres sont contrôlés, sans prise en compte du type ou de la limite, avant la tentative
d'application de la macro. Par conséquent, une entrée incorrecte ou non valide pour une valeur
de paramètre se soldera presque assurément par un échec lors de l'application de la macro.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Configuration de port intelligent à l'aide de l'interface Web
11
Configuration de port intelligent à l'aide de l'interface Web
Vous pouvez configurer la fonction Port intelligent sur les pages Port intelligent > Propriétés,
Paramètres de type de port intelligent et Paramètres d'interface.
Pour la configuration du VLAN vocal, reportez-vous à la section VLAN voix.
Pour la configuration de LLDP/CDP, reportez-vous respectivement aux sections Détection LLDP et Détection - CDP.
Propriétés
Pour configurer la fonction Port intelligent globalement :
ÉTAPE 1 Cliquez sur Port intelligent > Propriétés.
ÉTAPE 2 Saisissez les paramètres.
•
Port intelligent automatique administratif : sélectionnez cette option pour activer ou
désactiver globalement le Port intelligent automatique. Les options suivantes sont
disponibles :
-
Désactiver : sélectionnez cette option pour désactiver le Port intelligent
automatique sur l'appareil.
-
Activer : sélectionnez cette option pour activer le Port intelligent automatique sur
l'appareil.
-
Activer par VLAN voix automatique : cette option active le Port intelligent
automatique, mais ne le rend opérationnel que lorsque le VLAN voix automatique
est aussi activé et opérationnel. Activer par VLAN voix automatique est la valeur
par défaut.
•
Port intelligent automatique opérationnel : affiche l'état de la fonction Port
intelligent automatique.
•
Méthode de détection périphérique de port intelligent auto. : indiquez si les types
de paquets entrants CDP et/ou LLDP doivent être utilisés pour détecter le type de port
intelligent des appareils en cours d'association. Vous devez cocher au moins un type
pour que le Port intelligent automatique puisse identifier les appareils.
•
État CDP opérationnel : affiche l'état opérationnel de CDP. Activez CDP si le Port
intelligent automatique doit détecter le type de port intelligent à partir de
l'annonce CDP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
223
11
Port intelligent
Configuration de port intelligent à l'aide de l'interface Web
•
État LLDP opérationnel : affiche l'état opérationnel de LLDP. Activez LLDP si le
Port intelligent automatique doit détecter le type de port intelligent à partir de
l'annonce LLDP/LLDP-MED.
•
Détection périphérique de port intelligent auto. : sélectionnez chaque type d'appareil
pour lequel le Port intelligent automatique peut attribuer des types de port intelligent
aux interfaces. Si vous ne cochez pas cette option, le Port intelligent automatique
n'attribue ce Type de port intelligent à aucune interface.
ÉTAPE 3 Cliquez sur Appliquer. Vous appliquez ainsi les paramètres de Port intelligent globaux sur
l'appareil.
Paramètres de type
Utilisez la page Paramètres de type de port intelligent pour modifier les paramètres de type de
port intelligent et afficher la source de la macro.
Par défaut, chaque Type de port intelligent est associé à une paire de macros Port intelligent
intégrées. Pour plus d'informations sur la macro et l'anti-macro, reportez-vous à la section
Types de port intelligent. Les macros intégrées ou définies par l'utilisateur peuvent comporter
des paramètres. Les macros intégrées peuvent intégrer jusqu'à trois paramètres.
La modification de ces paramètres pour les Types de port intelligent qui sont appliqués par le
Port intelligent automatique sur la page Paramètres de type de port intelligent configure les
valeurs par défaut de ces paramètres. Ces valeurs par défaut sont utilisées par le Port
intelligent automatique.
REMARQUE
Une fois les modifications apportées aux types Port intelligent automatique, les nouveaux
paramètres sont appliqués aux interfaces auxquelles le Port intelligent automatique a déjà
attribué ce type. Dans ce cas, si vous liez une macro non valide ou définissez une valeur par
défaut non valide pour un paramètre, tous les ports de ce Type de port intelligent deviennent
inconnus.
ÉTAPE 1 Cliquez sur Port intelligent > Paramètres de type de port intelligent.
ÉTAPE 2 Pour afficher la macro Port intelligent associée à un Type de port intelligent, sélectionnez un
Type de port intelligent, puis cliquez sur Afficher la source de la macro.
ÉTAPE 3 Pour modifier les paramètres d'une macro, sélectionnez un Type de port intelligent, puis
cliquez sur Modifier.
224
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Configuration de port intelligent à l'aide de l'interface Web
11
ÉTAPE 4 Renseignez les champs.
•
Type de port : sélectionnez un type de port intelligent.
•
Nom de la macro : affiche le nom de la macro Port intelligent actuellement associée au
type de port intelligent.
•
Paramètres de macro : affiche les champs suivants pour trois paramètres dans la
macro :
-
Nom du paramètre : nom du paramètre dans la macro.
-
Valeur du paramètre : valeur actuelle du paramètre dans la macro. Vous pouvez la
modifier ici.
-
Description du paramètre : description du paramètre.
ÉTAPE 5 Cliquez sur Appliquer pour enregistrer les modifications dans la configuration d'exécution. Si
la macro Port intelligent et/ou ses valeurs de paramètre associées au Type de port intelligent
sont modifiées, le Port intelligent automatique réapplique automatiquement la macro aux
interfaces qui sont actuellement attribuées avec le Type de port intelligent par le Port
intelligent automatique. Le Port intelligent automatique n'applique pas les modifications aux
interfaces auxquelles un Type de port intelligent a été attribué de façon statique.
REMARQUE
Il n'existe aucune méthode permettant de valider les paramètres de macro, car ils n'ont aucune
association de type. Toutefois, n'importe quelle entrée est valide à ce stade. Néanmoins, des
valeurs de paramètre non valides peuvent entraîner des erreurs lorsque le Type de port
intelligent est attribué à une interface appliquant la macro associée.
Paramètres d'interface
Utilisez la page Paramètres d'interface pour effectuer les tâches suivantes :
•
Appliquez de manière statique un type de port intelligent spécifique à une interface,
avec des valeurs propres à l'interface pour les paramètres de macro.
•
Activez le Port intelligent automatique sur une interface.
•
Diagnostiquez une macro Port intelligent dont l'application a échoué et a généré l'état
Inconnu du Type de port intelligent.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
225
11
Port intelligent
Configuration de port intelligent à l'aide de l'interface Web
•
Appliquez à nouveau une macro Port intelligent après son échec pour toutes les
interfaces ou l'un des types d'interface suivants : commutateur, routeur et point d'accès
(AP). Vous devez avoir effectué les corrections nécessaires avant de cliquer sur Apply
(Appliquer). Pour obtenir des conseils de dépannage, reportez-vous à la partie flux de
travail dans Tâches courantes de port intelligent.
•
Réappliquez une macro Port intelligent à une interface. Dans certaines circonstances,
il se peut que vous souhaitiez réappliquer une macro Port intelligent pour mettre à jour
la configuration sur une interface. Par exemple, en réappliquant une macro Port
intelligent d'appareil sur une interface de commutateur, l'interface devient membre des
VLAN qui ont été créés depuis la dernière application de la macro. Vous devez
connaître les configurations actuelles de l'appareil et la définition de la macro pour
déterminer si une réapplication aura un impact sur l'interface.
•
Réinitialisez les interfaces inconnues. Le mode des interfaces inconnues est ainsi défini
sur Par défaut.
Pour appliquer une macro Port intelligent :
ÉTAPE 1 Cliquez sur Port intelligent > Paramètres d'interface.
Pour réappliquer les dernières macro Port intelligent qui étaient associées à un groupe
d'interfaces, cliquez sur l'une des options suivantes :
•
Tous les commutateurs, routeurs et point d'accès sans fil : les macros sont
réappliquées à toutes les interfaces.
•
All Switches (Tous les commutateurs) : les macros sont réappliquées à toutes les
interfaces définies en tant que commutateurs.
•
All Routers (Tous les routeurs) : les macros sont réappliquées à toutes les interfaces
définies en tant que routeurs.
•
Tous les points d'accès sans fil : les macros sont réappliquées à toutes les interfaces
définies en tant que points d'accès.
Pour réappliquer les macros Port intelligent associées à une interface spécifique,
sélectionnez cette interface (elle doit être opérationnelle) et cliquez sur Reapply
(Réappliquer) pour réappliquer la dernière macro appliquée à l'interface.
L'action Réappliquer ajoute aussi l'interface à tous les VLAN nouvellement créés.
226
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Configuration de port intelligent à l'aide de l'interface Web
11
ÉTAPE 2 Diagnostic de port intelligent.
Si une macro Port intelligent échoue, le Type de port intelligent de l'interface est Inconnu.
Sélectionnez une interface dont le type est inconnu, puis cliquez sur Afficher les diagnostics.
Le système affiche la commande où l'application de la macro a échoué. Pour obtenir des
conseils de dépannage, reportez-vous à la partie flux de travail dans Tâches courantes de port
intelligent. Corrigez le problème et réappliquez la macro.
ÉTAPE 3 Réinitialisation de toutes les interfaces inconnues au type Par défaut.
REMARQUE
•
Cochez la case Type de port intelligent est égal à.
•
Sélectionnez Inconnu.
•
Cliquez sur Go.
•
Cliquez sur Réinitialiser tous les ports intelligents inconnus. Réappliquez ensuite la
macro comme indiqué ci-dessus. Cette opération réinitialise l'ensemble des interfaces
de type Inconnu, ce qui signifie que le type Par défaut est réattribué à toutes les
interfaces. Une fois que vous avez corrigé l'erreur dans la macro et/ou dans la
configuration d'interface actuelle, vous pouvez appliquer une nouvelle macro.
La réinitialisation de l'interface de type inconnu ne réinitialise pas la configuration effectuée par
la macro qui a échoué. Ce nettoyage doit être réalisé manuellement.
Pour attribuer un type de port intelligent à une interface ou activer la fonction Port intelligent
automatique sur l'interface :
ÉTAPE 1 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 2 Renseignez les champs.
•
Interface : sélectionnez le port ou LAG.
•
Type de port intelligent : affiche le type de port intelligent actuellement attribué au
port/LAG.
•
Application de port intelligent : sélectionnez le type de port intelligent dans le menu
déroulant Application de port intelligent.
•
Méthode d'application de port intelligent : si Port intelligent automatique est
sélectionné, le type de port intelligent est automatiquement attribué en fonction de
l'annonce CDP et/ou LLDP reçue des appareils en cours de connexion, et la macro Port
intelligent correspondante est appliquée. Pour attribuer un Type de port intelligent de
manière statique et appliquer la macro Port intelligent correspondante à l'interface,
sélectionnez le Type de port intelligent souhaité.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
227
11
Port intelligent
Macros Port intelligent intégrées
•
État persistant : sélectionnez cette option pour activer l'état persistant. S'il est activé,
l'association d'un Type de port intelligent à une interface est conservée même si
l'interface est désactivée ou que l'appareil est redémarré. L'État persistant s'applique
uniquement si l'Application de port intelligent de l'interface est Port intelligent
automatique. L'activation de l'État persistant sur une interface élimine le retard de
détection de l'appareil.
•
Paramètres de macro : affiche les champs suivants pour un maximum de trois
paramètres dans la macro :
-
Nom du paramètre : nom du paramètre dans la macro.
-
Valeur du paramètre : valeur actuelle du paramètre dans la macro. Vous pouvez la
modifier ici.
-
Description du paramètre : description du paramètre.
ÉTAPE 3 Cliquez sur Réinitialiser pour définir une interface sur Par défaut si son état est Inconnu (en
raison d'un échec d'application de macro). La macro peut être réappliquée sur la page
principale.
ÉTAPE 4 Cliquez sur Appliquer pour mettre à jour les modifications et attribuer le Type de port
intelligent à l'interface.
Macros Port intelligent intégrées
Vous trouverez ci-dessous une description de la paire de macros intégrées pour chaque Type de
port intelligent. Pour chaque Type de port intelligent, une macro permet de configurer
l'interface et une anti-macro permet de supprimer la configuration.
Le code de macro des types de port intelligent suivants est indiqué ci-après :
228
•
desktop
•
printer
•
guest
•
server
•
host
•
ip_camera
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
11
Port intelligent
Macros Port intelligent intégrées
•
ip_phone
•
ip_phone_desktop
•
switch
•
router
•
ap
desktop
[desktop]
#interface configuration, for increased network security and reliability when
connecting a desktop device, such as a PC, to a switch port. (configuration
d'interface pour une sécurité et une fiabilité réseau accrues au moment de
connecter un périphérique de bureau, tel qu'un PC à un port de commutateur.)
#macro description Desktop
#macro keywords $native_vlan $max_hosts
#
#macro key description:
$native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$max_hosts: Nombre maximum de périphériques autorisés
sur le port
#Default Values are
#$native_vlan = Default VLAN
#$max_hosts = 10
#
#the port type cannot be detected automatically
#
#the default mode is trunk
smartport switchport trunk native vlan $native_vlan
#
port security max $max_hosts
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_desktop
[no_desktop]
#macro description No Desktop
#
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
229
11
Port intelligent
Macros Port intelligent intégrées
#
no port security
no port security mode
no port security max
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
printer
[printer]
#macro description printer
#macro keywords $native_vlan
#
#macro key description: $native_vlan: VLAN sans balise qui sera configuré sur
le port
#Default Values are
#$native_vlan = Default VLAN
#
#the port type cannot be detected automatically
#
switchport mode access
switchport access vlan $native_vlan
#
#single host
port security max 1
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_printer
[no_printer]
#macro description No printer
#
no switchport access vlan
no switchport mode
#
no port security
230
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Macros Port intelligent intégrées
11
no port security mode
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
guest
[guest]
#macro description guest
#macro keywords $native_vlan
#
#macro key description: $native_vlan: VLAN sans balise qui sera configuré
sur le port
#Default Values are
#$native_vlan = Default VLAN
#
#the port type cannot be detected automatically
#
switchport mode access
switchport access vlan $native_vlan
#
#single host
port security max 1
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_guest]]
[no_guest]
#macro description No guest
#
no switchport access vlan
no switchport mode
#
no port security
no port security mode
#
no smartport storm-control broadcast enable
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
231
11
Port intelligent
Macros Port intelligent intégrées
no smartport storm-control broadcast level
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
server
[server]
#macro description server
#macro keywords $native_vlan $max_hosts
#
#macro key description:
$native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$max_hosts: Nombre maximum de périphériques autorisés
sur le port
#Default Values are
#$native_vlan = Default VLAN
#$max_hosts = 10
#
#the port type cannot be detected automatically
#
#the default mode is trunk
smartport switchport trunk native vlan $native_vlan
#
port security max $max_hosts
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_server
[no_server]
#macro description No server
#
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
#
no port security
no port security mode
no port security max
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
232
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Macros Port intelligent intégrées
11
#
spanning-tree portfast auto
#
@
host
[host]
#macro description host
#macro keywords $native_vlan $max_hosts
#
#macro key description:
$native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$max_hosts: Nombre maximum de périphériques autorisés
sur le port
#Default Values are
#$native_vlan = Default VLAN
#$max_hosts = 10
#
#the port type cannot be detected automatically
#
#the default mode is trunk
smartport switchport trunk native vlan $native_vlan
#
port security max $max_hosts
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_host
[no_host]
#macro description No host
#
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
#
no port security
no port security mode
no port security max
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
no smartport storm-control include-multicast
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
233
11
Port intelligent
Macros Port intelligent intégrées
#
spanning-tree portfast auto
#
@
ip_camera
[ip_camera]
#macro description ip_camera
#macro keywords $native_vlan
#
#macro key description: $native_vlan: VLAN sans balise qui sera configuré
sur le port
#Default Values are
#$native_vlan = Default VLAN
#
switchport mode access
switchport access vlan $native_vlan
#
#single host
port security max 1
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_ip_camera
[no_ip_camera]
#macro description No ip_camera
#
no switchport access vlan
no switchport mode
#
no port security
no port security mode
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
234
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Macros Port intelligent intégrées
11
ip_phone
[ip_phone]
#macro description ip_phone
#macro keywords $native_vlan $voice_vlan $max_hosts
#
#macro key description:
$native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$voice_vlan: ID du VLAN voix
#
$max_hosts: Nombre maximum de périphériques autorisés
sur le port
#Default Values are
#$native_vlan = Default VLAN
#$voice_vlan = 1
#$max_hosts = 10
#
#the default mode is trunk
smartport switchport trunk allowed vlan add $voice_vlan
smartport switchport trunk native vlan $native_vlan
#
port security max $max_hosts
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_ip_phone
[no_ip_phone]
#macro description no ip_phone
#macro keywords $voice_vlan
#
#macro key description:
$voice_vlan: ID du VLAN voix
#
#Default Values are
#$voice_vlan = 1
#
smartport switchport trunk allowed vlan remove $voice_vlan
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
#
no port security
no port security mode
no port security max
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
235
11
Port intelligent
Macros Port intelligent intégrées
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
ip_phone_desktop
[ip_phone_desktop]
#macro description ip_phone_desktop
#macro keywords $native_vlan $voice_vlan $max_hosts
#
#macro key description:
$native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$voice_vlan: ID du VLAN voix
#
$max_hosts: Nombre maximum de périphériques autorisés
sur le port
#Default Values are
#$native_vlan = Default VLAN
#$voice_vlan = 1
#$max_hosts = 10
#
#the default mode is trunk
smartport switchport trunk allowed vlan add $voice_vlan
smartport switchport trunk native vlan $native_vlan
#
port security max $max_hosts
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_ip_phone_desktop
[no_ip_phone_desktop]
#macro description no ip_phone_desktop
#macro keywords $voice_vlan
#
#macro key description:
$voice_vlan: ID du VLAN voix
#
#Default Values are
#$voice_vlan = 1
#
smartport switchport trunk allowed vlan remove $voice_vlan
no smartport switchport trunk native vlan
236
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Port intelligent
Macros Port intelligent intégrées
11
smartport switchport trunk allowed vlan remove all
#
no port security
no port security mode
no port security max
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
switch
[switch]
#macro description switch
#macro keywords $native_vlan $voice_vlan
#
#macro key description: $native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$voice_vlan: ID du VLAN voix
#Default Values are
#$native_vlan = Default VLAN
#$voice_vlan = 1
#
#the default mode is trunk
smartport switchport trunk allowed vlan add all
smartport switchport trunk native vlan $native_vlan
#
spanning-tree link-type point-to-point
#
@
no_switch
[no_switch]
#macro description No switch
#macro keywords $voice_vlan
#
#macro key description:
$voice_vlan: ID du VLAN voix
#
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
#
no spanning-tree link-type
#
@
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
237
11
Port intelligent
Macros Port intelligent intégrées
router
[router]
#macro description router
#macro keywords $native_vlan $voice_vlan
#
#macro key description: $native_vlan: VLAN sans balise qui sera configuré
sur le port
#
$voice_vlan: ID du VLAN voix
#
#Default Values are
#$native_vlan = Default VLAN
#$voice_vlan = 1
#
#the default mode is trunk
smartport switchport trunk allowed vlan add all
smartport switchport trunk native vlan $native_vlan
#
smartport storm-control broadcast level 10
smartport storm-control broadcast enable
#
spanning-tree link-type point-to-point
#
@
no_router
[no_router]
#macro description No router
#macro keywords $voice_vlan
#
#macro key description:
$voice_vlan: ID du VLAN voix
#
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
#
no spanning-tree link-type
#
@
ap
[ap]
#macro
#macro
#
#macro
sur le
238
description ap
keywords $native_vlan $voice_vlan
key description:
port
$native_vlan: VLAN sans balise qui sera configuré
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
Cette section couvre les sujets suivants :
•
VLAN standard
•
Paramètres GVRP
•
VLAN voix
Un VLAN (Virtual LAN, réseau local virtuel) est un groupe logique de ports qui permet aux
périphériques qui lui sont associés de communiquer entre eux sur une couche MAC Ethernet,
quel que soit le segment LAN physique du réseau ponté auquel ils sont connectés.
Description des VLAN
Les VLAN sont configurés avec un ID VLAN unique (VID) dont la valeur est comprise entre
1 et 4 094. Un port sur un périphérique d'un réseau ponté est membre d'un VLAN s'il peut
échanger (envoyer/recevoir) des données avec le VLAN. Un port est un membre non balisé
d'un VLAN si aucun des paquets qui lui sont destinés ne dispose d'une balise VLAN. Un port
est un membre balisé d'un VLAN si tous les paquets qui lui sont destinés disposent d'une
balise VLAN. Un port peut être membre d'un seul VLAN non balisé ou de plusieurs VLAN
balisés.
Un port en mode Accès VLAN ne peut faire partie que d'un seul VLAN. S'il est en mode
General (Général) ou Trunk (Liaison), le port peut faire partie d'un ou de plusieurs VLAN.
Les VLAN permettent de faire face aux problèmes de sécurité et d'évolutivité. Le trafic d'un
VLAN reste à l'intérieur du VLAN et se termine au niveau de ses périphériques. Le VLAN
facilite également la configuration réseau en connectant logiquement les périphériques sans
les transférer physiquement.
Si une trame est balisée VLAN, une balise VLAN à quatre octets est ajoutée à chaque trame
Ethernet. La balise contient un ID VLAN compris entre 1 et 4 094, et une balise de priorité
VLAN (VPT, VLAN Priority Tag) comprise entre 0 et 7. Pour plus d'informations sur VPT,
reportez-vous à la section Qualité de service.
Lorsqu'une trame entre dans un périphérique tenant compte du VLAN, elle est classée comme
appartenant à un VLAN, en vertu de la balise VLAN à quatre octets qu'elle contient.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
239
12
Gestion des VLAN
S'il n'existe aucune balise VLAN dans la trame ou si la trame comporte une balise de priorité,
elle est catégorisée dans le VLAN selon le PVID (identificateur de port VLAN) configuré au
port de réception de la trame.
La trame est désactivée au niveau du port d'entrée si le filtrage d'entrée est activé et si le port
d'entrée n'est pas membre du VLAN auquel appartient le paquet. Une trame est considérée
comme balisée d'une priorité uniquement si le VID présent dans sa balise VLAN est 0.
Les trames appartenant à un VLAN restent dans le VLAN. Ce principe est appliqué par l'envoi
ou le réacheminement d'une trame uniquement aux ports de sortie membres du VLAN cible.
Un port de sortie peut être un membre balisé ou non balisé d'un VLAN.
Le port de sortie :
•
Ajoute une balise VLAN à la trame si le port de sortie est un membre balisé du VLAN
cible et si la trame d'origine n'a pas de balise VLAN.
•
Supprime la balise VLAN de la trame si le port de sortie est un membre non balisé du
VLAN cible et si la trame d'origine a une balise VLAN.
Rôles du VLAN
Les réseaux VLAN d'un périphérique peuvent uniquement être créés de manière statique.
Certains VLAN peuvent avoir des rôles supplémentaires, notamment :
•
VLAN voix : pour en savoir plus, reportez-vous à la section VLAN voix.
•
VLAN invité : défini sur la page Propriétés.
•
VLAN par défaut : VLAN1.
•
VLAN de gestion : pour plus d'informations, reportez-vous à la section Configuration
des informations IP.
QinQ
QinQ fournit l'isolation entre les réseaux de fournisseur de services et les réseaux de client. Le
périphérique est un pont fournisseur qui prend en charge l'interface de service « c-tagged »
basée sur les ports.
Avec QinQ, le périphérique ajoute une balise ID appelée ServiceTag (S-tag) qui permet de
transférer les paquets sur le réseau du fournisseur. La balise S-tag permet de répartir le trafic
entre plusieurs clients, tout en conservant les balises VLAN du client.
240
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN standard
Le trafic du client est encapsulé avec une balise S-tag avec TPID 0x8100, indépendamment du
fait qu'il soit au départ balisé « c-tagged » ou non balisé. La balise S-tag permet à ce trafic
d'être traité comme un agrégat au sein d'un réseau de pont fournisseur, dans lequel le pontage
est uniquement basé sur le VID S-tag (S-VID).
La balise S-Tag est conservée lorsque le trafic est transféré par le biais de l'infrastructure du
fournisseur de services réseau ; elle est ensuite supprimée par un périphérique de sortie.
Un autre avantage de QinQ est qu'il n'est pas nécessaire de configurer les dispositifs de
bordure du client.
Le mode QinQ peut être activé sur la page Paramètres d'interface.
VLAN standard
Cette section décrit les pages de l'interface utilisateur permettant de configurer les différents
types de VLAN. Cette section décrit les éléments suivants :
•
Présentation du VLAN standard
•
Paramètres VLAN
•
Paramètres d'interface
•
Port vers VLAN
•
Appartenance VLAN des ports
Présentation du VLAN standard
Flux de travail de la configuration VLAN
Pour configurer les VLAN :
ÉTAPE 1 Créez les VLAN requis en suivant les instructions de la section Paramètres VLAN.
ÉTAPE 2 Définissez la configuration VLAN souhaitée pour les ports et activez QinQ sur une interface,
comme décrit dans la section Paramètres d'interface.
ÉTAPE 3 Assignez des interfaces aux VLAN comme décrit dans la section Port vers VLAN ou la
section Appartenance VLAN des ports.
ÉTAPE 4 Affichez l'appartenance actuelle des ports au VLAN pour toutes les interfaces, comme décrit
dans la section Appartenance VLAN des ports.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
241
12
Gestion des VLAN
VLAN standard
Paramètres VLAN par défaut
Le commutateur crée automatiquement un VLAN par défaut appelé VLAN 1. L'état de
l'interface par défaut de tous les ports est défini sur Access (Accès) et tous les ports sont
configurés en tant que membres non balisés du VLAN par défaut.
Le VLAN par défaut présente les caractéristiques suivantes :
•
Il est distinct, non statique/non dynamique et tous les ports sont des membres non
balisés par défaut.
•
Il peut être supprimé.
•
Il ne peut recevoir d'étiquette.
•
Il est automatiquement utilisé en tant que VLAN voix pour le VLAN voix basé sur OUI.
•
Si un port n'est plus membre d'un VLAN, le périphérique le configure automatiquement
en tant que membre non balisé du VLAN par défaut. Un port n'est plus membre d'un
VLAN si le VLAN est supprimé ou si le port est supprimé du VLAN.
Paramètres VLAN
Vous pouvez créer un VLAN, mais cela n'a aucun effet tant que le VLAN n'est pas
manuellement ou dynamiquement lié à un port au moins. Les ports doivent toujours appartenir
à un ou plusieurs VLAN.
Le périphérique de la gamme 250 prend en charge jusqu'à 256 réseaux VLAN, y compris le
VLAN par défaut.
Chaque VLAN doit être configuré avec un ID VLAN unique (VID) dont la valeur est
comprise entre 1 et 4 094. Le périphérique réserve le VID 4095 comme VLAN d'abandon.
Tous les paquets classés comme VLAN d'abandon sont abandonnés à l'entrée et ne sont pas
transférés vers un port.
Pour créer un VLAN :
ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres VLAN.
Les informations s'affichent pour tous les VLAN définis. Les champs ci-dessous sont définis
sur la page Ajouter. Le champ suivant n'est pas sur la page Ajouter.
•
242
Originators (Initiateurs) : façon dont le VLAN a été créé.
-
Statique : le VLAN a été défini par l'utilisateur.
-
Par défaut : c'est le VLAN par défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN standard
ÉTAPE 2 Cliquez sur Ajouter pour ajouter un ou plusieurs nouveaux VLAN.
La page permet la création d'un VLAN unique ou d'une plage de VLAN.
ÉTAPE 3 Pour créer un seul VLAN, sélectionnez le bouton VLAN, saisissez l'ID de VLAN et le Nom
du VLAN (facultatif).
Pour créer une plage de VLAN, sélectionnez le bouton Plage et spécifiez la plage de VLAN à
créer en saisissant le VID de départ et le VID de fin (ces valeurs sont comprises). Si vous
utilisez la fonction Plage, le nombre maximal de VLAN que vous pouvez créer en une seule
fois est 100.
REMARQUE
Le système nécessite certains VLAN pour une utilisation interne ; ils ne peuvent donc pas être
créés ni configurés par l'utilisateur. Ces VLAN sont les suivants :
•
Un VLAN pour chaque interface IP, défini directement sur un port Ethernet ou un
canal de port (LAG).
•
Un VLAN pour chaque tunnel IPv6.
•
Un VLAN pour 802.1x.
Les VLAN pour les tunnels IPv6 et pour 802.1x sont pré-attribués, tandis que les VLAN pour
la configuration IP des ports Ethernet/canaux de port sont affectés lors de l'application de la
configuration IP. Des VLAN internes sont alloués en commençant par le VLAN libre dont le
numéro est le plus élevé (par défaut, VLAN 4094).
ÉTAPE 4 Ajoutez les champs suivants pour les nouveaux VLAN.
•
État de l'interface VLAN : sélectionnez cette option pour arrêter le VLAN. Dans cet
état, le VLAN ne transmet/reçoit pas de messages en provenance/vers des niveaux plus
élevés. Par exemple, si vous arrêtez un VLAN sur lequel une interface IP est configurée,
le pontage dans le VLAN continue, mais le commutateur ne peut pas transmettre et
recevoir le trafic IP sur le VLAN.
•
Interceptions SNMP d'état de lien : sélectionnez cette option pour activer la
génération des interceptions SNMP relatives à l'état de la liaison.
ÉTAPE 5 Cliquez sur Appliquer pour créer le ou les VLAN.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
243
12
Gestion des VLAN
VLAN standard
Paramètres d'interface
La page Paramètres d'interface affiche et active la configuration des paramètres du VLAN
pour toutes les interfaces.
Pour configurer les paramètres du VLAN :
ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres d'interface.
ÉTAPE 2 Sélectionnez un type d'interface (Port ou LAG) et cliquez sur Go. Les ports ou LAG et leurs
paramètres VLAN s'affichent.
ÉTAPE 3 Pour configurer un port ou LAG, sélectionnez-le puis cliquez sur Modifier.
ÉTAPE 4 Entrez les valeurs des champs suivants :
•
Interface : sélectionnez un port/LAG.
•
Mode Port commuté : sélectionnez Couche 2 ou Couche 3.
•
Mode d'interface VLAN : sélectionnez le mode d'interface du VLAN. Les options sont
les suivantes :
•
244
-
Général : l'interface peut prendre en charge toutes les fonctions telles qu'elles sont
définies dans la spécification IEEE 802.1q. Elle peut être un membre balisé ou non
balisé d'un ou de plusieurs VLAN.
-
Accès : l'interface est un membre non balisé d'un VLAN unique. Un port configuré
dans ce mode est appelé un port d'accès.
-
Liaison : l'interface est membre non balisé d'un VLAN au maximum, ainsi que
membre balisé de zéro ou plusieurs VLAN. Un port configuré dans ce mode est
appelé un port de liaison.
-
Client : sélectionnez cette option pour mettre l'interface en mode QinQ. Vous
pouvez ainsi appliquer votre propre agencement VLAN (PVID) sur le réseau du
fournisseur. Le périphérique est en mode Q-in-Q lorsqu'il comporte un ou plusieurs
ports client. Reportez-vous à la section QinQ.
Type de trame : (disponible uniquement en mode Général) sélectionnez le type de
trame que l'interface peut recevoir. Les trames qui ne sont pas du type configuré sont
abandonnées à l'entrée. Les valeurs possibles sont les suivantes :
-
Tout admettre : l'interface accepte tous les types de trames : trames non balisées,
trames balisées et trames avec balise de priorité.
-
Admettre balisées uniquement : l'interface accepte uniquement les trames balisées.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN standard
•
Admettre non balisées uniquement : l'interface accepte uniquement les trames de
priorité et les trames non balisées.
Filtrage d'entrée : (uniquement disponible en mode Général) sélectionnez cette option
pour activer le filtrage en entrée. Lorsqu'une interface est en mode de filtrage d'entrée,
elle abandonne toutes les trames entrantes classées comme appartenant aux VLAN dont
elle n'est pas membre. Le filtrage d'entrée peut être désactivé ou activé sur les ports
généraux. Il est toujours activé sur les ports d'accès et les ports de liaison.
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont écrits dans le fichier de Configuration
d'exécution.
Port vers VLAN
Les pages Port vers VLAN et Appartenance VLAN des ports affichent les appartenances
VLAN des ports dans diverses présentations. Vous pouvez les utiliser pour ajouter des
appartenances aux VLAN ou en supprimer de ces derniers.
Lorsque l'appartenance au VLAN par défaut est interdite pour un port, celui-ci ne peut
appartenir à aucun autre VLAN. Le VID interne 4095 est affecté au port.
Pour transférer correctement les paquets, les périphériques intermédiaires tenant compte du
VLAN qui acheminent le trafic VLAN entre les nœuds d'extrémité doivent être configurés
manuellement.
Les ports non balisés de deux périphériques prenant en compte le VLAN sans aucune
intervention des périphériques doivent disposer de la même appartenance VLAN. En d'autres
termes, le PVID sur les ports entre les deux périphériques doit être le même si les ports doivent
échanger (envoyer/recevoir) des paquets non balisés avec le VLAN. Dans le cas contraire, le
trafic peut fuir d'un VLAN vers un autre.
Les trames balisées VLAN peuvent traverser d'autres périphériques réseau tenant compte ou
non du VLAN. Si un nœud d'extrémité de destination ne tient pas compte du VLAN, mais doit
recevoir du trafic d'un VLAN, alors le dernier périphérique tenant compte du VLAN (s'il en
existe un) doit envoyer les trames du VLAN de destination au nœud d'extrémité sous forme
non balisée.
Utilisez la page Port vers VLAN pour afficher et configurer les ports dans un VLAN
spécifique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
245
12
Gestion des VLAN
VLAN standard
Pour mapper des ports ou des LAG à un VLAN :
ÉTAPE 1 Cliquez sur Gestion des VLAN > Port vers VLAN.
ÉTAPE 2 Sélectionnez un VLAN et le type d'interface (Port ou LAG), puis cliquez sur OK pour afficher
ou modifier la caractéristique du port relative au VLAN.
Le mode actuel de chaque port ou LAG s'affiche (Access [Accès], Trunk [Liaison], General
[Général], Private-Host [Hôte privé], Private-Promiscuous [Hôte de proximité] ou Customer
[Client]). Vous pouvez configurer ce mode sur la page Paramètres d'interface.
Chaque port ou LAG s'affiche avec son enregistrement actuel sur le VLAN.
Les champs suivants s'affichent :
•
VLAN Mode (Mode VLAN) : affiche le type des ports dans le VLAN.
•
Type d'appartenance : sélectionnez l'une des options suivantes :
•
-
Interdit : l'interface n'est pas autorisée à rejoindre le VLAN même à partir de
l'enregistrement GVRP. Lorsqu'un port n'est pas membre d'un autre VLAN,
l'activation de cette option sur le port l'intègre au VLAN interne 4095 (VID réservé).
-
Exclu : l'interface n'est actuellement pas membre du VLAN. Ceci est le paramètre
par défaut pour tous les ports et LAG lorsqu'un nouveau VLAN vient d'être créé.
-
Balisé : l'interface est un membre balisé du VLAN.
-
Non balisé : l'interface est un membre non balisé du VLAN. Les trames du VLAN
sont envoyées non balisées à l'interface VLAN.
PVID : sélectionnez cette option pour définir le PVID de l'interface avec le VID du
VLAN. Le PVID est un paramètre propre à chaque port.
ÉTAPE 3 Cliquez sur Appliquer. Les interfaces sont attribuées au VLAN et écrites dans le fichier de
Configuration d'exécution.
Vous pouvez continuer d'afficher et/ou de configurer l'appartenance de port à un autre VLAN
en sélectionnant l'ID d'un autre VLAN.
246
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN standard
Appartenance VLAN des ports
La page Appartenance VLAN des ports affiche tous les ports du périphérique, ainsi qu'une
liste des VLAN auxquels chaque port appartient.
Si la méthode d'authentification basée sur les ports pour une interface est 802.1x et que le
Contrôle de port administratif est Auto, alors :
REMARQUE
•
Tant que le port n'est pas authentifié, il est exclu de tous les VLAN, à l'exception des
VLAN invités et non authentifiés. Sur la page VLAN vers port, le port est marqué d'un
« P » majuscule.
•
Lorsque le port est authentifié, il reçoit l'appartenance dans le VLAN où il a été
configuré.
Le mode VLAN IS est pris en charge. Cela signifie que l'appartenance du port VLAN peut être
configurée au préalable pour plusieurs modes VLAN. Lorsque le port passe en mode VLAN
spécifique, la configuration devient active. Lorsque vous changez de mode, les paramètres du
mode quitté sont sauvegardés et seront réappliqués si vous le réactivez sur l'interface.
Pour attribuer un port à un ou plusieurs VLAN :
ÉTAPE 1 Cliquez sur Gestion des VLAN > Appartenance VLAN des ports.
ÉTAPE 2 Sélectionnez un type d'interface (Port ou LAG), puis cliquez sur OK. Les champs suivants
s'affichent pour toutes les interfaces du type sélectionné :
•
Interface : ID du port/LAG.
•
Mode : mode de l'interface VLAN sélectionné sur la page Paramètres d'interface.
•
VLAN administratifs : liste déroulante qui affiche tous les VLAN dont l'interface peut
être membre.
•
VLAN opérationnels : liste déroulante qui affiche tous les VLAN dont l'interface est
actuellement membre.
•
LAG : si l'interface sélectionnée est Port, affiche le LAG dont elle est membre.
ÉTAPE 3 Sélectionnez un port et cliquez sur le bouton Connecter le VLAN.
ÉTAPE 4 Entrez les valeurs des champs suivants :
•
Interface : sélectionnez un port/LAG.
•
Current VLAN Mode (Mode VLAN actuel) : affiche le mode VLAN du port qui a été
sélectionné sur la page Paramètres d'interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
247
12
Gestion des VLAN
VLAN standard
•
Appartenance du mode d'accès (actif)
-
•
Access VLAN ID (ID VLAN d'accès) : lorsque le port est en mode d'accès, il est
membre de ce VLAN.
Appartenance du mode de liaison
-
Native VLAN ID (ID VLAN natif) : lorsque le port est en mode de liaison, il est
membre de ce VLAN.
-
Tagged VLANs (VLAN balisés) : lorsque le port est en mode de liaison, il est
membre de ces VLAN. Les options suivantes sont disponibles :
All VLANs (Tous les VLAN) : lorsque le port est en mode de liaison, il est membre
de tous les VLAN.
User Defined (Définis par l'utilisateur) : lorsque le port est en mode de liaison, il est
membre des VLAN définis ici.
•
•
Appartenance du mode général
-
Untagged VLANs (VLAN non balisés) : lorsque le port est en mode général, il est
membre non balisé de ce VLAN.
-
Tagged VLANs (VLAN balisés) : lorsque le port est en mode général, il est membre
balisé de ce VLAN.
-
Forbidden VLANs (VLAN interdits) : lorsque le port est en mode général, l'interface
n'est pas autorisée à joindre le VLAN, même depuis l'enregistrement GVRP.
Lorsqu'un port n'est pas membre d'un autre VLAN, l'activation de cette option sur
le port l'intègre au VLAN interne 4095 (VID réservé).
-
General PVID (PVID général) : lorsque le port est en mode général, il appartient à
ces VLAN.
Appartenance du mode client
-
Customer VLAN ID (ID VLAN client) : lorsque le port est en mode client, il est
membre de ces VLAN.
ÉTAPE 5 Sélectionnez un port et cliquez ensuite sur Détails pour afficher les champs suivants :
•
Administrative VLANs (VLAN administratifs) : le port est configuré pour ces VLAN.
•
Operational VLANs (VLAN opérationnels) : le port est actuellement membre de ces
VLAN.
ÉTAPE 6 Cliquez sur Apply (Appliquer) (pour rejoindre le VLAN). Les paramètres sont modifiés et
écrits dans le fichier de Configuration d'exécution.
248
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
Paramètres GVRP
Paramètres GVRP
Les périphériques adjacents tenant compte du VLAN peuvent s'échanger les informations
VLAN via le protocole GVRP (Generic VLAN Registration Protocol). Celui-ci est basé sur le
protocole GARP (Generic Attribute Registration Protocol) et propage des informations VLAN
à travers un réseau ponté.
Pour activer le protocole GVRP sur une interface, celle-ci doit être configurée en mode
Général.
Lorsqu'un port est connecté à un VLAN via GVRP, il est ajouté au VLAN en tant que membre
dynamique balisé, sauf si cette action a été expressément interdite sur la page Appartenance
VLAN des ports. Si le VLAN n'existe pas, il est dynamiquement créé lorsque la création de
VLAN dynamiques est activée pour ce port (sur la page Paramètres GVRP).
Le protocole GVRP doit être activé au niveau global et sur chaque port. Lorsqu'il est activé, il
transmet et reçoit des GPDU (GARP Packet Data Units). Les VLAN définis mais non actifs ne
sont pas propagés. Pour pouvoir être propagé, un VLAN doit être actif sur un port au moins.
Par défaut, le protocole GVRP est désactivé globalement et sur les ports.
Paramètres GVRP
Pour définir les paramètres GVRP d'une interface :
ÉTAPE 1 Cliquez sur Gestion des VLAN > Paramètres GVRP.
ÉTAPE 2 Sélectionnez État global GVRP pour activer globalement le protocole GVRP.
ÉTAPE 3 Cliquez sur Appliquer pour définir l'état global GVRP.
ÉTAPE 4 Sélectionnez un type d'interface (Port ou LAG) et cliquez sur OK pour afficher toutes les
interfaces de ce type.
ÉTAPE 5 Pour définir les paramètres GVRP pour un port, sélectionnez-le et cliquez sur Modifier.
ÉTAPE 6 Entrez les valeurs des champs suivants :
•
Interface : sélectionnez l'interface (port ou LAG) à modifier.
•
État GVRP : sélectionnez cette option pour activer GVRP sur cette interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
249
12
Gestion des VLAN
VLAN voix
•
Création de VLAN dynamiques : sélectionnez cette option pour activer la création de
VLAN dynamiques sur cette interface.
•
Enregistrement GVRP : sélectionnez cette option pour activer l'enregistrement VLAN
via GVRP sur cette interface.
ÉTAPE 7 Cliquez sur Appliquer. Les paramètres GVRP sont modifiés et écrits dans le fichier de
Configuration d'exécution.
VLAN voix
Dans un LAN, les périphériques vocaux tels que les téléphones IP, les points d'extrémité VoIP
et les systèmes vocaux sont placés dans le même VLAN. On appelle ce VLAN un VLAN
voix. Si les périphériques vocaux se trouvent dans d'autres VLAN voix, des routeurs IP
(couche 3) sont requis pour établir la communication.
Cette section couvre les sujets suivants :
•
Présentation du VLAN voix
•
Configuration du VLAN voix
•
OUI de téléphonie
Présentation du VLAN voix
Cette section couvre les sujets suivants :
250
•
Modes VLAN voix dynamiques
•
VLAN voix automatique, Port intelligent automatique, CDP et LLDP
•
QoS VLAN voix
•
Contraintes du VLAN voix
•
Workflows de VLAN voix
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
Vous trouverez ci-après des exemples de déploiement vocal classiques, accompagnés des
configurations appropriées :
•
UC3xx/UC5xx hébergé : tous les téléphones et points d'extrémité VoIP Cisco
prennent en charge ce modèle de déploiement. Pour ce modèle (UC3xx/UC5xx), les
téléphones et points d'extrémité VoIP Cisco résident sur le même VLAN voix. Par
défaut, le VLAN voix de UC3xx/UC5xx est le VLAN 100.
•
PBX IP tiers hébergé : les téléphones SBTG CP-79xx et SPA5xx ainsi que les points
d'extrémité SPA8800 Cisco prennent en charge ce modèle de déploiement. Dans ce
modèle, le VLAN utilisé par les téléphones est déterminé par la configuration réseau. Il
peut éventuellement y avoir des VLAN voix et données séparés. Les téléphones et
points d'extrémité VoIP s'inscrivent avec un PBX IP sur site.
•
Centrex IP/ITSP hébergé : les téléphones CP-79xx et SPA5xx ainsi que les points
d'extrémité SPA8800 Cisco prennent en charge ce modèle de déploiement. Dans ce
modèle, le VLAN utilisé par les téléphones est déterminé par la configuration réseau. Il
peut éventuellement y avoir des VLAN voix et données séparés. Les téléphones et
points d'extrémité VoIP s'inscrivent sur un proxy SIP hors site dans le cloud.
En ce qui concerne le VLAN, les modèles ci-dessus fonctionnent dans des environnements
tenant compte du VLAN et ne tenant pas compte du VLAN. Dans l'environnement tenant
compte du VLAN, le VLAN voix fait partie des nombreux VLAN configurés dans une
installation. L'exemple ne tenant pas compte du VLAN est équivalent à un environnement
tenant compte du VLAN avec un seul VLAN.
Le périphérique fonctionne toujours en tant que commutateur tenant compte du VLAN.
Le périphérique prend en charge un seul VLAN voix. Par défaut, le VLAN voix est VLAN 1.
Le VLAN voix est défini par défaut sur VLAN 1. Un autre VLAN voix peut être configuré
manuellement. Il peut aussi être appris dynamiquement lorsque la fonction VLAN voix
automatique est activée.
Vous pouvez ajouter manuellement des ports au VLAN voix à l'aide de la
configuration VLAN de base décrite à la section Configuration des paramètres
d'interface VLAN, ou en appliquant manuellement aux ports la macro Port intelligent relative
à la voix. Vous avez aussi la possibilité de les ajouter dynamiquement si le périphérique est en
mode OUI de téléphonie ou que la fonction Ports intelligents automatiques est activée pour
celui-ci.
Modes VLAN voix dynamiques
Le périphérique prend en charge deux modes VLAN voix dynamiques : OUI de téléphonie
(Organization Unique Identifier) et VLAN voix automatique. Les deux modes influencent la
façon dont le VLAN voix et/ou les appartenances de ports du VLAN voix sont configurés. Les
deux modes s'excluent mutuellement.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
251
12
Gestion des VLAN
VLAN voix
•
OUI de téléphonie
En mode OUI de téléphonie, le VLAN voix doit être un VLAN configuré
manuellement et ne peut pas être le VLAN par défaut.
Lorsque le périphérique est en mode OUI de téléphonie et qu'un port est configuré
manuellement comme candidat au VLAN voix, le périphérique ajoute dynamiquement
le port au VLAN voix s'il reçoit un paquet dont l'adresse MAC source correspond à
celle des OUI de téléphonie configurés. Un OUI correspond aux trois premiers octets
d'une adresse MAC Ethernet. Pour plus d’informations sur le mode OUI de téléphonie,
reportez-vous à la section OUI de téléphonie.
•
VLAN voix automatique
En mode VLAN voix automatique, le VLAN voix peut être le VLAN voix par défaut
manuellement configuré ou peut être appris à partir de périphériques externes comme
UC3xx/5xx et de commutateurs qui annoncent le VLAN voix dans CDP ou VSDP.
VSDP est un protocole défini par Cisco pour la détection des services vocaux.
À la différence du mode OUI de téléphonie qui détecte les périphériques vocaux basés
sur le mode OUI de téléphonie, le mode VLAN voix automatique dépend de la
fonction Port intelligent automatique pour ajouter dynamiquement les ports au VLAN
voix. Si elle est activée, la fonction Port intelligent automatique ajoute un port au
VLAN voix lorsqu'elle détecte sur le port un périphérique en cours d'association qui
s'annonce en tant que téléphone ou points d'extrémité de média, par l'intermédiaire de
CDP et/ou LLDP-MED.
Points d'extrémité vocaux
Pour qu'un VLAN voix fonctionne correctement, les périphériques vocaux tels que les
téléphones et points d'extrémité VoIP Cisco doivent être attribués au VLAN pouvant envoyer
et recevoir leur trafic vocal. Voici quelques exemples possibles :
•
Un téléphone/point d'extrémité peut être configuré de manière statique avec le VLAN
voix.
•
Un téléphone/point d'extrémité peut obtenir le VLAN voix dans le fichier d'amorçage
qu'il télécharge à partir d'un serveur TFTP. Un serveur DHCP peut spécifier le fichier
d'amorçage et le serveur TFTP lorsqu'il attribue une adresse IP au téléphone.
•
Un téléphone/point d'extrémité peut obtenir les informations VLAN voix à partir des
annonces CDP et LLDP-MED qu'il reçoit de ses systèmes vocaux et commutateurs
voisins.
Le périphérique attend des périphériques vocaux en cours de raccordement qu'ils envoient des
paquets VLAN balisés. Sur les ports où le VLAN voix est également le VLAN natif, les
paquets VLAN voix non balisés sont possibles.
252
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
VLAN voix automatique, Port intelligent automatique, CDP et LLDP
Valeurs par défaut
Selon les paramètres par défaut définis en usine, CDP, LLDP, LLDP-MED, le mode Port
intelligent automatique et le mode de base de QoS avec DSCP validé sont activés. Tous les
ports sont membres du VLAN 1 par défaut, qui est le VLAN voix par défaut.
Déclenchements de VLAN voix
Lorsque le mode VLAN voix dynamique est activé sur VLAN voix automatique, cela signifie
que le VLAN voix automatique ne devient opérationnel que si un ou plusieurs déclenchements
se produisent. Les déclenchements possibles sont la configuration de VLAN voix statique, la
réception d'informations VLAN voix dans une annonce de voisinage CDP et la réception
d'informations VLAN voix dans le protocole VSDP (Voice VLAN Discovery Protocol). Si
vous le souhaitez, vous pouvez rendre le mode VLAN voix automatique immédiatement
opérationnel sans attendre de déclenchement.
Si la fonction Port intelligent automatique est activée en fonction du mode VLAN voix
automatique, la fonction Port intelligent automatique est activée lorsque le mode VLAN voix
automatique devient opérationnel. Si vous le souhaitez, vous pouvez activer la fonction Port
intelligent automatique indépendamment du mode VLAN voix automatique.
REMARQUE
La liste de configuration par défaut s'applique ici aux commutateurs dont la version du
micrologiciel prend directement en charge le mode VLAN voix automatique. Elle s'applique
également aux commutateurs non configurés qui ont été mis à niveau vers la version du
micrologiciel prenant en charge le mode VLAN voix automatique.
REMARQUE
Les valeurs par défaut et les déclenchements de VLAN voix sont conçus pour n'avoir aucun
effet sur les installations ne comportant pas de VLAN voix, ni sur les commutateurs qui ont déjà
été configurés. Vous pouvez désactiver et activer manuellement le mode VLAN voix
automatique et/ou Port intelligent automatique en fonction de votre déploiement.
VLAN voix automatique
Le mode VLAN voix automatique permet de gérer le VLAN voix, mais dépend de la fonction
Port intelligent automatique pour gérer l'appartenance des ports VLAN voix. Le mode VLAN
voix automatique offre les fonctions suivantes lorsqu'il est opérationnel :
•
Il détecte les informations VLAN voix dans les annonces CDP provenant des
périphériques voisins directement connectés.
•
Si plusieurs commutateurs et/ou routeurs voisins, tels que des périphériques Cisco
Unified Communication (UC), annoncent leur VLAN voix, le VLAN voix du
périphérique ayant l'adresse MAC la plus basse est utilisé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
253
12
Gestion des VLAN
VLAN voix
REMARQUE En cas de connexion du périphérique à un périphérique UC Cisco, vous
devrez peut-être configurer le port sur le périphérique UC à l'aide de la commande
switchport voice vlan afin de vous assurer que le périphérique UC annonce
son VLAN voix dans CDP sur le port.
•
Il synchronise les paramètres VLAN voix avec les autres commutateurs activés pour le
mode VLAN voix automatique, par l'intermédiaire du protocole VSDP (Voice Service
Discovery Protocol). Le périphérique se configure toujours lui-même avec le VLAN
voix provenant de la source de priorité la plus élevée qu'il détecte. La priorité est basée
sur le type de source et l'adresse MAC de la source qui fournit les informations de
VLAN voix. Les priorités du type de source, de la plus haute à la plus basse, sont la
configuration VLAN statique, l'annonce CDP et la configuration par défaut basée sur
le VLAN par défaut modifié, ainsi que le VLAN voix par défaut. Une adresse MAC
numériquement basse a une priorité plus élevée qu'une adresse MAC numériquement
haute.
•
Il conserve le VLAN voix jusqu'à ce qu'un nouveau VLAN voix provenant d'une
source de priorité plus élevée soit détecté ou jusqu'à ce que le mode VLAN voix
automatique soit redémarré par l'utilisateur. Après le redémarrage, le périphérique
rétablit le VLAN voix par défaut et relance la détection VLAN voix automatique.
•
Lorsqu'un nouveau VLAN voix est configuré ou détecté, le périphérique le crée
automatiquement et remplace toutes les appartenances de port du VLAN voix existant
par celles du nouveau VLAN voix. Cette opération est susceptible d'interrompre ou de
terminer des sessions vocales existantes, notamment lorsque la topologie réseau a été
modifiée.
L'option Port intelligent automatique fonctionne avec CDP/LLDP pour gérer les
appartenances de port du VLAN voix lorsque des points d'extrémité vocaux sont détectés à
partir des ports :
254
•
Lorsque CDP et LLDP sont activés, le périphérique envoie périodiquement des
paquets CDP et LLDP pour annoncer au VLAN voix les points d'extrémité vocaux à
utiliser.
•
Lorsqu'un périphérique en cours d'association à un port s'annonce lui-même en tant
que point d'extrémité vocal, par l'intermédiaire de CDP et/ou LLDP, la fonction Port
intelligent automatique ajoute automatiquement le port au VLAN voix en appliquant
au port la macro Port intelligent correspondante (si aucun autre périphérique provenant
du port n'annonce une fonctionnalité conflictuelle ou supérieure). Si un périphérique
s'annonce lui-même en tant que téléphone, la macro Port intelligent par défaut est le
téléphone. Si un périphérique s'annonce lui-même en tant que téléphone et hôte, ou
téléphone et pont, la macro Port intelligent par défaut est le téléphone + bureau.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
QoS VLAN voix
Le VLAN voix peut propager les paramètres CoS/802.1p et DSCP à l'aide des stratégies
réseau LLDP-MED. Par défaut, le protocole LLDP-MED est défini pour répondre avec le
paramètre QoS voix lorsqu'un dispositif envoie des paquets LLDP-MED. Les périphériques
prenant en charge MED doivent envoyer leur trafic vocal avec les mêmes valeurs CoS/802.1p
et DSCP que celles reçues avec la réponse LLDP-MED.
Vous pouvez désactiver la mise à jour automatique entre le VLAN voix et LLDP-MED, et
utiliser vos propres stratégies réseau.
S'il utilise le mode OUI, le périphérique peut en outre configurer le mappage et le re-marquage
(CoS/802.1p) du trafic vocal basé sur le OUI.
Par défaut, toutes les interfaces sont approuvées pour CoS/802.1p. Le périphérique applique la
qualité de service basée sur la valeur CoS/802.1p qui a été trouvée dans le flux vocal. Pour les
flux vocaux OUI de téléphonie, vous pouvez remplacer la qualité de service et éventuellement
re-marquer la valeur 802.1p des flux vocaux en spécifiant les valeurs CoS/802.1p souhaitées
et en utilisant l'option de re-marquage sous OUI de téléphonie.
Contraintes du VLAN voix
Les contraintes suivantes doivent être prises en compte :
•
Seul un VLAN voix est pris en charge.
•
Un VLAN défini en tant que VLAN voix ne peut pas être supprimé.
En outre, les contraintes suivantes s'appliquent au OUI de téléphonie :
•
Le VLAN voix ne peut pas être activé pour le mode Port intelligent.
•
À l'exception de la décision relative à la stratégie, la décision QoS du VLAN voix est
prioritaire sur toute autre décision QoS.
•
Un nouvel ID VLAN peut être configuré pour le VLAN voix uniquement si le VLAN
voix actuel n'a pas de ports candidats.
•
L'interface VLAN d'un port candidat doit être en mode Général ou Liaison.
•
La QoS du VLAN voix est appliquée aux ports statiques ainsi qu'aux ports candidats
qui ont rejoint le VLAN voix.
•
Le flux vocal est accepté si l'adresse MAC peut être apprise par la base de données de
transfert (FDB, Forwarding Database). (S'il n'existe aucun espace disponible dans la
FDB, aucune action ne se produit.)
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
255
12
Gestion des VLAN
VLAN voix
Workflows de VLAN voix
La configuration par défaut du périphérique sur VLAN voix automatique, Ports intelligents
automatiques, CDP et LLDP regroupe la plupart des exemples de déploiement vocal courants.
Cette section décrit la façon de déployer un VLAN voix lorsque la configuration par défaut ne
peut pas être utilisée.
Flux de travail 1 : pour configurer le VLAN voix automatique :
ÉTAPE 1 Ouvrez la page Propriétés du VLAN voix.
ÉTAPE 2 Sélectionnez l'ID du VLAN voix. Il ne peut pas être défini sur l'ID de VLAN 1 (cette étape
n'est pas obligatoire pour le VLAN voix dynamique).
ÉTAPE 3 Sélectionnez VLAN voix dynamique pour activer le mode VLAN voix automatique.
ÉTAPE 4 Sélectionnez la méthode Activation du VLAN voix automatique.
REMARQUE Si le périphérique est actuellement en mode OUI de téléphonie, vous
devez le désactiver pour pouvoir configurer le mode VLAN voix automatique.
ÉTAPE 5 Cliquez sur Appliquer.
ÉTAPE 6 Configurez les ports intelligents comme décrit dans la section Tâches courantes de port
intelligent.
ÉTAPE 7 Configurez LLDP/CDP comme décrit respectivement dans les sections Détection - LLDP et
Détection - CDP.
ÉTAPE 8 Activez la fonction Smartport (Port intelligent) sur les ports appropriés via la page Paramètres
d'interface.
REMARQUE Les étapes 7 et 8 sont facultatives, car elles sont activées par défaut.
Flux de travail 2 : pour configurer la méthode OUI de téléphonie :
ÉTAPE 1 Ouvrez la page Gestion des VLAN > VLAN voix > Propriétés. Sélectionnez VLAN voix
dynamique pour activer le mode OUI de téléphonie.
REMARQUE Si le périphérique est actuellement en mode VLAN voix automatique,
vous devez le désactiver pour pouvoir activer le mode OUI de téléphonie.
256
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
ÉTAPE 2 Configurez le mode Telephony OUI (OUI de téléphonie) sur la page Table des OUI de
téléphonie.
ÉTAPE 3 Configurez l'appartenance VLAN OUI de téléphonie pour les ports sur la page Interface des
OUI de téléphonie.
Configuration du VLAN voix
Cette section explique comment configurer le VLAN voix. Elle couvre les sujets suivants :
•
Propriétés du VLAN voix
•
Paramètres de VLAN voix automatique
•
OUI de téléphonie
Propriétés du VLAN voix
Utilisez la page Propriétés du VLAN voix pour effectuer les opérations suivantes :
•
Afficher les paramètres de configuration actuels du VLAN voix
•
Configurer l'ID de VLAN du VLAN voix
•
Configurer les paramètres QoS du VLAN voix
•
Configurer le mode VLAN voix (OUI de téléphonie ou VLAN voix automatique)
•
Configurer la façon dont le VLAN voix automatique se déclenche
Pour afficher et configurer les propriétés du VLAN voix :
ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > Propriétés.
•
Les paramètres VLAN voix configurés sur le périphérique s'affichent dans le bloc
Paramètres du VLAN voix (État administratif).
•
Les paramètres VLAN voix actuellement appliqués au déploiement VLAN voix
s'affichent dans le bloc Paramètres du VLAN voix (État opérationnel).
ÉTAPE 2 Renseignez les champs Administrative Status (État administratif) suivants :
•
ID VLAN voix : entrez le VLAN qui sera le VLAN voix.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
257
12
Gestion des VLAN
VLAN voix
REMARQUE Les modifications apportées à l'ID du VLAN voix, CoS/802.1p et/ou
DSCP obligent le périphérique à annoncer le VLAN voix administratif en tant que
VLAN voix statique. Si l'option Activation du VLAN voix automatique déclenchée par
le VLAN voix externe est sélectionnée, les valeurs par défaut doivent être conservées.
•
CoS/802.1p : sélectionnez une valeur CoS/802.1p utilisée par LLDP-MED en tant que
stratégie de réseau voix. Pour plus d'informations, reportez-vous à Administration >
Détection > LLDP > Stratégie réseau LLD PMED.
•
DSCP : sélection de valeurs DSCP utilisées par LLDP-MED en tant que stratégie de
réseau voix. Pour plus d'informations, reportez-vous à Administration > Détection >
LLDP > Stratégie réseau LLD PMED.
Les champs Operational Status (État opérationnel) suivants s'affichent :
•
Voice VLAN ID (ID VLAN voix) : VLAN voix.
•
CoS/802.1p : valeur utilisée par LLDP-MED en tant que stratégie de réseau voix. Pour
plus d'informations, reportez-vous à Administration > Détection > LLDP > Stratégie
réseau LLD PMED.
•
DSCP : valeur utilisée par LLDP-MED en tant que stratégie de réseau voix.
Les champs Dynamic Voice VLAN Settings (Paramètres du VLAN voix dynamique)
s'affichent :
•
•
258
VLAN voix dynamique : sélectionnez ce champ pour désactiver ou activer la fonction
VLAN voix de l'une des manières suivantes :
-
Activer le VLAN voix automatique : active le VLAN voix dynamique en mode
VLAN voix automatique.
-
Activer OUI de téléphonie : active le VLAN voix dynamique en mode OUI de
téléphonie.
-
Désactiver : désactive le VLAN voix automatique ou le OUI de téléphonie.
Activation du VLAN voix automatique : sélectionnez l'une des options suivantes pour
activer le VLAN voix automatique :
-
Immédiat : le VLAN voix automatique du périphérique est activé et immédiatement
opérationnel.
-
Par déclenchement du VLAN voix externe : le VLAN voix automatique du
périphérique est activé et opérationnel uniquement si le périphérique détecte un
périphérique qui annonce le VLAN voix.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
REMARQUE La reconfiguration manuelle de l'ID de VLAN voix, CoS/802.1p et/ou
DSCP à partir de leurs valeurs par défaut génère un VLAN voix statique ayant une
priorité plus élevée que le VLAN voix automatique qui a été appris des sources
externes.
ÉTAPE 3 Cliquez sur Appliquer. Les propriétés du VLAN sont écrites dans le fichier de Configuration
d'exécution.
Paramètres de VLAN voix automatique
Si le mode VLAN voix automatique est activé, utilisez la page VLAN voix automatique pour
afficher les paramètres globaux et d'interface appropriés.
Vous pouvez aussi utiliser cette page pour redémarrer manuellement le VLAN voix
automatique, en cliquant sur Redémarrer VLAN voix automatique. Au bout de quelques
instants, le système rétablit le VLAN voix par défaut, et relance la détection VLAN voix
automatique et le processus de synchronisation sur tous les commutateurs du LAN pour
lesquels le mode VLAN voix automatique est activé.
REMARQUE
Cette opération rétablit uniquement le VLAN voix par défaut si le type de source est dans l'état
Inactif.
Pour afficher les paramètres de VLAN voix automatique :
ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > VLAN voix automatique.
Le bloc Operation Status (État opérationnel) figurant sur cette page affiche les informations
sur le VLAN voix actuel et sur sa source :
•
État de VLAN voix automatique : indique si le VLAN voix automatique est activé.
•
ID du VLAN voix : identificateur du VLAN voix actuel.
•
Type de source : affiche le type de source où le VLAN voix a été détecté par le
périphérique racine.
•
CoS/802.1p : affiche les valeurs CoS/802.1p utilisées par LLDP-MED en tant que
stratégie de réseau voix.
•
DSCP : affiche les valeurs DSCP utilisées par LLDP-MED en tant que stratégie de
réseau voix.
•
Adresse MAC commutateur racine : adresse MAC du périphérique racine VLAN
voix automatique qui détecte ou est configuré avec le VLAN voix à partir duquel le
VLAN voix est appris.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
259
12
Gestion des VLAN
VLAN voix
•
Adresse MAC du commutateur : adresse MAC de base du périphérique. Si
l'adresse MAC du commutateur du périphérique est l'adresse MAC du commutateur
racine, le périphérique est le périphérique racine VLAN voix automatique.
•
Heure de changement de l'ID VLAN voix : heure de la dernière mise à jour du VLAN
voix.
ÉTAPE 2 Cliquez sur Redémarrer VLAN voix automatique pour rétablir le VLAN voix par défaut et
relancer la détection VLAN voix automatique sur tous les commutateurs du LAN pour
lesquels la fonction VLAN voix automatique est activée.
Le paramètre Voice VLAN Local Source Table (Table de source locale VLAN voix) affiche
le VLAN voix configuré sur le périphérique, ainsi que toute configuration VLAN voix
annoncée par des périphériques voisins à connexion directe. Elle contient les champs
suivants :
260
•
Interface : affiche l'interface sur laquelle la configuration VLAN voix a été reçue ou
configurée. Si S/O est affiché, cela signifie que la configuration a été effectuée sur le
périphérique lui-même. Si une interface est affichée, cela signifie qu'une configuration
de voix a été reçue d'un voisin.
•
Adresse MAC source : adresse MAC de l'UC de provenance de la configuration de
voix.
•
Type de source : type d'UC de provenance de la configuration de voix. Les options
suivantes sont disponibles :
-
Par défaut : configuration VLAN voix par défaut sur le périphérique.
-
Statique : configuration VLAN voix définie par l'utilisateur programmée sur le
périphérique.
-
CDP : indique que l'UC qui a annoncé la configuration VLAN voix exécute CDP.
-
LLDP : indique que l'UC qui a annoncé la configuration VLAN voix exécute LLDP.
-
ID du VLAN voix : identificateur du VLAN voix annoncé ou configuré.
•
ID du VLAN voix : identificateur du VLAN voix actuel.
•
CoS/802.1p : valeurs CoS/802.1p annoncées ou configurées qui sont utilisées par
LLDP-MED en tant que stratégie de réseau voix.
•
DSCP : valeurs DSCP annoncées ou configurées qui sont utilisées par LLDP-MED en
tant que stratégie réseau de voix.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
•
Meilleure source locale : indique si ce VLAN voix a été utilisé par le périphérique. Les
options suivantes sont disponibles :
-
Oui : le périphérique utilise ce VLAN voix pour se synchroniser avec les autres
commutateurs pour lesquels la fonction VLAN voix automatique est activée. Ce
VLAN voix est celui utilisé pour le réseau, sauf si un VLAN voix provenant d'une
source de priorité plus élevée est détecté. Une seule source locale peut être la
meilleure source locale.
-
Non : il ne s'agit pas de la meilleure source locale.
ÉTAPE 3 Cliquez sur Actualiser pour actualiser les informations figurant sur la page.
OUI de téléphonie
Les OUI (Organizationally Unique Identifiers) sont attribués par l'autorité d'enregistrement
intégrée IEEE (Institute of Electrical and Electronics Engineers). Étant donné que le numéro
des fabricants de téléphones IP est limité et connu, les valeurs d'OUI connues entraînent
l'affectation automatique au VLAN voix des trames concernées et du port sur lequel elles sont
détectées.
La table globale des OUI peut contenir jusqu'à 128 entrées.
Cette section couvre les sujets suivants :
•
Table des OUI de téléphonie
•
Interface des OUI de téléphonie
Table des OUI de téléphonie
Utilisez la page OUI de téléphonie pour configurer les propriétés QoS des OUI de téléphonie.
Vous pouvez également configurer le Délai d'expiration d'appartenance automatique. Si la
période expire sans aucune activité téléphonique, le port est supprimé du VLAN voix.
Utilisez la page OUI de téléphonie pour afficher les OUI existants et en ajouter de nouveaux.
Pour configurer les OUI de téléphonie et/ou ajouter un nouveau OUI de VLAN voix :
ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > OUI de téléphonie.
La page OUI de téléphonie contient les champs suivants :
•
État opérationnel OUI de téléphonie : indique si les OUI sont utilisés pour identifier
le trafic vocal.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
261
12
Gestion des VLAN
VLAN voix
•
CoS/802.1p : sélectionnez la file d'attente CoS à attribuer au trafic vocal.
•
Remarquer CoS/802.1p : sélectionnez cette option pour remarquer le trafic sortant.
•
Délai d'expiration d'appartenance automatique : entrez le délai à l'issue duquel
supprimer un port du VLAN voix une fois que toutes les adresses MAC des téléphones
détectés sur les ports ont expiré.
ÉTAPE 2 Cliquez sur Appliquer pour intégrer ces valeurs à la Configuration d'exécution du
périphérique.
La Table des OUI de téléphonie s'affiche :
•
OUI de téléphonie : six premiers chiffres de l'adresse MAC réservés aux OUI.
•
Description : description du OUI affecté par l'utilisateur.
ÉTAPE 3 Cliquez sur Restaurer les OUI par défaut pour supprimer tous les OUI créés par l'utilisateur
et conserver uniquement les OUI par défaut dans la table. Les informations OUI risquent d'être
inexactes tant que la restauration n'est pas terminée. Cette opération peut prendre plusieurs
secondes. Au bout de quelques secondes, actualisez la page en la quittant et y accédant à
nouveau.
Pour supprimer tous les OUI, cochez la case du haut. Tous les OUI sont sélectionnés et
peuvent être supprimés en cliquant sur Supprimer. Si vous cliquez ensuite sur Restaurer les
OUI par défaut, le système récupère les OUI connus.
ÉTAPE 4 Pour ajouter un nouveau OUI, cliquez sur Ajouter.
ÉTAPE 5 Entrez les valeurs des champs suivants :
•
OUI de téléphonie : saisissez un nouveau OUI.
•
Description : saisissez un nom d'identifiant OUI.
ÉTAPE 6 Cliquez sur Appliquer. Le OUI est ajouté à la Table des OUI de téléphonie.
Interface des OUI de téléphonie
Les attributs QoS peuvent être affectés aux paquets voix pour chaque port dans l'un des deux
modes suivants :
•
262
Tout : les valeurs de qualité de service (QoS) configurées sur le VLAN voix sont
appliquées à toutes les trames entrantes reçues sur l'interface et catégorisées comme
VLAN voix.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
12
Gestion des VLAN
VLAN voix
•
Adresse MAC source de téléphonie : les valeurs de QoS configurées pour le VLAN
voix sont appliquées à toute trame entrante catégorisée comme VLAN voix et
contenant un OUI dans l'adresse MAC source qui correspond à un OUI de téléphonie
configuré.
Utilisez la page Interface des OUI de téléphonie pour ajouter une interface au VLAN voix sur
la base de l'identificateur OUI et pour configurer le mode QoS OUI du VLAN voix.
Pour configurer le mode OUI de téléphonie sur une interface :
ÉTAPE 1 Cliquez sur Gestion des VLAN > VLAN voix > Interface des OUI de téléphonie.
La page Interface des OUI de téléphonie contient les paramètres OUI du VLAN voix pour
toutes les interfaces.
ÉTAPE 2 Pour configurer une interface en tant que port candidat du VLAN voix basé sur les OUI de
téléphonie, cliquez sur Modifier.
ÉTAPE 3 Entrez les valeurs des champs suivants :
•
Interface : sélectionnez une interface.
•
Adhésion VLAN OUI de téléphonie : si cette option est activée, l'interface est un port
candidat du VLAN voix basé sur les OUI de téléphonie. Lorsque des paquets
correspondant à l'un des OUI de téléphonie configurés sont reçus, le port est ajouté au
VLAN voix.
•
Mode de QoS VLAN voix (Mode de QoS OUI de téléphonie sur la page principale) :
sélectionnez l'une des options suivantes :
-
Tous : les attributs QoS sont appliqués à tous les paquets catégorisés comme VLAN
voix.
-
Adresse MAC source de téléphonie : les attributs QoS sont uniquement appliqués
aux paquets provenant de téléphones IP.
ÉTAPE 4 Cliquez sur Appliquer. L'OUI est ajouté.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
263
13
Arbre recouvrant
Cette section décrit le protocole STP (Spanning Tree Protocol) (IEEE802.1D et IEEE802.1Q)
et couvre les rubriques suivantes :
•
Types de STP
•
État STP et paramètres globaux
•
Paramètres d'interface STP
•
Paramètres d'interface RSTP
•
Présentation du protocole MST (Multiple Spanning Tree)
•
Propriétés MSTP
•
VLAN vers instance MSTP
•
Paramètres d'instance MSTP
•
Paramètres d'interface MSTP
Types de STP
Le protocole STP protège un domaine de diffusion de couche 2 (Layer 2) contre les tempêtes
de diffusion en paramétrant sélectivement des liens sur le mode de réserve pour empêcher les
boucles. En mode de réserve, ces liens cessent temporairement de transférer des données
d'utilisateur. Les liens sont automatiquement réactivés lorsque la topologie permet à nouveau
le transfert de données.
Des boucles se produisent lorsque des chemins alternatifs existent entre les hôtes. Les boucles
peuvent utiliser des commutateurs pour relayer les mêmes paquets indéfiniment, ce qui peut
empêcher les paquets d'arriver à leur destination, mais également entraîner des tempêtes de
diffusion/multidiffusion et réduire l'efficacité du réseau.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
264
13
Arbre recouvrant
État STP et paramètres globaux
Le protocole STP fournit une topologie en arborescence pour l'agencement de commutateurs
et de liens d'interconnexion afin de créer un chemin d'accès unique entre des stations d'arrivée
sur un réseau et d'éliminer les boucles.
Le périphérique prend en charge les versions de protocole STP suivantes :
•
Le STP classique fournit un chemin d'accès unique entre deux stations d'arrivée afin
d'empêcher et d'éliminer les boucles.
•
Le STP rapide (RSTP) détecte les topologies de réseau afin de fournir une convergence
du Spanning Tree plus rapide. Ce protocole est plus efficace lorsque la topologie du
réseau est naturellement structurée en arborescence et permet une convergence plus
rapide. RSTP est activé par défaut.
•
STP multiple (MSTP) : MSTP est basé sur RSTP. Il détecte les boucles de couche 2
(Layer 2) et tente de les réduire en empêchant le port impliqué de transférer le trafic.
Étant donné que les boucles existent au niveau d'un domaine de couche 2, il peut
arriver qu'un port soit bloqué pour éliminer une boucle STP. Le trafic est transféré vers
le port qui n'est pas bloqué et le port bloqué ne reçoit aucun trafic. Ce protocole ne
permet pas d'utiliser la bande passante de manière efficace, car le port bloqué reste
inutilisé.
•
MSTP résout ce problème en activant plusieurs instances STP afin de détecter et de
réduire séparément les boucles pour chaque instance. Il est donc possible de bloquer un
port pour une ou plusieurs instances STP, mais de le laisser actif pour d'autres instances
STP. Si différents VLAN sont associés à différentes instances STP, leur trafic est relayé
en fonction de l'état du port STP de leurs instances MST associées. Cela permet de
mieux utiliser la bande passante.
État STP et paramètres globaux
La page État STP et paramètres globaux contient les paramètres permettant d'activer STP,
RSTP ou MSTP.
Utilisez respectivement la page Paramètres d'interface STP, Paramètres d'interface RSTP et
Propriétés MSTP pour configurer chaque mode.
Pour définir l'état et les paramètres globaux STP :
ÉTAPE 1 Cliquez sur Arbre recouvrant > État STP et paramètres globaux.
ÉTAPE 2 Saisissez les paramètres.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
265
13
Arbre recouvrant
État STP et paramètres globaux
Paramètres globaux :
•
État Spanning Tree : sélectionnez cette option pour l'activer sur le périphérique.
•
Protection de bouclage STP : sélectionnez cette option pour activer la protection de
bouclage sur le périphérique.
•
Mode de fonctionnement STP : sélectionnez un mode STP.
•
Gestion BPDU : définissez la façon dont les paquets BPDU sont gérés lorsque le
protocole STP est désactivé sur le port ou le périphérique. Les BPDU servent à
transmettre des informations du protocole STP.
•
-
Filtrage : filtre les paquets BPDU lorsque Spanning Tree est désactivé sur une
interface.
-
Inondation : inonde de paquets BPDU lorsque Spanning Tree est désactivé sur une
interface.
Valeurs par défaut du coût de chemin : sélectionne la méthode utilisée pour assigner
des coûts de chemin par défaut aux ports STP. Le coût de chemin par défaut assigné à
une interface varie selon la méthode sélectionnée.
-
Court : spécifie la plage de 1 à 65 535 pour les coûts de chemin des ports.
-
Long : spécifie la plage de 1 à 200 000 000 pour les coûts de chemin des ports.
Paramètres des ponts :
266
•
Priorité : définit la valeur de priorité du pont. Après l'échange de BPDU, le
périphérique de priorité moindre devient le pont racine. Si tous les ponts utilisent la
même priorité, leurs adresses MAC sont alors utilisées pour déterminer le pont racine.
La valeur de priorité du pont est fournie par incréments de 4096. Par exemple, 4096,
8192, 12288, etc.
•
Délai Hello : définissez le temps d'attente en secondes d'un pont racine entre deux
messages de configuration.
•
Âge maximum : définissez la durée d'attente maximale (en secondes) du périphérique
avant qu'il ne tente de redéfinir sa propre configuration lorsqu'il ne reçoit pas de
message de configuration.
•
Délai de transfert : définissez la durée en secondes pendant laquelle le pont reste en
mode d'apprentissage avant de transférer des paquets. Pour plus d’informations,
reportez-vous à la section Paramètres d'interface STP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
Arbre recouvrant
Paramètres d'interface STP
Racine désignée :
•
ID du pont : priorité du pont concaténée avec l'adresse MAC du périphérique.
•
ID du pont racine : priorité du pont racine concaténée avec l'adresse MAC du pont
racine.
•
Port racine : port offrant le chemin de moindre coût entre ce pont et le pont racine.
(Cette information est importante lorsque le pont n'est pas le pont racine.)
•
Coût du chemin racine : coût du chemin entre ce pont et la racine.
•
Topology Changes Counts : nombre total des changements de topologie STP
effectués.
•
Dernier changement de topologie : temps écoulé depuis le dernier changement de
topologie. Cette durée s'affiche au format jours/heures/minutes/secondes.
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres globaux STP sont écrits dans le fichier de
Configuration d'exécution.
Paramètres d'interface STP
La page Paramètres d'interface STP vous permet de configurer le protocole STP port par port
et d'afficher les informations apprises par le protocole, comme le pont désigné.
La configuration définie est valide pour toutes les variantes du protocole STP.
Pour configurer STP sur une interface :
ÉTAPE 1 Cliquez sur Arbre recouvrant > Paramètres d'interface STP.
ÉTAPE 2 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez le port ou le LAG sur lequel Spanning Tree est configuré.
•
STP : active ou désactive STP sur le port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
267
13
Arbre recouvrant
Paramètres d'interface STP
•
Port de bordure : active ou désactive Fast Link sur le port. Si le mode Fast Link est
activé pour un port, le port est automatiquement placé en mode Transfert lorsque le lien
du port est actif. Fast Link optimise la convergence du protocole STP. Les options sont
les suivantes :
-
Activer : active immédiatement Fast Link.
-
Auto : active Fast Link quelques secondes après l'activation de l'interface. Ceci
permet à STP de résoudre les problèmes de boucles avant d'activer Fast Link.
-
Désactiver : désactive Fast Link.
REMARQUE Il est recommandé de définir la valeur sur Auto afin que le périphérique
place le port en mode Fast Link lorsqu'un hôte y est connecté, ou qu'il le définisse
comme étant un port STP normal lorsqu'il est connecté à un autre périphérique. Cela
permet d'éviter les boucles.
Le port de périphérie n'est pas opérationnel en mode MSTP.
•
268
Gestion BPDU : définissez la façon dont les paquets BPDU sont gérés lorsque le
protocole STP est désactivé sur le port ou le périphérique. Les BPDU servent à
transmettre des informations du protocole STP.
-
Use Global Settings (Utiliser les paramètres globaux) : sélectionnez cette option
pour utiliser les paramètres définis sur la page État STP et paramètres globaux.
-
Filtrage : filtre les paquets BPDU lorsque Spanning Tree est désactivé sur une
interface.
-
Inondation : inonde de paquets BPDU lorsque Spanning Tree est désactivé sur une
interface.
•
Coût d'acheminement : définissez la contribution du port au coût du chemin racine ou
utilisez le coût par défaut généré par le système.
•
Priorité : définissez la valeur de priorité du port. La valeur de priorité influence le choix
du port lorsqu'un pont dispose de deux ports connectés au sein d'une boucle. La priorité
est une valeur comprise entre 0 et 240 ; il doit s'agir d'un multiple de 16.
•
État du port : affiche l'état STP actuel d'un port.
-
Désactivé : le protocole STP est actuellement désactivé sur le port. Le port transfère
le trafic tout en apprenant les adresses MAC.
-
Blocage : le port est actuellement bloqué et ne peut ni transférer le trafic (à
l'exception des données BPDU) ni apprendre les adresses MAC.
-
Écoute : le port est en mode Écoute. Il ne peut ni transférer le trafic ni connaître les
adresses MAC.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
Arbre recouvrant
Paramètres d'interface RSTP
-
Apprentissage : le port est en mode Apprentissage. Il ne peut pas transférer le trafic
mais il peut prendre connaissance de nouvelles adresses MAC.
-
Transfert : le port est en mode Transfert. Il peut réacheminer du trafic et apprendre
de nouvelles adresses MAC.
•
ID du pont désigné : affiche la priorité du pont et l'adresse MAC du pont désigné.
•
ID du port désigné : affiche la priorité et l'interface du port sélectionné.
•
Designated Cost : affiche le coût du port participant à la topologie STP. Les ports de
coûts inférieurs sont peu susceptibles d'être bloqués si STP détecte des boucles.
•
Transitions de transfert : affiche le nombre de fois où le port est passé de l'état
Blocage à l'état Transfert.
•
Vitesse : affiche la vitesse du port.
•
LAG : affiche le LAG auquel appartient le port. Si un port est membre d'un LAG, les
paramètres du LAG remplacent ceux du port.
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres d'interface sont écrits dans le fichier de Configuration
d'exécution.
Paramètres d'interface RSTP
Le protocole RSTP (Rapid Spanning Tree Protocol) permet une convergence STP plus rapide
sans création de boucles de réacheminement.
La page Paramètres d'interface RSTP vous permet de configurer le protocole RSTP par port.
Toute configuration effectuée sur cette page est active lorsque le mode STP global est défini
sur RSTP.
Pour entrer les paramètres RSTP :
ÉTAPE 1 Cliquez sur Arbre recouvrant > État STP et paramètres globaux.
ÉTAPE 2 Activez RSTP.
ÉTAPE 3 Cliquez sur Arbre recouvrant > Paramètres d'interface RSTP. La page Paramètres
d'interface RSTP s'ouvre.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
269
13
Arbre recouvrant
Paramètres d'interface RSTP
ÉTAPE 4 Sélectionnez un port.
REMARQUE Activer la migration des protocoles est uniquement disponible après avoir
sélectionné le port connecté au pont associé en cours de test.
ÉTAPE 5 Si un partenaire de lien est détecté via STP, cliquez sur Activer la migration des protocoles
pour effectuer un test de migration des protocoles. Cette opération détecte si le lien associé
utilisant STP existe toujours et s'il a migré ou non vers RSTP ou MSTP. S'il existe toujours en
tant que lien STP, le périphérique continue de communiquer avec lui via STP. Sinon, s'il a
migré vers RSTP ou MSTP, il communique avec lui respectivement via RSTP ou MSTP.
ÉTAPE 6 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 7 Configurez les paramètres suivants :
270
•
Interface : définissez l'interface et précisez le port ou LAG où RSTP doit être
configuré.
•
État administratif point à point : définissez l'état de la liaison point à point. Les ports
définis en tant que Full Duplex sont considérés comme liens de port point à point.
-
Activé : ce port devient un port de bordure RSTP lorsque cette option est activée et
il est placé rapidement en mode Transfert (généralement en 2 secondes).
-
Désactivé : le port n'est pas considéré comme port point à point pour le protocole
RSTP ; par conséquent, STP fonctionne sur ce port à vitesse normale et non à haute
vitesse.
-
Automatique : détermine automatiquement l'état du périphérique en utilisant les
unités BPDU RSTP.
•
État opérationnel point à point : affiche l'état opérationnel point à point si l'État
administratif point à point est défini sur Auto.
•
Rôle : affiche le rôle du port qui a été assigné par STP pour fournir des chemins STP.
Les rôles possibles sont :
-
Racine : chemin de moindre coût pour transférer des paquets vers le pont racine.
-
Désigné : interface via laquelle le pont est connecté au LAN et qui fournit le chemin
de moindre coût du LAN au pont racine.
-
Alternate (Alternatif) : fournit un chemin alternatif de l'interface racine au port
racine.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
Arbre recouvrant
Paramètres d'interface RSTP
-
Sauvegarde : fournit un chemin de secours pour le chemin du port désigné vers les
nœuds terminaux STP. Cela fournit une configuration dans laquelle deux ports sont
reliés dans une boucle par un lien point à point. Des ports de secours sont également
utilisés lorsqu'un LAN possède deux ou plusieurs connexions établies à un segment
partagé.
-
Désactivé : le port ne participe pas au Spanning Tree.
•
Mode : affiche le mode Spanning Tree actuel : RSTP ou STP classique.
•
État opérationnel Fast Link : indique si Fast Link (port de bordure) est activé,
désactivé ou automatique pour l'interface. Les valeurs disponibles sont les suivantes :
•
-
Activé : Fast Link est activé.
-
Désactivé : Fast Link est désactivé.
-
Auto : Fast Link s'active quelques secondes après l'activation de l'interface.
État du port : affiche l'état RSTP sur le port spécifique.
-
Désactivé : le protocole STP est actuellement désactivé sur le port.
-
Suppression : le port est actuellement bloqué et ne peut ni réacheminer de trafic, ni
apprendre d'adresses MAC.
-
Écoute : le port est en mode Écoute. Il ne peut ni transférer le trafic ni connaître les
adresses MAC.
-
Apprentissage : le port est en mode Apprentissage. Il ne peut pas transférer le trafic
mais il peut prendre connaissance des nouvelles adresses MAC.
-
Transfert : le port est en mode Transfert. Il peut réacheminer du trafic et apprendre
de nouvelles adresses MAC.
ÉTAPE 8 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
271
13
Arbre recouvrant
Présentation du protocole MST (Multiple Spanning Tree)
Présentation du protocole MST (Multiple Spanning Tree)
Le protocole MSTP (Multiple Spanning Tree Protocol) est utilisé pour séparer l'état du port
STP entre divers domaines (sur différents VLAN). Par exemple, si un port A est bloqué dans
une instance STP en raison d'une boucle sur le VLAN A, le même port peut être placé en mode
de réacheminement dans une autre instance STP. La page Propriétés MSTP permet de définir
les paramètres MSTP globaux.
Pour configurer MSTP :
ÉTAPE 1 Définissez le mode de fonctionnement STP sur MSTP, comme décrit à la page État STP et
paramètres globaux .
ÉTAPE 2 Définissez les instances MSTP. Chaque instance MSTP calcule et établit une topologie sans
boucles pour transmettre les paquets à partir des VLAN qui mappent à l'instance. Reportezvous à la section VLAN vers instance MSTP.
ÉTAPE 3 Décidez quelle instance MSTP est active dans quel VLAN et associez ces instances MSTP aux
VLAN en conséquence.
ÉTAPE 4 Pour configurer les attributs MSTP :
•
Propriétés MSTP
•
Paramètres d'instance MSTP
•
VLAN vers instance MSTP
Propriétés MSTP
Le protocole MSTP global configure un Spanning Tree distinct pour chaque groupe VLAN et
bloque tous les chemins alternatifs possibles sauf un, et ce, dans chaque instance Spanning
Tree. MSTP permet la formation de régions MST pouvant exécuter des instances MST
multiples (MSTI). Des régions multiples et d'autres ponts STP sont interconnectés à l'aide d'un
arbre recouvrant commun unique (CST, Common Spanning Tree).
MSTP est totalement compatible avec les ponts RSTP dans la mesure où un BPDU MSTP
peut être interprété par un pont RSTP en tant que BPDU RSTP. Cela assure non seulement une
compatibilité avec les ponts RSTP sans modifier la configuration, mais permet aussi à tous les
ponts RSTP en dehors d'une région MSTP de percevoir la région comme un pont RSTP
unique, ceci quel que soit le nombre de ponts MSTP dans la région.
272
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
Arbre recouvrant
VLAN vers instance MSTP
Pour que deux ou plusieurs commutateurs soient dans la même région MST, ils doivent
posséder les mêmes VLAN mappés sur une instance MST, le même numéro de révision de la
configuration ainsi que le même nom de région.
Les commutateurs destinés à être dans la même région MST ne sont jamais séparés par des
commutateurs d'une autre région MST. Si tel est le cas, la région se sépare en deux régions
distinctes.
Ce mappage peut être effectué sur la page VLAN vers instance MSTP.
Utilisez cette page si le système fonctionne en mode MSTP.
Pour définir MSTP :
ÉTAPE 1 Cliquez sur Arbre recouvrant > État STP et paramètres globaux.
ÉTAPE 2 Activez MSTP.
ÉTAPE 3 Cliquez sur Arbre recouvrant > Propriétés MSTP.
ÉTAPE 4 Saisissez les paramètres.
•
Nom de région : définissez un nom de région MSTP.
•
Révision : définissez un nombre non signé sur 16 bits qui identifie la révision de la
configuration MST actuelle. La valeur de ce champ est comprise entre 0 et 65 535.
•
Sauts max. : définissez le nombre total de sauts se produisant dans une région
spécifique avant la désactivation de l'unité BPDU. Lorsque le BPDU est désactivé, les
informations du port sont obsolètes. La valeur de ce champ est comprise entre 1 et 40.
•
Maître IST : affiche le maître de la région.
ÉTAPE 5 Cliquez sur Appliquer. Les propriétés MSTP sont définies et le fichier de configuration
d'exécution est mis à jour.
VLAN vers instance MSTP
La page VLAN vers instance MSTP vous permet de mapper chaque réseau VLAN sur une
instance MSTI (Multiple Spanning Tree Instance). Pour que les périphériques soient dans la
même région, le mappage des VLAN aux MSTI doit être identique.
REMARQUE
Le même MSTI peut être mappé à plus d'un VLAN. Un VLAN ne peut lui être lié qu'à une
instance MST.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
273
13
Arbre recouvrant
VLAN vers instance MSTP
La configuration indiquée sur cette page (et toutes les pages MSTP) s'applique si le mode STP
du système est défini sur MSTP.
Il est possible de définir jusqu'à 16 instances MST en plus de l'instance zéro.
Le périphérique mappe automatiquement à l'instance CIST (Core and Internal Spanning Tree)
les VLAN qui ne sont pas explicitement mappés à l'une des instances MST. L'instance CIST
est l'instance MST 0.
Pour relier des VLAN à des instances MST :
ÉTAPE 1 Cliquez sur Arbre recouvrant > VLAN vers instance MSTP.
La page VLAN vers instance MSTP contient les champs suivants :
•
ID d'instance MSTP : toutes les instances MST sont affichées.
•
VLAN : tous les VLAN appartenant à l'instance MST sont affichés.
ÉTAPE 2 Pour ajouter un VLAN à une instance MSTP, sélectionnez l'instance MST puis cliquez sur
Modifier.
ÉTAPE 3 Configurez les paramètres suivants :
•
ID d'instance MSTP : sélectionnez l'instance MSTP.
•
VLAN : définissez les VLAN à mapper à cette instance MST.
•
Action : choisissez d'Ajouter (mapper) le VLAN à l'instance MST ou de le Supprimer
de celle-ci.
ÉTAPE 4 Cliquez sur Appliquer. Les mappages MSTP VLAN sont définis et le fichier de Configuration
d'exécution est mis à jour.
274
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
Arbre recouvrant
Paramètres d'instance MSTP
Paramètres d'instance MSTP
La page Paramètres d'instance MSTP vous permet de configurer et d'afficher les paramètres
par instance MST. Il s'agit de l'équivalent par instance de la Configuration de l'état et des
paramètres globaux STP.
Pour entrer les paramètres de l'instance MSTP :
ÉTAPE 1 Cliquez sur Arbre recouvrant > Paramètres d'instance MSTP.
ÉTAPE 2 Saisissez les paramètres.
•
ID d'instance : sélectionnez une instance MST à afficher et à définir.
•
VLAN inclus : affiche les VLAN mappés à l'instance sélectionnée. Le mappage par
défaut mappe tous les VLAN à l'instance CIST (Common and Internal Spanning Tree)
(instance 0).
•
Priorité du pont : définissez la priorité de ce pont pour l'instance MST sélectionnée.
•
ID du pont racine désigné : affiche la priorité et l'adresse MAC du pont racine pour
l'instance MST.
•
Port racine : affiche le port racine de l'instance sélectionnée.
•
Coût du chemin racine : affiche le coût du chemin racine de l'instance sélectionnée.
•
ID du pont : affiche la priorité du pont et l'adresse MAC de ce périphérique pour
l'instance sélectionnée.
•
Remaining Hops : affiche le nombre de sauts restant jusqu'à la prochaine destination.
ÉTAPE 3 Cliquez sur Appliquer. La configuration de l'instance MST est terminée et le fichier de
configuration d'exécution est mis à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
275
13
Arbre recouvrant
Paramètres d'interface MSTP
Paramètres d'interface MSTP
La page Paramètres d'interface MSTP vous permet de configurer les paramètres MSTP du port
pour chaque instance MST et d'afficher les informations actuellement apprises par le
protocole, comme le pont désigné par instance MST.
Pour configurer les ports dans une instance MST :
ÉTAPE 1 Cliquez sur Arbre recouvrant > Paramètres d'interface MSTP.
ÉTAPE 2 Saisissez les paramètres.
•
Instance égale à : sélectionnez l'instance MSTP à configurer.
•
Type d'interface égal à : choisissez d'afficher la liste des ports ou des LAG.
ÉTAPE 3 Cliquez sur Go. Les paramètres MSTP pour les interfaces de l'instance s'affichent.
ÉTAPE 4 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 5 Saisissez les paramètres.
276
•
ID d'instance : sélectionnez l'instance MST à configurer.
•
Interface : sélectionnez l'interface pour laquelle les paramètres MSTI doivent être
définis.
•
Priorité d'interface : définissez la priorité du port pour l'interface et l'instance MST
spécifiées.
•
Coût de chemin : entrez la contribution du port au coût du chemin racine dans la zone
Défini par l'utilisateur ou sélectionnez Valeurs par défaut pour utiliser la valeur par
défaut.
•
État du port : affiche l'état MSTP du port spécifique sur une instance MST spécifique.
Les paramètres sont définis comme suit :
-
Désactivé : STP est actuellement désactivé.
-
Suppression : le port sur cette instance est actuellement bloqué et ne peut ni
réacheminer de trafic (à l'exception des données BPDU) ni apprendre
d'adresses MAC.
-
Écoute : le port sur cette instance est en mode Écoute. Il ne peut ni transférer le trafic
ni connaître les adresses MAC.
-
Apprentissage : le port sur cette instance est en mode Apprentissage. Il ne peut pas
transférer le trafic mais il peut prendre connaissance de nouvelles adresses MAC.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
13
Arbre recouvrant
Paramètres d'interface MSTP
•
•
•
-
Transfert : le port sur cette instance est en mode Transfert. Il peut réacheminer du
trafic et apprendre de nouvelles adresses MAC.
-
Limite : le port sur cette instance est un port frontière. Il hérite de son état de
l'instance 0 et peut être affiché sur la page Paramètres d'interface STP.
Rôle du port : affiche le rôle du port ou du LAG, par port ou LAG par instance, assigné
par l'algorithme MSTP afin de fournir les chemins STP :
-
Racine : le transfert des paquets via cette interface fournit le chemin de moindre
coût pour transférer les paquets vers le périphérique racine.
-
Port désigné : interface via laquelle le pont est connecté au réseau local (LAN) et
qui fournit le chemin de moindre coût du réseau local (LAN) au pont racine pour
l'instance MST.
-
Alternate (Alternatif) : l'interface fournit un chemin alternatif entre le pont racine et
le port racine.
-
Sauvegarde : l'interface fournit un chemin de secours pour le chemin du port
désigné vers les nœuds terminaux du Spanning Tree. Des ports de secours existent
lorsque deux ports sont reliés dans une boucle par un lien point à point. Des ports de
secours apparaissent également lorsqu'un LAN possède deux ou plusieurs
connexions établies à un segment partagé.
-
Désactivé : l'interface ne participe pas au Spanning Tree.
-
Limite : le port sur cette instance est un port frontière. Il hérite de son état de
l'instance 0 et peut être affiché sur la page Paramètres d'interface STP.
Mode : affiche le mode Spanning Tree actuel de l'interface.
-
Si le partenaire de liaison utilise MSTP ou RSTP, le mode de port affiché est RSTP.
-
Si le partenaire de liaison utilise STP, le mode de port affiché est STP.
Type : affiche le type MST du port.
-
Limite : un port frontière relie les ponts MST à un réseau LAN dans une région
distante. Si le port est un port de limite, il indique également si le périphérique de
l'autre côté du lien fonctionne en mode RSTP ou STP.
-
Internal : le port est un port interne.
•
ID de pont désigné : affiche l'ID du pont qui connecte la liaison ou le LAN partagé à
la racine.
•
ID de port désigné : affiche l'ID du port sur le pont désigné qui connecte la liaison ou
le LAN partagé à la racine.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
277
13
Arbre recouvrant
Paramètres d'interface MSTP
•
Designated Cost : affiche le coût du port participant à la topologie STP. Les ports de
coûts inférieurs sont peu susceptibles d'être bloqués si STP détecte des boucles.
•
Sauts restants : affiche le nombre de sauts restant jusqu'à la prochaine destination.
•
Transitions de réacheminement : affiche le nombre de fois où le port est passé du
mode Réacheminement au mode Suppression.
ÉTAPE 6 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
278
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
14
Gestion des tables d'adresses MAC
Cette section explique comment ajouter des adresses MAC au système. Elle couvre les sujets
suivants :
•
Adresses statiques
•
Adresses dynamiques
Il existe deux types d'adresses MAC : statiques et dynamiques. Selon leur type, les adresses
MAC sont stockées dans la table des adresses statiques ou dans la table des adresses
dynamiques avec les informations relatives aux VLAN et aux ports.
Les adresses statiques sont configurées par l'utilisateur, par conséquent elles n'expirent jamais.
Une nouvelle adresse MAC source qui apparaît dans une trame reçue par le périphérique est
ajoutée à la table des adresses dynamiques. Cette adresse MAC est conservée pendant une
période que vous pouvez configurer. Si aucune autre trame disposant de la même
adresse MAC source n'apparaît sur le périphérique avant l'expiration de ce délai, l'entrée MAC
est supprimée (expirée) de la table.
Lorsqu'une trame arrive au niveau du périphérique, celui-ci recherche une adresse MAC de
destination correspondant à une entrée de la table des adresses statiques ou dynamiques. En
cas de correspondance, la trame est marquée en sortie sur un port spécifique de la table. Les
trames adressées à une adresse MAC n'ayant pas été trouvée dans les tables sont diffusées/
transmises à tous les ports du VLAN approprié. Ces trames sont appelées trames de
destination unique inconnue.
Le périphérique prend en charge un maximum de 8 000 adresses MAC statiques et
dynamiques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
279
14
Gestion des tables d'adresses MAC
Adresses statiques
Adresses statiques
Les adresses MAC statiques sont affectées à une interface physique et à un VLAN spécifiques
sur le périphérique. Si une adresse MAC est détectée sur une autre interface, elle est ignorée et
n'est pas consignée dans la table des adresses.
Pour définir une adresse statique :
ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Adresses statiques.
La page Adresses statiques affiche les adresses statiques actuellement définies.
ÉTAPE 2 Cliquez sur Add.
ÉTAPE 3 Saisissez les paramètres.
•
ID VLAN : sélectionnez l'ID VLAN du port.
•
Adresse MAC : saisissez l'adresse MAC de l'interface.
•
Interface : sélectionnez une interface (, port ou LAG) pour l'entrée.
•
État : sélectionnez le mode de traitement de l'entrée. Les options sont les suivantes :
-
Permanent : le système ne supprime jamais cette adresse MAC. Si l'adresse MAC
statique est enregistrée dans la Configuration de démarrage, elle est conservée après
redémarrage.
-
Suppr. à la réinitialisation : l'adresse MAC statique est supprimée lorsque le
périphérique est réinitialisé.
-
Supprimer à l'expiration : l'adresse MAC est supprimée à expiration du délai.
-
Sécurisé : l'adresse MAC est sécurisée lorsque l'interface est en mode verrouillé
classique (voir Sécurité des ports).
ÉTAPE 4 Cliquez sur Appliquer. Une nouvelle entrée apparaît dans la table.
280
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
14
Gestion des tables d'adresses MAC
Adresses dynamiques
Adresses dynamiques
La table des adresses dynamiques (table de pontage) contient les adresses MAC obtenues en
surveillant les adresses source des trames entrant dans le périphérique.
Pour éviter le débordement de cette table et garder de l'espace pour de nouvelles
adresses MAC, une adresse est supprimée si elle ne reçoit aucun trafic pendant une période
appelée délai d'expiration.
Paramètres des adresses dynamiques
Pour configurer le délai d'expiration des adresses dynamiques :
ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Paramètres des adresses dynamiques.
ÉTAPE 2 Saisissez le Délai d'expiration. Le délai d'expiration est une valeur comprise entre la valeur
configurée par l'utilisateur et deux fois cette valeur moins 1. Par exemple, si vous avez saisi
une valeur de 300 secondes, le délai d'expiration est compris entre 300 et 599 secondes.
ÉTAPE 3 Cliquez sur Appliquer. Le délai d'expiration est mis à jour.
Adresses dynamiques
Pour interroger la table des adresses dynamiques :
ÉTAPE 1 Cliquez sur Tables d'adresses MAC > Adresses dynamiques.
ÉTAPE 2 Dans le bloc Filtre, vous pouvez saisir les critères d'interrogation suivants :
•
ID VLAN : saisissez l'ID du VLAN pour lequel la table est interrogée.
•
Adresse MAC : saisissez l'adresse MAC pour laquelle la table est interrogée.
•
Interface : sélectionnez l'interface au sujet de laquelle la table est interrogée.
L'interrogation peut également rechercher des ports ou LAG spécifiques.
ÉTAPE 3 Cliquez sur Go. La Table des adresses MAC dynamiques est interrogée et les résultats
s'affichent.
ÉTAPE 4 Cliquez sur Effacer la table pour supprimer toutes les adresses MAC dynamiques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
281
15
Multidestination
Cette section décrit la fonction de transfert de multidiffusion et couvre les rubriques
suivantes :
•
Présentation du réacheminement multidestination
•
Propriétés
•
Adresse MAC de groupe
•
Adresse de groupe de multidestination IP
•
Configuration de la multidestination IPv4
•
Configuration de la multidestination IPv6
•
Groupe de multidestination IP de surveillance IGMP/MLD
•
Port de routeur multidestination
•
Tout transférer
•
Multidestination non enregistrée
Présentation du réacheminement multidestination
Le transfert de multidiffusion permet la transmission d'informations en mode 1-à-n. Les
applications de multidiffusion sont particulièrement utiles pour transmettre des informations à
plusieurs clients lorsque ces clients n'ont pas besoin de l'intégralité du contenu. Ceci est par
exemple le cas dans le cadre d'une application de TV par câble où les clients peuvent contacter
une chaîne au milieu d'une transmission et interrompre la connexion avant la fin.
Les données sont uniquement envoyées aux ports pertinents. Le fait de ne réacheminer les
données que vers les ports pertinents permet d'économiser de la bande passante et des
ressources d'hôte sur les liaisons.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
282
Multidestination
Présentation du réacheminement multidestination
15
Par défaut, toutes les trames de multidiffusion sont envoyées à tous les ports du VLAN. Il est
possible de transférer les données de façon sélective uniquement vers les ports concernés et de
filtrer (éliminer) le flux de multidiffusion sur les autres ports en activant l'état du filtrage
multidiffusion par ponts sur la page Propriétés.
Si le filtrage est activé, les trames de multidiffusion sont transférées vers un sous-ensemble des
ports sur le VLAN concerné, comme défini dans la base de données de transfert de
multidiffusion (MFDB, Multicast Forwarding Data Base). Le filtrage multidiffusion s'exerce
sur l'ensemble du trafic.
L'une des méthodes couramment utilisées de représentation des membres de multidiffusion est
la notation (S,G), où S représente la source (unique) qui envoie un flux de données de
multidiffusion et G représente l'adresse IPv4 ou IPv6 de groupe. Si un client Multicast peut
recevoir du trafic de multidiffusion à partir de n'importe quelle source d'un groupe de
multidiffusion donné, celui-ci est enregistré sous (*,G).
Vous pouvez configurer l'un des modes suivants de transfert des trames de multidiffusion :
•
Adresse MAC de groupe : basée sur l'adresse MAC de destination dans la
trame Ethernet.
REMARQUE Il est possible de mapper une ou plusieurs adresses IP de groupe de
multidiffusion à une seule adresse MAC de groupe. Le transfert basé sur une
adresse MAC de groupe peut provoquer le transfert d'un flux de multidiffusion IP
vers des ports qui ne possèdent aucun récepteur pour ce flux.
•
Adresse IP de groupe : basée sur l'adresse IP de destination du paquet IP (*,G).
•
Adresse du groupe IP spécifique source : basée à la fois sur l'adresse IP de
destination et l'adresse IP source du paquet IP (S,G).
(S,G) est pris en charge par IGMPv3 et MLDv2 alors qu'IGMPv1/2 et MLDv1 ne prennent en
charge que (*.G), qui inclut uniquement l'ID de groupe.
Le périphérique peut prendre en charge jusqu'à 256 adresses de groupe de multidiffusion
statiques et dynamiques.
Vous ne pouvez configurer qu'une seule option de filtrage par VLAN.
Configuration de multidiffusion typique
Alors que les routeurs de multidiffusion routent les paquets de multidiffusion d'un sousréseau IP à un autre, les commutateurs de couche 2 compatibles avec la multidiffusion
transfèrent les paquets de multidiffusion vers les nœuds enregistrés au sein d'un LAN ou d'un
VLAN.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
283
15
Multidestination
Présentation du réacheminement multidestination
La configuration type inclut un routeur qui transfère les flux de multidiffusion entre des
réseaux IP privés et/ou publics, un périphérique doté de fonctions de surveillance IGMP/MLD
et un client de multidiffusion qui souhaite recevoir un flux de multidiffusion. Dans cette
configuration, le routeur envoie périodiquement des requêtes IGMP/MLD.
Fonctionnement de la multidiffusion
Dans un service de multidiffusion Couche 2, un commutateur Couche 2 reçoit une seule trame,
adressée à une adresse de multidiffusion spécifique. Il crée des copies de la trame pour les
transmettre à chacun des ports concernés.
Lorsque la surveillance IGMP/MLD est activée sur le périphérique et que celui-ci reçoit une
trame du flux de multidiffusion, il la transfère à tous les ports enregistrés pour recevoir le flux
de multidiffusion à l'aide de messages d'adhésion IGMP/MLD.
Le système gère des listes de groupes de multidestination pour chaque VLAN, lesquelles
permettent de gérer les informations de multidestination que chaque port doit recevoir. Les
groupes de multidiffusion et les ports destinataires associés peuvent être configurés de manière
statique ou appris de manière dynamique via la surveillance des protocoles IGMP ou MLD.
Enregistrement multidestination (surveillance IGMP/MLD)
L'enregistrement de multidiffusion est le processus qui consiste à écouter les protocoles
d'enregistrement multidestination et à y répondre. Les protocoles disponibles sont IGMP pour
IPv4 et MLD pour IPv6.
Lorsque la surveillance IGMP/MLD est activée sur un périphérique d'un VLAN, ce dernier
analyse les paquets IGMP/MLD que le périphérique reçoit du VLAN et de tous les routeurs
multidestination du réseau.
Lorsqu'un périphérique apprend qu'un hôte demande à recevoir un flux de multidiffusion à
l'aide de messages IGMP/MLD, éventuellement à partir d'une source spécifique, ce
périphérique ajoute cet hôte à sa base MFDB.
Les versions suivantes sont prises en charge :
REMARQUE
284
•
IGMP v1/v2/ v3
•
MLD v1/v2
Le périphérique ne prend en charge la surveillance IGMP/MLD que sur les VLAN statiques. Il
ne prend pas en charge la surveillance IGMP/MLD sur les VLAN dynamiques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Présentation du réacheminement multidestination
15
Lorsque vous activez la surveillance IGMP/MLD, globalement ou sur un VLAN, tous les
paquets IGMP/MLD sont transmis au processeur. Le processeur analyse les paquets entrants et
détermine ce qui suit :
•
les ports qui demandent à rejoindre tel ou tel groupe de multidiffusion sur un VLAN
spécifique ;
•
les ports connectés aux routeurs de multidiffusion (Mrouters) qui génèrent des
requêtes IGMP/MLD ;
•
les ports qui reçoivent les protocoles de requête PIM, DVMRP ou IGMP/MLD.
Ces VLAN sont affichés sur la page Groupe de multidestination IP de surveillance IGMP/
MLD.
Les ports demandant à rejoindre un groupe de multidiffusion spécifique envoient un
rapport IGMP/MLD qui spécifie le ou les groupes que l'hôte concerné souhaite rejoindre. Cela
provoque la création d'une entrée de transfert dans la base de données de transfert de
multidiffusion.
Table de surveillance IGMP
L'émetteur de requêtes de surveillance IGMP sert à prendre en charge un domaine de
multidiffusion de couche 2 de commutateurs de surveillance, en l'absence d'un routeur de
multidiffusion. Par exemple, lorsqu'un serveur local fournit un contenu multidiffusion et que le
routeur (s'il en existe un) de ce réseau ne prend pas en charge la multidiffusion.
Vous pouvez configurer le périphérique en tant qu'émetteur de requêtes IGMP de secours ou
l'utiliser comme un émetteur de requêtes IGMP lorsqu'il n'existe aucun émetteur de
requêtes IGMP standard. Le périphérique ne dispose pas de toutes les fonctions d'un émetteur
de requêtes IGMP.
Si vous configurez le périphérique en tant qu'émetteur de requêtes IGMP, il démarre s'il
s'écoule 60 secondes sans qu'aucun trafic (requêtes) IGMP ne soit détecté depuis un routeur de
multidiffusion. En présence d'autres émetteurs de requêtes IGMP, le périphérique peut cesser
d'envoyer des requêtes (ou non), ceci en fonction des résultats du processus de sélection de
l'émetteur de requêtes standard.
La vitesse de fonctionnement de l'émetteur de requêtes IGMP/MLD doit s'aligner sur celle des
commutateurs ayant la surveillance IGMP/MLD activée. Les requêtes doivent être envoyées à
un rythme qui corresponde à la durée de vie des entrées dans la table de traçage. Si les requêtes
sont envoyées à un rythme inférieur à la durée de vie, l'abonné ne peut pas recevoir les paquets
de multidiffusion. Ceci s'effectue sur la page Groupe de multidestination IP de surveillance
IGMP/MLD.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
285
15
Multidestination
Présentation du réacheminement multidestination
Si le mécanisme de choix de l'émetteur de requêtes IGMP/MLD est désactivé, l'émetteur de
requêtes de surveillance IGMP/MLD retarde l'envoi des messages de requête générale pendant
60 secondes après son activation. S'il n'y a aucun autre demandeur, il commence à envoyer les
messages de requête générale. Il arrête d'envoyer les messages de requête générale s'il détecte
un autre demandeur.
L'émetteur de requêtes de surveillance IGMP/MLD reprend l'envoi des messages de requête
générale s'il détecte un autre demandeur pendant l'intervalle suivant :
Intervalle passif de requête = Robustesse * Intervalle de requête + 0,5 * Intervalle de réponse
aux requêtes.
REMARQUE
Il est recommandé de désactiver le mécanisme de choix de l'émetteur de requêtes IGMP/MLD
s'il y a un routeur de multidiffusion IPM sur le réseau VLAN.
Propriétés des adresses multidestination
Les adresses de multidiffusion possèdent les propriétés suivantes :
286
•
Chaque adresse de multidiffusion IPv4 se trouve dans la plage d'adresses 224.0.0.0 à
239.255.255.255.
•
L'adresse de multidiffusion IPv6 est FF00:/8.
•
Pour mapper une adresse IP de groupe de multidiffusion à une adresse de
multidiffusion de couche 2 :
-
Pour IPv4, le mappage s'effectue en prenant les 23 bits de poids faible de
l'adresse IPv4 et en les ajoutant au préfixe 01:00:5e. Normalement, les 9 bits de
poids fort de l'adresse IP sont ignorés et toutes les adresses IP qui diffèrent
uniquement par ces bits de poids fort sont mappées à la même adresse de couche 2
puisque les 23 bits de poids faible sont identiques. Par exemple, 234.129.2.3 est
mappé à l'adresse de groupe de multidestination MAC 01:00:5e:01:02:03. Il est
possible de mapper jusqu'à 32 adresses de groupe de multidestination IP à la même
adresse de couche 2.
-
Pour IPv6, le mappage s'effectue en prenant les 32 bits de poids faible de
l'adresse multidestination et en y ajoutant le préfixe 33:33. Par exemple, l'adresse
multidestination IPv6 FF00:1122:3344 est mappée à l'adresse multidestination de
couche 2 33:33:11:22:33:44.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Présentation du réacheminement multidestination
15
Proxy IGMP/MLD
Le Proxy IGMP/MLD est un protocole simple de multidiffusion IP.
L'utilisation du Proxy IGMP/MLD pour répliquer le trafic de multidiffusion sur des
périphériques, tels que « edge box », peut grandement simplifier la conception et la mise en
œuvre de ces périphériques. Le fait de ne pas prendre en charge des protocoles de routage de
multidiffusion plus compliqués, tels que la multidiffusion indépendante du protocole (PIM) ou
le protocole de routage multidiffusion distance-vecteur (DVMRP), réduit non seulement le
coût des périphériques, mais aussi les frais de fonctionnement. Un autre avantage est que cela
rend les périphériques proxy indépendants du protocole de routage de multidiffusion utilisé
par les routeurs de base du réseau. Par conséquent, les périphériques proxy sont facilement
déployables dans un réseau de multidiffusion.
Arborescence Proxy IGMP/MLD
Le Proxy IGMP/MLD fonctionne dans une topologie arborescente simple dans laquelle il n'est
pas nécessaire d'exécuter un protocole de routage de multidiffusion robuste (par exemple,
PIM). Il suffit d'utiliser un protocole simple de routage IPM basé sur l'apprentissage des
informations concernant l'appartenance à un groupe ou l'appartenance à un groupe proxy et de
transférer les paquets de multidiffusion en fonction de ces informations.
L'arborescence doit être configurée manuellement en désignant les interfaces amont et aval sur
chaque périphérique proxy. En outre, le système d'adressage IP appliqué à la topologie
arborescente proxy doit être configuré de manière à assurer qu'un périphérique proxy peut
gagner l'élection du demandeur IGMP/MLD pour être en mesure de transférer le trafic de
multidiffusion. Il ne doit pas y avoir d'autres routeurs de multidiffusion dans l'arborescence
hormis les périphériques proxy, et la racine de l'arborescence doit être connectée à une
infrastructure de multidiffusion plus large.
Un périphérique proxy effectuant le transfert basé sur IGMP/MLD a une seule interface amont
et une ou plusieurs interfaces aval. Ces désignations sont configurées de façon explicite ; il n'y
a pas de protocole pour déterminer le type de chaque interface. Un périphérique proxy effectue
la partie routeur d'IGMP/MLD sur ses interfaces aval, et la partie hôte d'IGMP/MLD sur son
interface amont.
Une seule arborescence est prise en charge.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
287
15
Multidestination
Propriétés
Règles de transfert et émetteur de requêtes
Les règles suivantes sont appliquées :
•
Un paquet de multidestination reçu sur l'interface amont est transmis :
-
sur l'interface amont ;
-
sur toutes les interfaces aval demandant le paquet, uniquement si le périphérique
proxy est l'émetteur de requêtes sur les interfaces.
•
Un périphérique proxy supprime les paquets de multidiffusion reçus sur une interface
aval s'il n'est pas le demandeur sur l'interface.
•
Un paquet de multidiffusion reçu sur une interface aval pour laquelle le périphérique
proxy est le demandeur est transmis sur l'interface amont et sur toutes les interfaces
aval demandant le paquet uniquement si le périphérique proxy est le demandeur sur les
interfaces.
Protection d'interface aval
Par défaut, le trafic de multidiffusion IP arrivant sur une interface de l'arborescence IGMP/
MLD est transmis. Vous pouvez désactiver le transfert du trafic de multidiffusion IP arrivant
sur les interfaces aval. Cela peut être fait globalement ou sur une interface aval donnée.
Propriétés
Pour activer le filtrage multidiffusion et sélectionner la méthode de transfert :
ÉTAPE 1 Cliquez sur Multidestination > Propriétés.
ÉTAPE 2 Saisissez les paramètres.
288
•
État du filtrage multidiffusion par ponts : sélectionnez cette option pour activer le
filtrage.
•
ID VLAN : sélectionnez l'ID du VLAN dont définir la méthode de transfert.
•
Méthode de transfert pour IPv6 : choisissez l'une des méthodes de transfert suivantes
pour les adresses IPv6 :
-
Adresse de groupe MAC : transfère les paquets en fonction de l'adresse MAC du
groupe de multidestination.
-
Adresse de groupe IP : transfère les paquets en fonction de l'adresse IPv6 du
groupe de multidestination.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
15
Multidestination
Adresse MAC de groupe
-
Adresse du groupe IP spécifique source : transfère les paquets en fonction de
l'adresse IPv6 source et de l'adresse IPv6 du groupe de multidestination. Si une
adresse IPv6 est configurée sur le VLAN, la méthode de réacheminement
opérationnelle pour la multidestination IPv6 sera Adresse du groupe IP.
REMARQUE Pour les modes Adresse de groupe IP IPv6 et Adresse du groupe IP
spécifique source, le périphérique recherche uniquement une correspondance pour
4 octets avec l'adresse multidestination de destination et pour l'adresse source. Dans le
cas de l'adresse multidestination de destination, la correspondance est établie avec les
4 derniers octets de l'ID du groupe. Dans le cas de l'adresse source, la correspondance
est établie avec les 3 derniers octets + le cinquième octet en partant de la fin.
•
Méthode de transfert pour IPv4 : choisissez l'une des méthodes de transfert suivantes
pour les adresses IPv4 :
-
Adresse de groupe MAC : transfère les paquets en fonction de l'adresse MAC du
groupe de multidestination.
-
Adresse de groupe IP : transfère les paquets en fonction de l'adresse IPv4 du
groupe de multidestination.
-
Adresse du groupe IP spécifique source : transfère les paquets en fonction de
l'adresse IPv4 source et de l'adresse IPv4 du groupe de multidestination. Si une
adresse IPv4 est configurée sur le VLAN, la méthode de réacheminement
opérationnelle pour la multidestination IPv4 sera Adresse du groupe IP.
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Adresse MAC de groupe
La page Adresse de groupe MAC offre les fonctions suivantes :
•
Interrogation et affichage d'informations tirées de la base de données de transfert de
multidiffusion (MFDB, Multicast Forwarding Data Base) concernant un ID de VLAN
spécifique ou un groupe spécifique d'adresses MAC. Ces données sont acquises de
manière dynamique par traçage IGMP/MLD Snooping ou de manière statique par
saisie manuelle.
•
Ajout ou suppression d'entrées statiques dans la base MFDB, qui fournissent les
informations de transfert statiques basées sur les adresses MAC de destination.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
289
15
Multidestination
Adresse MAC de groupe
•
Affichage de la liste de tous les ports/LAG membres de chaque ID de VLAN ou
adresse MAC de groupe, et indication précisant si le trafic doit ou non être transféré
vers cette destination.
Pour définir et afficher des groupes de multidiffusion MAC :
ÉTAPE 1 Cliquez sur Multidestination > Adresse MAC de groupe.
ÉTAPE 2 Saisissez les paramètres de filtre.
•
ID VLAN est égal à : saisissez l'ID de VLAN du groupe à afficher.
•
Adresse MAC de groupe égale à : définissez l'adresse MAC du groupe de
multidiffusion à afficher. Si aucune adresse MAC de groupe n'est indiquée, la page
contient toutes les adresses MAC de groupe du VLAN sélectionné.
ÉTAPE 3 Cliquez sur OK. Les adresses MAC de groupe de multidiffusion sont affichées dans le bloc
inférieur.
Les entrées créées sur cette page et sur la page Adresse de groupe de multidestination IP
s'affichent. Pour celles qui ont été créées sur la page Adresse de groupe de multidestination IP,
les adresses IP sont converties en adresses MAC.
ÉTAPE 4 Cliquez sur Ajouter pour ajouter une adresse MAC de groupe statique.
ÉTAPE 5 Saisissez les paramètres.
•
ID VLAN : définit l'ID de VLAN du nouveau groupe de multidiffusion.
•
Adresse MAC de groupe : définit l'adresse MAC du nouveau groupe de
multidiffusion.
ÉTAPE 6 Cliquez sur Appliquer et l'adresse MAC du groupe de multidiffusion est enregistrée dans le
fichier de configuration d'exécution.
Pour configurer et afficher l'enregistrement des interfaces au sein du groupe, sélectionnez une
adresse et cliquez sur Détails.
La page affiche les éléments suivants :
•
ID VLAN : ID de VLAN du groupe de multidiffusion.
•
Adresse MAC de groupe : adresse MAC du groupe.
ÉTAPE 7 Sélectionnez le port ou le LAG dans le menu Filtre : Type d'interface.
ÉTAPE 8 Cliquez sur OK pour afficher les membres (ports ou LAG) du VLAN.
290
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Adresse de groupe de multidestination IP
15
ÉTAPE 9 Sélectionnez la façon dont chaque interface est associée au groupe de multidiffusion :
•
Statique : rattache l'interface au groupe de multidiffusion en tant que membre statique.
•
Dynamique : indique que l'interface a été ajoutée au groupe de multidiffusion via la
surveillance IGMP/MLD.
•
Interdit : spécifie que ce port n'est pas autorisé à rejoindre ce groupe de multidiffusion
sur ce VLAN.
•
Aucun : spécifie que le port n'est actuellement pas membre de ce groupe de
multidiffusion sur ce VLAN.
ÉTAPE 10 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
REMARQUE Les entrées créées sur la page Adresse de groupe de multidestination IP
ne peuvent pas être supprimées sur cette page (même si elles sont sélectionnées).
Adresse de groupe de multidestination IP
La page Adresse IP de groupe de multidiffusion est similaire à la page Adresse de
groupe MAC, à la seule différence que les groupes de multidiffusion y sont identifiés par leurs
adresses IP.
La page Adresse IP de groupe de multidiffusion vous permet d'interroger et d'ajouter des
groupes de multidiffusion IP.
Pour définir et afficher des groupes de multidiffusion IP :
ÉTAPE 1 Cliquez sur Multidestination >Adresse de groupe de multidestination IP.
La page contient toutes les adresses IP de multidiffusion de groupe apprises via le traçage
(Snooping).
ÉTAPE 2 Saisissez les paramètres nécessaires pour le filtrage.
•
ID VLAN est égal à : définissez l'ID de VLAN du groupe à afficher.
•
Version IP est égale à : sélectionnez IPv6 ou IPv4.
•
Adresse IP de groupe de multidiffusion égale à : définissez l'adresse IP du groupe de
multidiffusion à afficher. Cela s'applique uniquement lorsque le mode de transfert
est (S,G).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
291
15
Multidestination
Adresse de groupe de multidestination IP
•
Adresse IP source est égale à : définissez l'adresse IP source du périphérique émetteur.
Si le mode est (S,G), saisissez la valeur S (indiquant l'expéditeur). Combinée à
l'adresse IP de groupe, cette valeur définit l'ID de multidiffusion du groupe (S,G) à
afficher. Si le mode est (*.G), saisissez un astérisque (*) pour indiquer que le groupe de
multidiffusion n'est défini que par sa destination.
ÉTAPE 3 Cliquez sur Go. Les résultats s'affichent dans le bloc inférieur.
ÉTAPE 4 Cliquez sur Ajouter pour ajouter une adresse de groupe de multidestination IP statique.
ÉTAPE 5 Saisissez les paramètres.
•
ID VLAN : définit l'ID de VLAN du groupe à ajouter.
•
Version IP : sélectionnez le type d'adresse IP.
•
Adresse IP de groupe de multidiffusion : définit l'adresse IP du nouveau groupe de
multidiffusion.
•
Propre à la source : indique que l'entrée contient une source spécifique et ajoute
l'adresse correspondante dans le champ Adresse IP source. Dans le cas contraire,
l'entrée est ajoutée sous la forme (*,G), c'est-à-dire une adresse IP de groupe associée à
toutes les sources IP.
•
Adresse IP source : définit l'adresse source à inclure.
ÉTAPE 6 Cliquez sur Appliquer. L'IP de multidiffusion du groupe est ajouté et le périphérique est mis à
jour.
ÉTAPE 7 Pour configurer et afficher l'enregistrement d'une adresse IP de groupe, sélectionnez une
adresse puis cliquez sur Détails.
Les ID de VLAN, Version IP, Adresse IP de groupe de multidiffusion et Adresse IP source
sélectionnés s'affichent en lecture seule en haut de la fenêtre. Vous pouvez sélectionner le type
de filtre :
•
Type d'interface est égal à : choisissez d'afficher les ports ou les LAG.
ÉTAPE 8 Sélectionnez le type d'association de chaque interface. Les options disponibles sont les
suivantes :
292
•
Statique : rattache l'interface au groupe de multidiffusion en tant que membre statique.
•
Dynamique : rattache l'interface au groupe de multidiffusion en tant que membre
dynamique.
•
Interdit : spécifie que ce port n'est pas autorisé à rejoindre ce groupe sur ce VLAN.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Configuration de la multidestination IPv4
•
15
Aucun : indique que le port n'est actuellement pas membre de ce groupe de
multidiffusion sur ce VLAN. Cette option est définie par défaut tant que l'option
Statique ou Interdit n'est pas sélectionnée.
ÉTAPE 9 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Configuration de la multidestination IPv4
Les pages suivantes décrivent la configuration de la multidiffusion IPv4 :
•
Surveillance IGMP
•
Paramètres de VLAN IGMP
Surveillance IGMP
Pour prendre en charge le transfert sélectif de multidiffusion IPv4, vous devez activer le
filtrage multidiffusion par ponts (sur la page Propriétés). Vous devez aussi activer la
surveillance IGMP globalement ainsi que pour chacun des VLAN concernés, sur la page
IGMP Snooping (Surveillance IGMP).
Pour activer le traçage IGMP Snooping et identifier le périphérique en tant qu'émetteur de
requêtes de traçage IGMP Snooping sur un VLAN :
ÉTAPE 1 Cliquez sur Multidestination > Configuration de la multidestination IPv4 > Surveillance
IGMP.
Lorsque la surveillance IGMP est activée globalement, le périphérique qui surveille le trafic
réseau peut détecter les hôtes qui ont demandé à recevoir le trafic de multidiffusion. Le
périphérique n'exécute la surveillance IGMP que si vous avez activé à la fois la surveillance
IGMP et le filtrage multidiffusion par ponts.
Le tableau de surveillance IGMP s'affiche. Les champs affichés sont décrits ci-dessous sur la
page Modifier. Les champs suivants sont par ailleurs affichés :
•
IGMP Snooping Status (État de la surveillance IGMP) : indique si la fonction de
surveillance IGMP a été activée (Administrative [Administratif]) et si elle est en cours
d'exécution sur le VLAN (Operational [Opérationnel]).
•
État du demandeur IGMP—Indique si le demandeur IGMP a été activé
(Administratif) et s'il s'exécute effectivement sur le VLAN (Operationnel).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
293
15
Multidestination
Configuration de la multidestination IPv4
Activez ou désactivez les fonctionnalités suivantes :
•
État de surveillance IGMP : sélectionnez cette option pour activer la surveillance
IGMP globalement sur toutes les interfaces.
•
État du demandeur IGMP : sélectionnez cette option pour activer la surveillance
IGMP globalement sur toutes les interfaces.
ÉTAPE 2 Pour configurer IGMP sur une interface, sélectionnez un VLAN statique et cliquez ensuite sur
Modifier. Renseignez les champs suivants :
294
•
État de surveillance IGMP : sélectionnez cette option pour activer la surveillance
IGMP sur le VLAN. Le périphérique surveille le trafic réseau pour déterminer les hôtes
qui ont demandé à recevoir du trafic de multidiffusion. Le périphérique n'exécute la
surveillance IGMP que si la surveillance IGMP et le filtrage multidiffusion par ponts
sont tous deux activés.
•
Apprentissage automatique des ports MRouter : sélectionnez cette option pour
activer l'apprentissage automatique du routeur de multidiffusion.
•
Sortie immédiate : sélectionnez cette option pour autoriser le commutateur à
supprimer une interface qui envoie un message de sortie de la table de transfert sans
envoyer au préalable à l'interface des requêtes générales basées sur MAC. Lorsqu'un
message de sortie de groupe IGMP est reçu de la part d'un hôte, le système supprime le
port hôte de l'entrée de la table. Après avoir transmis les requêtes IGMP en provenance
du routeur de multidiffusion, il supprime les entrées périodiquement s'il ne reçoit aucun
rapport d'appartenance IGMP de la part des clients de multidiffusion. Lorsqu'elle est
activée, cette fonction réduit le temps nécessaire au blocage du trafic IGMP inutile
envoyé à un port du périphérique.
•
Nombre de requêtes du dernier membre : nombre de requêtes propres au
groupe MLD envoyées avant que le périphérique considère qu'il n'existe pas d'autre
membre dans le groupe, dans la mesure où ce périphérique est le demandeur choisi.
-
Utiliser la robustesse des requêtes (x) : cette valeur est définie sur la page
Paramètres de VLAN MLD. Le nombre entre parenthèses correspond à la valeur
actuelle de la robustesse des consultations.
-
Défini par l'utilisateur : saisissez une valeur définie par l'utilisateur.
•
État de l'émetteur de requêtes IGMP : sélectionnez cette option pour activer cette
fonction. Cette fonction est requise s'il n'y a pas de routeur de multidiffusion.
•
IGMP Querier Election (Choix du demandeur IGMP) : indique si le choix du
demandeur IGMP est activé ou désactivé. Si le mécanisme de choix du demandeur
IGMP est activé, le demandeur de surveillance IGPM prend en charge le mécanisme
standard de choix du demandeur IGMP, spécifié dans la norme RFC3810.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Configuration de la multidestination IPv4
15
Si le mécanisme de choix du demandeur IGMP est désactivé, le demandeur de
surveillance IGPM retarde l'envoi des messages de requête générale pendant
60 secondes après son activation, et s'il n'y a pas d'autre demandeur, commence à
envoyer les messages de requête générale. Il arrête d'envoyer les messages de requête
générale s'il détecte un autre demandeur. Le demandeur de surveillance IGMP reprend
l'envoi des messages de requête générale s'il ne détecte aucun autre demandeur pendant
un intervalle passif de requête égal à : Robustesse * (Intervalle de requête) + 0,5 *
Intervalle de réponse de requête.
•
Version du demandeur IGMP : sélectionnez la version IGMP utilisée si le
périphérique devient le demandeur choisi. Sélectionnez IGMPv3 s'il existe des
commutateurs et/ou des routeurs multidestination dans le VLAN qui réalisent le
réacheminement de multidestination IP propre à la source. Sinon, sélectionnez
IGMPv2.
•
Adresse IP source du demandeur : sélectionnez l'interface source du périphérique à
utiliser dans les messages envoyés. Avec MLD, cette adresse est sélectionnée
automatiquement par le système.
REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source
de l'adresse IP définie dans l'interface sortante.
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
REMARQUE
Changements dans la configuration des temporisations de surveillance IGMP, tels que :
Robustesse des requêtes, Intervalle de requête, etc. ne prennent pas effet sur les temporisations
déjà créées.
Paramètres de VLAN IGMP
Pour configurer le protocole IGMP sur un VLAN spécifique :
ÉTAPE 1 Cliquez sur Multidestination > Configuration de la multidestination IPv4 > Paramètres
de VLAN IGMP.
Les champs suivants sont affichés pour chaque VLAN sur lequel IGMP est activé :
•
Robustesse des requêtes : entrez le nombre de pertes de paquets prévues sur une
liaison.
•
Intervalle de requête (s) : intervalle à appliquer entre deux requêtes générales si ce
périphérique est le demandeur choisi.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
295
15
Multidestination
Configuration de la multidestination IPv6
•
Intervalle de réponse max aux requêtes (s) : délai utilisé pour calculer le code de
réponse maximum inséré dans les requêtes générales périodiques.
•
Intervalle de requête du dernier membre (ms) : saisissez le délai maximal de réponse
à utiliser si le périphérique ne le reconnaît pas à partir des requêtes propres au groupe
envoyées par l'émetteur de requêtes choisi.
Les paquets de multidestination avec une valeur TTL inférieure au seuil ne sont pas
réacheminés sur l'interface.
La valeur par défaut de 0 signifie que tous les paquets de multidiffusion sont transférés
sur l'interface.
La valeur 256 signifie qu'aucun paquet de multidiffusion n'est transféré sur l'interface.
Configurez le seuil TTL uniquement sur les routeurs de bordure. Inversement, les
routeurs sur lesquels vous configurez une valeur de seuil TTL deviennent
automatiquement des routeurs de bordure.
ÉTAPE 2 Sélectionnez une interface et cliquez sur Edit. Renseignez les valeurs des champs décrits ci-
dessus.
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Configuration de la multidestination IPv6
Les pages suivantes décrivent la configuration de la multidiffusion IPv6 :
•
Surveillance MLD
•
Paramètres de VLAN MLD
Surveillance MLD
Pour prendre en charge le transfert sélectif de la multidiffusion IPv6, vous devez activer le
filtrage multidiffusion par ponts (sur la page Propriétés). Vous devez aussi activer la
surveillance MLD globalement ainsi que pour chacun des VLAN concernés, sur les pages
MLD Snooping (Surveillance MLD).
296
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Configuration de la multidestination IPv6
15
Pour activer la surveillance MLD et la configurer sur un VLAN :
ÉTAPE 1 Cliquez sur Multidestination > Configuration de la multidestination IPv6 > Surveillance
MLD.
Lorsque le traçage MLD Snooping est activé au niveau global, le périphérique qui surveille le
trafic réseau peut détecter les hôtes qui ont demandé à recevoir le trafic de multidiffusion. Le
périphérique exécute uniquement le traçage MLD Snooping si vous avez activé à la fois MLD
Snooping et le filtrage multidiffusion par ponts.
Le tableau de surveillance MLD s'affiche. Les champs affichés sont décrits ci-dessous sur la
page Edit (Modifier). Les champs suivants sont par ailleurs affichés :
•
MLD Snooping Status (État de la surveillance MLD) : indique si la fonction de
surveillance MLD a été activée (Administrative [Administratif]) et si elle est en cours
d'exécution sur le VLAN (Operational [Opérationnel]).
•
État du demandeur MLD—Indique si le demandeur IGMP a été activé
(Administratif) et s'il s'exécute effectivement sur le VLAN (Operationnel).
ÉTAPE 2 Activez ou désactivez les fonctionnalités suivantes :
•
État de surveillance MLD : sélectionnez cette option pour activer la surveillance MLD
globalement sur toutes les interfaces.
•
État du demandeur MLD : sélectionnez cette option pour activer le demandeur MLD
globalement sur toutes les interfaces.
ÉTAPE 3 Pour configurer le proxy MLD sur une interface, sélectionnez un VLAN statique et cliquez
ensuite sur Modifier. Renseignez les champs suivants :
•
État de surveillance MLD : sélectionnez cette option pour activer la surveillance MLD
sur le VLAN. Le périphérique surveille le trafic réseau pour déterminer les hôtes qui ont
demandé à recevoir du trafic de multidiffusion. Le périphérique n'exécute la
surveillance MLD que si la surveillance MLD et le filtrage multidiffusion par ponts sont
tous deux activés.
•
Apprentissage automatique des ports MRouter : sélectionnez cette option pour
activer l'apprentissage automatique du routeur de multidiffusion.
•
Sortie immédiate : sélectionnez cette option pour autoriser le commutateur à
supprimer une interface qui envoie un message de sortie de la table de transfert sans
envoyer au préalable à l'interface des requêtes générales basées sur MAC. Lorsqu'un
message de sortie de groupe MLD est reçu de la part d'un hôte, le système supprime le
port hôte de l'entrée de la table. Après avoir transmis les requêtes MLD en provenance
du routeur de multidiffusion, il supprime les entrées périodiquement s'il ne reçoit aucun
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
297
15
Multidestination
Configuration de la multidestination IPv6
rapport d'appartenance MLD de la part des clients de multidiffusion. Lorsqu'elle est
activée, cette fonction réduit le temps nécessaire au blocage du trafic MLD inutile
envoyé à un port du périphérique.
•
Nombre de requêtes du dernier membre : nombre de requêtes propres au
groupe MLD envoyées avant que le périphérique considère qu'il n'existe pas d'autre
membre dans le groupe, dans la mesure où ce périphérique est le demandeur choisi.
-
Utiliser la robustesse des requêtes (x) : cette valeur est définie sur la page
Paramètres de VLAN MLD. Le nombre entre parenthèses correspond à la valeur
actuelle de la robustesse des consultations.
-
Défini par l'utilisateur : saisissez une valeur définie par l'utilisateur.
•
État de l'émetteur de requêtes MLD : sélectionnez cette option pour activer cette
fonction. Cette fonction est requise s'il n'y a pas de routeur de multidiffusion.
•
Choix du demandeur MLD : indique si le choix du demandeur MLD est activé ou
désactivé. Si le mécanisme de choix du demandeur MLD est activé, le demandeur de
surveillance MLD prend en charge le mécanisme standard de choix du demandeur
MLD, spécifié dans la norme RFC3810.
Si le mécanisme de choix du demandeur MLD est désactivé, le demandeur de
surveillance MLD retarde l'envoi des messages de requête générale pendant
60 secondes après son activation, et s'il n'y a pas d'autre demandeur, commence à
envoyer les messages de requête générale. Il arrête d'envoyer les messages de requête
générale s'il détecte un autre demandeur. Le demandeur de surveillance MLD reprend
l'envoi des messages de requête générale s'il ne détecte aucun autre demandeur pendant
un intervalle passif de requête égal à : Robustesse * (Intervalle de requête) + 0,5 *
Intervalle de réponse de requête.
•
Version du demandeur MLD : sélectionnez la version MLD utilisée si le périphérique
devient le demandeur choisi. Sélectionnez MLDv2 s'il existe des commutateurs et/ou
des routeurs multidestination dans le VLAN qui réalisent le réacheminement de
multidestination IP propre à la source. Sinon, sélectionnez MLDv1.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
REMARQUE
298
Changements dans la configuration des temporisations de surveillance MLD, tels que :
Robustesse des requêtes, Intervalle de requête, etc. ne prennent pas effet sur les temporisations
déjà créées.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Multidestination
Groupe de multidestination IP de surveillance IGMP/MLD
15
Paramètres de VLAN MLD
Pour configurer le protocole MLD sur un VLAN spécifique :
ÉTAPE 1 Cliquez sur Multidestination > Configuration de la multidestination IPv6 > Paramètres
de VLAN MLD.
Les champs suivants sont affichés pour chaque VLAN sur lequel MLD est activé :
•
Nom de l'interface : VLAN pour lequel afficher les informations MLD.
•
Robustesse des requêtes : entrez le nombre de pertes de paquets prévues sur une
liaison.
•
Intervalle de requête (s) : intervalle à appliquer entre deux requêtes générales si ce
périphérique est le demandeur choisi.
•
Intervalle de réponse max aux requêtes (s) : délai utilisé pour calculer le code de
réponse maximum inséré dans les requêtes générales périodiques.
•
Intervalle de requête du dernier membre (ms) : saisissez le délai maximal de réponse
à utiliser si le périphérique ne le reconnaît pas à partir des requêtes propres au groupe
envoyées par l'émetteur de requêtes choisi.
ÉTAPE 2 Pour configurer un VLAN, sélectionnez-le et cliquez sur Modifier. Renseignez les champs
décrits ci-dessus.
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Groupe de multidestination IP de surveillance IGMP/MLD
La page Groupe de multidiffusion IP de surveillance IGMP/MLD affiche les adresses de
groupes IPv4 et IPv6 apprises à partir des messages IGMP/MLD.
Il peut y avoir une différence entre les informations affichées sur cette page et celles affichées
sur la page Adresse de groupe MAC. Voici un exemple : supposons que le système effectue un
filtrage selon les groupes basés sur MAC et un port demandé pour rejoindre les groupes de
multidestination 224.1.1.1 et 225.1.1.1, et que tous deux soient mappés à la même
adresse MAC multidestination 01:00:5e:01:01:01. Dans ce cas, la page Multidestination MAC
contient une seule entrée, tandis que cette page en comporte deux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
299
15
Multidestination
Port de routeur multidestination
Pour émettre une requête de recherche d'un groupe de multidiffusion IP :
ÉTAPE 1 Cliquez sur Multidestination > Groupe de multidestination IP de surveillance IGMP/
MLD.
ÉTAPE 2 Définissez le type de groupe de traçage (Snooping) à rechercher : IGMP ou MLD.
ÉTAPE 3 Saisissez tout ou partie des critères de filtrage des requêtes suivants :
•
Adresse de groupe est égale à : définit l'adresse MAC ou IP du groupe de
multidiffusion à interroger.
•
Adresse source est égale à : définit l'adresse de l'expéditeur à interroger.
•
ID VLAN est égal à : définit l'ID de VLAN à interroger.
ÉTAPE 4 Cliquez sur Go. Les champs suivants s'affichent pour chaque groupe de multidiffusion :
•
VLAN : ID du VLAN.
•
Adresse de groupe : adresse MAC ou IP du groupe de multidiffusion.
•
Adresse source : adresse de l'expéditeur pour tous les ports du groupe spécifié.
•
Ports inclus : liste des ports de destination pour le flux de multidiffusion.
•
Ports exclus : liste des ports non membres du groupe.
•
Mode de compatibilité : version d'enregistrement IGMP/MLD la plus ancienne que le
périphérique reçoit des hôtes à l'adresse IP du groupe.
Port de routeur multidestination
Un port de routeur de multidiffusion (Mrouter) est un port qui se connecte à un routeur de
multidiffusion. Le périphérique inclut le ou les numéros de ports de routeur de multidiffusion
lorsqu'il transfère les flux de multidiffusion et les messages d'enregistrement IGMP/MLD.
Cela est indispensable pour que les routeurs de multidiffusion puissent, à leur tour, transférer
les flux de multidiffusion et propager les messages d'enregistrement vers d'autres sousréseaux.
300
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
15
Multidestination
Port de routeur multidestination
Pour configurer de manière statique les ports qui sont connectés au routeur de multidiffusion,
ou afficher ceux dynamiquement détectés :
ÉTAPE 1 Cliquez sur Multidestination > Port de routeur multidestination.
ÉTAPE 2 Saisissez tout ou partie des critères de filtrage des requêtes suivants :
•
ID VLAN est égal à : sélectionnez l'ID de VLAN des ports du routeur décrits.
•
Version IP est égale à : sélectionnez la version IP prise en charge par le routeur de
multidiffusion.
•
Type d'interface est égal à : choisissez d'afficher les ports ou les LAG.
ÉTAPE 3 Cliquez sur Go. Les interfaces répondant aux critères de requête s'affichent.
ÉTAPE 4 Sélectionnez le type d'association de chaque port ou LAG. Les options disponibles sont les
suivantes :
•
Statique : le port est configuré de manière statique en tant que port de routeur de
multidiffusion.
•
Dynamique : (affichage uniquement) le port est configuré de manière dynamique en
tant que port de routeur de multidiffusion par une requête MLD/IGMP. Pour activer
l'apprentissage dynamique des ports de routeurs de multidiffusion, accédez à la page
Surveillance IGMP ou à la page Surveillance MLD.
•
Interdit : ce port ne doit pas être configuré en tant que port de routeur de multidiffusion,
même s'il reçoit des requêtes IGMP ou MLD. Si l'option Interdit est activée sur un port,
l'apprentissage des ports MRouter n'a pas lieu sur ce port (ce qui signifie que l'option
Apprentissage automatique des ports MRouter n'est pas activée sur ce port).
•
Aucun : le port n'est actuellement pas un port de routeur de multidiffusion.
ÉTAPE 5 Cliquez sur Appliquer pour mettre à jour le périphérique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
301
15
Multidestination
Tout transférer
Tout transférer
Lorsque le filtrage de multidiffusion du pont est activé, les paquets de multidiffusion sur les
groupes de multidiffusion enregistrés sont transférés aux ports basés sur la surveillance IGMP
et la surveillance MLD. Si le filtrage de multidiffusion du pont est désactivé, tous les paquets
de multidiffusion inondent le VLAN correspondant.
La page Forward All (Tout transférer) configure les ports et/ou les LAG qui doivent recevoir
des flux de multidiffusion en provenance d'un VLAN spécifique. Cette fonction exige que
vous activiez le filtrage multidiffusion par ponts sur la page Propriétés des adresses
multidestination. Si cette fonction est désactivée, tout le trafic de multidiffusion est envoyé
aux ports du périphérique.
Vous pouvez configurer (manuellement) un port en mode Tout transférer de manière statique si
les périphériques qui se connectent à ce port ne prennent pas en charge IGMP et/ou MLD.
Les paquets de multidiffusion, à l'exception des messages IGMP et MLD, sont toujours
transférés aux ports définis sur Forward All (Tout transférer). Cette configuration concerne
uniquement les ports membres du VLAN sélectionné.
Pour définir la multidiffusion Tout transférer :
ÉTAPE 1 Cliquez sur Multidestination > Tout transférer.
ÉTAPE 2 Définissez les éléments suivants :
•
ID VLAN est égal à : ID du VLAN dont afficher les ports/LAG.
•
Type d'interface est égal à : choisissez d'afficher les ports ou les LAG.
ÉTAPE 3 Cliquez sur Go. L'état de tous les ports/LAG est affiché.
ÉTAPE 4 Sélectionnez le port/LAG à définir en mode Tout transférer à l'aide des méthodes suivantes :
•
Statique : le port reçoit tous les flux de multidiffusion.
•
Interdit : le port ne peut pas recevoir de flux de multidiffusion, même si la
surveillance IGMP/MLD l'a désigné pour rejoindre un groupe de multidiffusion.
•
Aucun : le port n'est actuellement pas un port en mode Tout transférer.
ÉTAPE 5 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
302
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
15
Multidestination
Multidestination non enregistrée
Multidestination non enregistrée
Cette fonction permet de garantir que le client reçoit uniquement les groupes de multidiffusion
demandés (enregistrés) et non d'autres groupes éventuellement transmis sur le réseau (non
enregistrés).
En général, les trames de multidiffusion non enregistrées sont transférées vers tous les ports du
VLAN.
Vous pouvez sélectionner un port pour qu'il reçoive ou refuse (filtre) les flux de multidiffusion
non enregistrés. Cette configuration est valide pour tout VLAN dont le port est (ou sera)
membre.
Pour définir des paramètres de multidiffusion non enregistrée :
ÉTAPE 1 Cliquez sur Multidestination > Multidestination non enregistrée.
ÉTAPE 2 Sélectionnez Type d'interface est égal à : pour afficher les ports ou les LAG.
ÉTAPE 3 Cliquez sur Go.
ÉTAPE 4 Définissez les éléments suivants :
•
Port/LAG : affiche l'ID du port ou du LAG.
•
Affiche l'état de transfert de l'interface sélectionnée. Ce champ peut prendre les valeurs
suivantes :
-
Transfert : active le transfert des trames de multidiffusion non enregistrée vers
l'interface sélectionnée.
-
Filtrage : active le filtrage (rejet) des trames de multidiffusion non enregistrée sur
l'interface sélectionnée.
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont enregistrés et le fichier de Configuration
d'exécution est mis à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
303
16
Configuration IP
Les adresses d'interface IP peuvent être configurées manuellement par l'utilisateur ou
automatiquement via un serveur DHCP. Cette section fournit des informations sur la définition
des adresses IP du périphérique, soit manuellement soit en faisant du périphérique un
client DHCP.
Cette section couvre les sujets suivants :
•
Présentation
•
Interface de bouclage
•
Interfaces et gestion IPv4
•
Interfaces et gestion IPv6
•
Système de noms de domaine
Présentation
Si les trames géantes sont désactivées, la MTU pour le trafic L3 est limitée à 1 518 octets.
Si les trames géantes sont activées, la MTU pour le trafic L3 est limitée à 9 000 octets.
Le paramètre d'interface IPv4 par défaut du VLAN par défaut est DHCPv4. Cela signifie que
le périphérique joue le rôle de client DHCPv4 et envoie une demande DHCPv4 lors de
l'amorçage.
Si le périphérique reçoit une réponse DHCPv4 du serveur DHCPv4 (contenant une
adresse IPv4), il envoie des paquets ARP (Address Resolution Protocol, protocole de
résolution d'adresse) pour vérifier que cette adresse IP est unique. Si la réponse ARP indique
que l'adresse IPv4 est déjà utilisée, le périphérique envoie le message DHCPDECLINE (Refus
DHCP) au serveur DHCP répondu. Il envoie ensuite un nouveau paquet DHCPDISCOVER
(Détection DHCP) pour relancer le processus.
Si le périphérique n'a reçu aucune réponse DHCPv4 au bout de 60 secondes, il continue à
lancer des requêtes DHCPDISCOVER et utilise l'adresse IPv4 : 192.168.1.254/24.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
304
16
Configuration IP
Présentation
Des collisions d'adresse IP se produisent lorsqu'une même adresse IP est utilisée par plusieurs
périphériques sur un même sous-réseau IP. Les collisions d'adresse nécessitent une action de la
part de l'administrateur sur le serveur DHCP et/ou sur les périphériques en conflit avec le
périphérique.
Les règles d'affectation d'adresse IP pour le VLAN par défaut sont les suivantes :
•
Si le périphérique est configuré avec une adresse IPv4 statique, il émet des
requêtes DHCPv4 jusqu'à ce qu'il reçoive une réponse d'un serveur DHCPv4.
•
Si l'adresse IP du périphérique change, ce dernier envoie des paquets ARP gratuits au
VLAN correspondant pour rechercher les éventuelles collisions d'adresse IP. Cette
règle s'applique également lorsque l'appareil revient à l'adresse IP par défaut.
•
Le voyant d'état du système s'allume en vert lorsque le serveur DHCP envoie une
nouvelle adresse IP unique. Si une adresse IP statique a été définie, la LED d'état du
système s'allume également en vert. Ce voyant clignote pendant que l'appareil acquiert
son adresse IP et qu'il utilise l'adresse IP par défaut définie en usine 192.168.1.254.
•
Les mêmes règles s'appliquent lorsqu'un client doit renouveler son bail avant la date
d'expiration, via un message DHCPREQUEST (Demande DHCP).
•
Avec les paramètres d'usine, si aucune adresse IP n'est disponible (qu'elle soit définie
de manière statique ou acquise via DHCP), le système utilise l'adresse IP par défaut.
Lorsque d'autres adresses IP deviennent disponibles, elles sont automatiquement
utilisées. L'adresse IP par défaut se trouve toujours sur le VLAN de gestion.
Le périphérique peut disposer de plusieurs adresses IP. Chaque adresse IP peut être affectée
aux ports, LAG ou VLAN spécifiés. Ces adresses IP sont configurées sur les pages Interfaces
IPv4 et Interfaces IPv6. Il est possible d'accéder au périphérique via toutes ses adresses IP à
partir des interfaces correspondantes.
Aucune route prédéfinie par défaut n'est fournie. Vous devez définir un acheminement par
défaut pour gérer le périphérique à distance. Toutes les passerelles par défaut affectées par
DHCP sont stockées en tant que routes par défaut. De plus, vous pouvez définir manuellement
des acheminements par défaut. Vous utilisez pour ce faire les pages Routes IPv4 statiques et
Routes IPv6.
Dans ce guide, toutes les adresses IP configurées sur le périphérique ou qui lui sont affectées
sont également appelées « adresses IP de gestion ».
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
305
16
Configuration IP
Interface de bouclage
Interface de bouclage
Présentation
L'interface de bouclage est une interface virtuelle dont l'état opérationnel est toujours actif. Si
l'adresse IP qui est configurée sur cette interface virtuelle est utilisée comme adresse locale
lors de la communication avec les applications IP distantes, la communication ne sera pas
interrompue même si la route vers l'application distante a été modifiée.
L'état opérationnel de l'interface de bouclage est toujours actif. Définissez une adresse IP
(IPv4 ou IPv6) sur celle-ci et utilisez cette adresse IP comme adresse IP locale pour la
communication IP avec les applications IP distantes. La communication est maintenue tant
que les applications distantes restent joignables à partir de n'importe quelle interface IP (sans
bouclage) active du commutateur. En revanche, si l'adresse IP d'une interface IP est utilisée
pour la communication avec des applications distantes, la communication est interrompue
lorsque l'interface IP est arrêtée.
Une interface de bouclage ne prend pas en charge le pontage ; elle ne peut pas être membre
d'un VLAN et aucun protocole Couche 2 ne peut être activé sur celui-ci.
L'identifiant de l'interface de liaison locale IPv6 est 1.
Configuration d'une interface de bouclage
Pour configurer une interface de bouclage IPv4, il suffit d'en ajouter une dans Interfaces IPv4.
Pour configurer une interface de bouclage IPv6, il suffit d'en ajouter une dans Adresses IPv6.
Interfaces et gestion IPv4
Cette section couvre les sujets suivants :
306
•
Interfaces IPv4
•
Routes IPv4 statiques
•
Table des adresses IPv4
•
ARP
•
Proxy ARP
•
Relais UDP/Assistance IP
•
Relais DHCP
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv4
Interfaces IPv4
Pour que vous puissiez gérer le périphérique à l'aide de l'utilitaire de configuration Web, vous
devez définir et connaître l'adresse de gestion IPv4 du périphérique. L'adresse IP de l'appareil
peut être configurée manuellement ou reçue automatiquement depuis un serveur DHCP.
La page Interface IPv4 permet de configurer les adresses IP pour la gestion des appareils.
Cette adresse IP peut être configurée sur une interface de port, de LAG, de VLAN, de
bouclage ou hors bande.
Vous pouvez configurer plusieurs adresses IP (interfaces) sur l'appareil. Il prend alors en
charge le routage de trafic entre ces différentes interfaces ainsi qu'avec les réseaux distants.
Par défaut et en règle générale, la fonctionnalité de routage est assurée par le matériel. Si les
ressources matérielles sont épuisées ou s'il y a un débordement de la table de routage dans le
matériel, le routage IP est effectué par le logiciel.
Le routage matériel permet un réacheminement du trafic de la couche 3 avec un débit filaire
tandis que le routage logiciel est limité par les capacités du processeur et les autres tâches
effectuées par le logiciel.
REMARQUE
Le logiciel de l'appareil utilise un seul ID de VLAN (VID) pour chaque adresse IP configurée
sur un port ou un LAG. Le périphérique utilise le premier VID non encore utilisé, à partir
de 4094.
Pour configurer des adresses IPv4 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Interface IPv4.
Renseignez les champs suivants :
•
Routage IPv4 : cochez la case Activer pour activer le routage IPv4 (activé par défaut).
•
Routage basé sur le matériel : indique si le routage basé sur le matériel est actif ou si
le routage basé sur le logiciel a été activé.
Si le routage basé sur le matériel n'est pas actif, cliquez sur le bouton Réactiver le routage
basé sur le matériel pour l'activer. L'activation du routage basé sur le matériel dépend des
ressources matérielles disponibles pour prendre en charge la configuration de routage en
cours.
ÉTAPE 2 Cliquez sur Appliquer. Le paramètre est enregistré dans le fichier Configuration d'exécution.
Les champs suivants sont affichés dans la table des interfaces IPv4 :
•
Interface : interface pour laquelle l'adresse IP est définie. Il peut également s'agir du
port OOB.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
307
16
Configuration IP
Interfaces et gestion IPv4
•
Type d'adresse IP : les options disponibles sont les suivantes :
-
DHCP : déterminée par le serveur DHCP.
-
Statique : saisie manuellement. Les interfaces statiques sont des interfaces non
DHCP qui ont été créées par l'utilisateur.
-
Default (Par défaut) : adresse par défaut existant sur le périphérique par défaut avant
toute configuration.
•
Adresse IP : adresse IP configurée pour l'interface.
•
Masque : masque d'adresse IP configuré.
•
État : résultats de la vérification d'unicité de l'adresse IP.
-
Tentative : aucun résultat final pour la vérification d'unicité de l'adresse IP.
-
Valide : contrôle de collision d'adresse IP terminé ; aucune collision détectée.
-
Dupliqué valide : contrôle de collision d'adresse IP terminé ; une adresse IP en
double a été détectée.
-
Dupliqué : doublon d'adresse IP détecté pour l'adresse IP par défaut.
-
Retardé : l'attribution de l'adresse IP est retardée de 60 secondes si le client DHCP
est activé au démarrage afin de lui donner le temps de découvrir l'adresse DHCP.
-
Non reçu : concerne l'adresse DHCP. Lorsqu'un client DCHP démarre un processus
de découverte, il attribue l'adresse IP factice 0.0.0.0 avant l'obtention de l'adresse
réelle. Cette adresse factice a l'état « Non reçu ».
ÉTAPE 3 Cliquez sur Ajouter.
ÉTAPE 4 Sélectionnez l'un des champs suivants :
•
Interface : sélectionnez le port, le LAG, le bouclage ou le VLAN comme interface
associée à cette configuration IP, puis choisissez une interface dans la liste.
•
Type d'adresse IP : sélectionnez l'une des options suivantes :
-
Adresse IP dynamique : recevez l'adresse IP depuis un serveur DHCP.
-
Adresse IP statique : saisissez l'adresse IP.
ÉTAPE 5 Si vous avez sélectionné Adresse IP statique, renseignez les champs suivants :
308
•
Adresse IP : saisissez l'adresse IP de l'interface.
•
Masque
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv4
-
Masque de réseau : masque IP pour cette adresse.
-
Longueur du préfixe : longueur du préfixe IPv4.
ÉTAPE 6 Cliquez sur Appliquer. Les paramètres d'adresse IPv4 sont modifiés et écrits dans le fichier de
Configuration d'exécution.
Routes IPv4 statiques
Cette page permet de configurer et d'afficher les routes IPv4 statiques sur le périphérique. Lors
du routage du trafic, le saut suivant est déterminé à l'aide de l'algorithme LPM (Longest Prefix
Match, correspondance avec le préfixe le plus long). L'adresse IPv4 d'une destination peut
correspondre à plusieurs routes dans la table des routes IPv4 statiques. Le périphérique utilise
l'acheminement qui correspond au masque de sous-réseau le plus élevé, c'est-à-dire au préfixe
le plus long. Si plusieurs passerelles par défaut sont définies avec la même valeur métrique,
c'est l'adresse IPv4 la plus basse parmi les passerelles par défaut configurées qui est utilisée.
Pour définir une route IP statique :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Routes IPv4 statiques.
La table de routes IPv4 statiques s'affiche. Les champs suivants sont affichés pour chaque
entrée :
REMARQUE
•
Préfixe IP de destination : préfixe de l'adresse IP de destination.
•
Longueur du préfixe : longueur du préfixe de route IP pour l'adresse IP de destination.
•
Type de route : indique s'il s'agit d'une route locale, de rejet ou distante.
•
Adresse IP du routeur de saut suivant : adresse IP ou alias IP du saut suivant sur la
route.
•
Paramètre : coût de ce saut (valeur inférieure préférable).
•
Interface sortante : interface sortante utilisée pour cette route.
La définition d'un ID d'élément suivi IP SLA pour une entrée de routage permet de vérifier la
connectivité à un réseau distant via un saut suivant spécifique. En l'absence de connectivité,
l'état de l'élément suivi sera Inactif et le routeur sera supprimé de la table de réacheminement
(pour plus d'informations, consultez la section Configuration IP : SLA).
ÉTAPE 2 Cliquez sur Ajouter.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
309
16
Configuration IP
Interfaces et gestion IPv4
ÉTAPE 3 Saisissez les valeurs appropriées dans les champs suivants :
•
Préfixe IP de destination : saisissez le préfixe d'adresse IP de la destination.
•
Masque : sélectionnez l'un des éléments suivants, puis renseignez la valeur requise :
•
•
-
Masque de réseau : préfixe de la route IP pour l'IP de destination sous forme de
masque (nombre de bits alloués à la route dans l'adresse réseau).
-
Longueur du préfixe : longueur du préfixe de la route IP pour l'IP de destination
sous forme d'adresse IP.
Type d'acheminement : sélectionnez le type d'acheminement approprié.
-
Rejeter : rejette l'acheminement indiqué et stoppe tout routage vers le réseau de
destination via toutes les passerelles. Cela garantit l'élimination de toutes les trames
qui arrivent avec l'IP de destination de cet acheminement. La sélection de cette
valeur désactive les commandes suivantes : Adresse IP de saut suivant, Métrique et
Suivi IP SLA.
-
Distant : indique que l'acheminement est un chemin distant.
Adresse IP du routeur de saut suivant : saisissez l'adresse ou l'alias IP du saut suivant
sur l'acheminement.
REMARQUE Vous ne pouvez pas configurer d'acheminement statique via un sous-
réseau IP à connexion directe dans lequel le périphérique obtient son adresse IP d'un
serveur DHCP.
•
Métrique : saisissez la distance administrative jusqu'au saut suivant. La plage est
comprise entre 1 et 255.
ÉTAPE 4 Cliquez sur Appliquer. La route IP statique est enregistrée dans le fichier de Configuration
d'exécution.
310
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv4
Table des adresses IPv4
Voici comment afficher la table de réacheminement IPv4 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Table de réacheminement
IPv4.
La table de réacheminement IPv4 s'affiche. Les champs suivants sont affichés pour chaque
entrée :
•
Préfixe IP de destination : préfixe de l'adresse IP de destination.
•
Longueur du préfixe : préfixe de route IP pour la longueur de l'adresse IP de
destination.
•
Type de route : indique s'il s'agit d'une route locale, de rejet ou distante.
•
Adresse IP du routeur de saut suivant : adresse IP du saut suivant.
•
Propriétaire de route : il peut s'agir de l'une des options suivantes :
-
Par défaut : la route a été configurée par la configuration système par défaut.
-
Statique : la route a été créée manuellement.
-
Dynamique : la route a été créée par un protocole de routage IP.
-
DHCP : la route a été reçue d'un serveur DHCP.
-
Directement connecté : l'acheminement est un sous-réseau auquel l'appareil est
connecté.
•
Paramètre : coût de ce saut (valeur inférieure préférable).
•
Distance administrative : distance administrative jusqu'au saut suivant (valeur
inférieure préférable). Cette option ne concerne pas les routes statiques.
•
Interface sortante : interface sortante utilisée pour cette route.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
311
16
Configuration IP
Interfaces et gestion IPv4
ARP
Le périphérique gère une table ARP (Address Resolution Protocol, protocole de résolution
d'adresse) pour tous les périphériques connus résidant sur ses sous-réseaux IP à connexion
directe. Un sous-réseau IP à connexion directe désigne un sous-réseau auquel une
interface IPv4 du périphérique est connectée. Lorsque le périphérique doit envoyer/acheminer
un paquet vers un périphérique local, il effectue une recherche dans la table ARP pour obtenir
l'adresse MAC du périphérique en question. La table ARP contient à la fois des adresses
statiques et des adresses dynamiques. Les adresses statiques sont configurées manuellement et
n'ont pas de limite de validité. Le périphérique crée des adresses dynamiques à partir des
paquets ARP qu'il reçoit. Les adresses dynamiques ont une durée de vie limitée, que vous
configurez.
REMARQUE
Les informations de mappage sont utilisées pour le routage, ainsi que pour le réacheminement
du trafic généré.
Pour définir les tables ARP :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > ARP.
ÉTAPE 2 Saisissez les paramètres.
•
Délai d'expiration des entrées ARP : saisissez la durée en secondes pendant laquelle
les adresses dynamiques peuvent rester dans la table ARP. Les adresses dynamiques ne
sont valides dans la table que pour la durée définie par Délai d'expiration des entrées
ARP. Lorsqu'une adresse dynamique arrive à expiration, elle est supprimée de la table
et doit être réapprise pour figurer à nouveau dans cette table.
•
Effacer les entrées de la table ARP : sélectionnez le type des entrées ARP à effacer du
système.
-
Tout : supprime immédiatement toutes les adresses statiques et dynamiques.
-
Dynamique : supprime immédiatement toutes les adresses dynamiques.
-
Statique : supprime immédiatement toutes les adresses statiques.
-
Délai d'expiration normal : supprime les adresses dynamiques en fonction de la
durée de vie configurée pour les entrées ARP.
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres globaux ARP sont écrits dans le fichier de
Configuration d'exécution.
312
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv4
La table ARP contient les champs suivants :
•
Interface : interface IPv4 du sous-réseau IP à connexion directe où réside le
périphérique IP.
•
Adresse IP : adresse IP du périphérique IP.
•
Adresse MAC : adresse MAC du périphérique IP.
•
État : indique si l'entrée a été saisie manuellement ou apprise de manière dynamique.
ÉTAPE 4 Cliquez sur Ajouter.
ÉTAPE 5 Configurez les paramètres suivants :
•
Version IP : format d'adresse IP pris en charge par l'hôte. Seul IPv4 est pris en charge.
•
Interface : vous pouvez configurer une interface IPv4 sur un port, un LAG ou un
VLAN. Sélectionnez l'interface voulue dans la liste des interfaces IPv4 configurées sur
le périphérique.
•
Adresse IP : saisissez l'adresse IP du périphérique local.
•
Adresse MAC : saisissez l'adresse MAC du périphérique local.
ÉTAPE 6 Cliquez sur Appliquer. L'entrée ARP est enregistrée dans le fichier de Configuration
d'exécution.
Proxy ARP
La technique de proxy ARP est utilisée par un périphérique situé sur un sous-réseau IP donné
pour répondre aux requêtes ARP qui concernent une adresse située hors de ce réseau.
REMARQUE
La fonction de proxy ARP n'est disponible que lorsque le périphérique est en mode L3.
Le proxy ARP reconnaît la destination du trafic et répond en suggérant une autre
adresse MAC. Le proxy ARP sert en pratique à rediriger le trafic LAN de l'hôte de destination
vers un autre. Le trafic capturé est alors généralement acheminé par le proxy vers la
destination prévue via une autre interface ou à l'aide d'un tunnel.
Ce processus (une requête ARP demande une adresse IP différente, en vue du proxy,
déclenchant une réponse de la part du nœud qui envoie sa propre adresse MAC) est parfois
appelé publication.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
313
16
Configuration IP
Interfaces et gestion IPv4
Pour activer le proxy ARP sur toutes les interfaces IP :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Proxy ARP.
ÉTAPE 2 Sélectionnez Proxy ARP pour permettre au périphérique de répondre aux requêtes ARP
concernant des nœuds distants avec l'adresse MAC du périphérique.
ÉTAPE 3 Cliquez sur Appliquer. Le proxy ARP est activé et le fichier de Configuration d'exécution est
mis à jour.
Relais UDP/Assistance IP
En général, les commutateurs ne routent pas les paquets de diffusion IP d'un sous-réseau IP à
un autre. Toutefois, cette fonction permet au périphérique de relayer des paquets de
diffusion UDP spécifiques reçus de ses interfaces IPv4 vers des adresses IP de destination
spécifiques.
Pour configurer le relais des paquets UDP reçus d'une interface IPv4 donnée vers un port UDP
de destination particulier, ajoutez un relais UDP :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Relais UDP/Assistance IP.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Sélectionnez l'Interface IP source vers laquelle le périphérique doit relayer les paquets de
diffusion UDP sur la base du port de destination UDP configuré. L'interface choisie doit être
l'une des interfaces IPv4 configurées sur le périphérique.
ÉTAPE 4 Saisissez le numéro du port UDP de destination des paquets que le périphérique doit relayer.
Sélectionnez un port connu dans la liste déroulante ou cliquez sur la case d'option du port pour
entrer le numéro manuellement.
ÉTAPE 5 Saisissez l'adresse IP de destination qui doit recevoir les paquets UDP relayés. Si ce champ
contient 0.0.0.0, les paquets UDP sont éliminés. Si ce champ contient 255.255.255.255, des
paquets UDP sont envoyés à toutes les interfaces IP.
ÉTAPE 6 Cliquez sur Appliquer. Les paramètres des relais UDP sont écrits dans le fichier de
Configuration d'exécution.
314
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv4
Relais DHCP
Cette section couvre les sujets suivants :
•
Propriétés
Présentation du relais DHCPv4
Le relais DHCP relaye les paquets DHCP vers le serveur DHCP.
Le périphérique peut relayer les messages DHCP reçus de la part des VLAN ne disposant pas
d'adresses IP. Dès que le relais DHCP est activé sur un VLAN sans adresse IP, l'option 82 est
insérée automatiquement. Cette insertion se trouve dans le VLAN en question et n'influence
pas la gestion globale de l'insertion de l'option 82.
Dans le cas d'un relais DHCP standard :
•
Activez le relais DHCP.
Propriétés
Pour configurer le relais DHCP, :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Surveillance/Relais DHCP >
Propriétés.
Renseignez les champs suivants :
•
Relais DHCP : sélectionnez cette option pour activer le relais DHCP.
ÉTAPE 2 Cliquez sur Appliquer. Les paramètres sont consignés dans le fichier de Configuration
d'exécution.
ÉTAPE 3 Pour définir un serveur DHCP, cliquez sur Ajouter.
ÉTAPE 4 Saisissez l'adresse IP du serveur DHCP et cliquez sur Appliquer. Les paramètres sont
consignés dans le fichier de Configuration d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
315
16
Configuration IP
Interfaces et gestion IPv6
Paramètres d'interface
Le relais et la peuvent être activés sur toutes les interfaces et sur tous les VLAN. Pour qu'un
relais DHCP soit fonctionnel, une adresse IP doit être configurée sur le VLAN ou sur une
interface.
Pour activer la ou le relais DHCP sur des interfaces spécifiques :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv4 > Relais DHCP > Paramètres
d'interface.
ÉTAPE 2 Pour activer le relais sur une interface, cliquez sur Ajouter.
ÉTAPE 3 Sélectionnez l'interface et les fonctionnalités à activer : Relais DHCP.
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont consignés dans le fichier de Configuration
d'exécution.
Interfaces et gestion IPv6
Cette section couvre les sujets suivants :
316
•
Présentation
•
Configuration globale IPv6
•
Interfaces IPv6
•
Tunnel IPv6
•
Adresses IPv6
•
Configuration du routeur IPv6
•
Liste des routeurs IPv6 par défaut
•
Voisins IPv6
•
Liste de préfixes IPv6
•
Routes IPv6
•
Relais DHCPv6
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
Présentation
Internet Protocol version 6 (IPv6) est un protocole de couche réseau utilisé dans les
communications entre réseaux à commutation de paquets. IPv6 a été conçu pour
remplacer IPv4, le protocole Internet le plus souvent déployé.
IPv6 apporte davantage de souplesse dans l'affectation des adresses IP car la taille des adresses
passe de 32 à 128 bits. Les adresses IPv6 sont constituées de huit groupes de quatre chiffres
hexadécimaux, par exemple FE80:0000:0000:0000:0000:9C00:876A:130B. La forme
abrégée, dans laquelle un groupe de zéros peut être ignoré et remplacé par « :: », est également
admise. Exemple : ::FE80::9C00:876A:130B.
Les nœuds IPv6 nécessitent un mécanisme de mappage intermédiaire pour communiquer avec
d'autres nœuds IPv6 sur un réseau uniquement IPv4. Ce mécanisme, appelé tunnel, permet à
des hôtes uniquement IPv6 de contacter des services IPv4, ainsi qu'à des hôtes et réseaux IPv6
isolés de contacter un nœud IPv6 sur une infrastructure IPv4.
La fonction de tunneling utilise un mécanisme ISATAP ou manuel (reportez-vous à la section
Tunnel IPv6). La fonction Tunneling considère le réseau IPv4 comme une liaison locale IPv6
virtuelle, avec des mappages entre chaque adresse IPv4 et une adresse IPv6 de liaison locale.
Le périphérique détecte les trames IPv6 d'après le type IPv6 Ethertype.
Comme lors du routage IPv4, les trames adressées à l'adresse MAC du périphérique mais à
une adresse IPv6 non connue du périphérique sont transférées au périphérique de saut suivant.
Ce périphérique peut être la station finale cible ou un routeur plus près de la destination. Le
mécanisme de transfert s'appuie sur la nouvelle création d'une trame L2 autour du paquet L3
reçu (essentiellement) inchangé avec l'adresse MAC du périphérique de saut suivant comme
adresse MAC de destination.
Le système utilise les messages de routage statique et de découverte des voisins (similaires
aux messages ARP IPv4) pour créer les tables de transferts et les adresses de saut suivant
appropriées.
Un acheminement définit le chemin entre deux périphériques en réseau. Les entrées de routage
ajoutées par l'utilisateur sont statiques et sont utilisées par le système jusqu'à ce qu'elles soient
supprimées par l'utilisateur. Elles ne sont pas affectées par les protocoles de routage. Si les
routes statiques doivent être actualisées, cette procédure doit être effectuée explicitement par
l'utilisateur. La responsabilité d'empêcher les boucles de routage dans le réseau incombe à
l'utilisateur.
Les acheminements IPv6 statiques peuvent être soit :
•
À connexion directe : la destination est directement connectée à une interface sur le
périphérique et la destination de paquets (l'interface) est ainsi utilisée comme adresse
de saut suivant.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
317
16
Configuration IP
Interfaces et gestion IPv6
•
Récursifs : où uniquement le saut suivant est spécifié et l'interface sortante est dérivée
du saut suivant.
De la même manière, les adresses MAC des périphériques de saut suivant (y compris les
systèmes finaux à connexion directe) sont automatiquement dérivées à l'aide de la découverte
du réseau. Cependant, l'utilisateur peut remplacer et compléter cela en ajoutant manuellement
les entrées à la table des voisins.
Configuration globale IPv6
Pour définir des paramètres IPv6 globaux et les paramètres de client DHCPv6 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Configuration globale IPv6.
ÉTAPE 2 Saisissez les valeurs appropriées dans les champs suivants :
•
Routage IPv6 : sélectionnez cette option pour activer le routage IPv6. Lorsque cette
option n'est pas activée, le périphérique agit comme hôte (et non comme routeur) ; il
peut ainsi recevoir des paquets de gestion mais il ne peut pas les transférer. Lorsque le
routage est activé, le périphérique peut transférer les paquets IPv6.
Si vous activez le routage IPv6, les adresses précédemment attribuées à l'interface de
l'appareil via la configuration automatique seront supprimées de l'annonce envoyée par
un routeur sur le réseau.
•
Intervalle de limites de débit ICMPv6 : saisissez la fréquence à laquelle les messages
d'erreur ICMP sont générés.
•
Taille des cases de limite de débit ICMPv6 : saisissez le nombre maximal de messages
d'erreur ICMP que le périphérique peut envoyer dans chaque intervalle.
•
Limite de saut IPv6 : saisissez le nombre maximal de routeurs intermédiaires qu'un
paquet peut traverser pour atteindre sa destination finale. Chaque fois qu'un paquet est
transféré à un autre routeur, la limite de saut est réduite. Lorsque la limite de saut devient
zéro, le paquet est ignoré. Cela empêche un transfert infini des paquets.
•
Paramètres de client DHCPv6
-
Unique Identifier (DUID) Format (Format de l'identificateur unique (DUID)) : il
s'agit de l'identificateur du client DHCP utilisé par le serveur DHCP pour localiser
le client. Les formats suivants sont disponibles :
Link-Couche (Couche de liaison) : (par défaut). Si vous sélectionnez cette option,
l'adresse MAC du périphérique est utilisée.
Enterprise Number (Numéro d'entreprise) : lorsque vous sélectionnez cette option,
renseignez les champs suivants.
318
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
•
-
Enterprise Number (Numéro d'entreprise) : numéro d'entreprise privé enregistré par
les fournisseurs comme géré par IANA.
-
Identifier (Identificateur) : chaîne hexadécimale définie par le fournisseur (jusqu'à
64 caractères hexadécimaux). Si le nombre de caractères est impair, un zéro est
ajouté à droite. Vous pouvez ajouter un point ou une virgule tous les deux caractères
hexadécimaux pour les séparer.
DHCPv6 Unique Identifier (DUID) (Identificateur unique DHCPv6 (DUID)) :
affiche l'identificateur sélectionné.
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres globaux IPv6 et les paramètres de client DHCPv6 sont
mis à jour.
Interfaces IPv6
Vous pouvez configurer l'interface IPv6 sur un port, un LAG, un VLAN, une interface de
bouclage ou un tunnel.
Contrairement aux autres types d'interfaces, une interface de tunnel est d'abord créée sur la
page Tunnel IPv6, puis l'interface IPv6 est configurée sur le tunnel sur cette page.
Pour définir une interface IPv6 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Interfaces IPv6.
ÉTAPE 2 Saisissez les paramètres.
•
IPv6 Link Local Default Zone (Zone de liaison locale IPv6 par défaut) : sélectionnez
cette option pour activer une zone par défaut. Il s'agit d'une interface à utiliser pour sortir
un paquet de liaison locale arrivant sans interface spécifiée ou avec sa zone 0 par défaut.
•
IPv6 Link Local Default Zone Interface (Interface de la zone de liaison locale IPv6
par défaut) : sélectionnez une interface à utiliser comme zone par défaut. Il peut s'agir
d'un tunnel précédemment défini ou d'une autre interface.
ÉTAPE 3 Cliquez sur Appliquer pour configurer la zone par défaut.
La Table des interfaces IPv6 est affichée en plus du champ suivant :
•
Type de tunnel : manuel, 6 vers 4 et ISATAP.
ÉTAPE 4 Cliquez sur Ajouter pour ajouter une nouvelle interface sur laquelle IPv6 est activé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
319
16
Configuration IP
Interfaces et gestion IPv6
ÉTAPE 5 Renseignez les champs suivants :
•
Interface IPv6 : sélectionnez un port, un LAG, une interface de bouclage ou un VLAN
spécifique pour l'adresse IPv6.
ÉTAPE 6 Pour configurer l'interface comme client DHCPv6, ce qui signifie activer l'interface pour
recevoir des informations depuis le serveur DHCPv6, comme la configuration SNTP et des
informations DNS, renseignez les champs Client DHCPv6 :
•
Client DHCPv6 : sélectionnez cette option pour activer le client DHCPv6 sur
l'interface (avec ou sans état).
•
Commentaire rapide : sélectionnez cette option pour activer l'utilisation du système
d'échange à deux messages pour l'allocation d'adresse et la configuration d'autres
paramètres. Si cette option est activée, le client inclut l'option d'envoi rapide dans un
message de sollicitation.
•
Minimum Information Refresh Time (Intervalle minimal d'actualisation des
informations) : cette valeur est utilisée pour mettre une limite sur la valeur de
l'intervalle d'actualisation. Lorsque le serveur envoie une option d'intervalle
d'actualisation inférieure à cette valeur, cette valeur est utilisée en substitution.
Sélectionnez Infini (aucune actualisation sauf si le serveur envoie cette option) ou
Défini par l'utilisateur pour définir une valeur.
•
Information Refresh Time (Intervalle d'actualisation des informations) : cette
valeur indique la fréquence d'actualisation par le périphérique des informations reçues
du serveur DHCPv6. Si cette option n'est pas reçue du serveur, la valeur entrée ici est
utilisée. Sélectionnez Infini (aucune actualisation sauf si le serveur envoie cette option)
ou Défini par l'utilisateur pour définir une valeur.
ÉTAPE 7 Pour configurer des paramètres IPv6 supplémentaires, renseignez les champs suivants :
320
•
Configuration automatique d'adresses IPv6 : sélectionne la configuration
automatique des adresses à partir des annonces de routeur envoyées par des voisins.
•
Nombre de tentatives DAD : saisissez le nombre de messages de sollicitation des
voisins consécutifs à envoyer lors du processus DAD (Duplicate Address Detection,
détection des adresses en double) sur les adresses IPv6 Unicast de l'interface. DAD
vérifie l'unicité d'une nouvelle adresse IPv6 Unicast avant de l'attribuer. Les nouvelles
adresses restent à l'état provisoire pendant la vérification DAD. Saisissez 0 dans ce
champ pour désactiver le traitement de détection des adresses en double sur l'interface
indiquée. Saisissez 1 dans ce champ pour indiquer une transmission unique, sans
transmission de suivi.
•
Envoyer des messages ICMPv6 : active la génération de messages concernant les
destinations injoignables.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
•
Redirections IPv6 : sélectionnez cette option pour activer l'envoi des messages de
redirection ICMP IPv6. Ces messages permettent d'informer les autres périphériques de
ne pas envoyer du trafic à ce périphérique, mais plutôt à un autre périphérique.
ÉTAPE 8 Cliquez sur Appliquer pour activer le traitement IPv6 sur l'interface sélectionnée. Pour les
interfaces IPv6 standard, les adresses suivantes sont configurées automatiquement :
•
Adresse de liaison locale, à l'aide de l'ID d'interface au format EUI-64, sur la base de
l'adresse MAC d'un périphérique
•
Toutes les adresses de multidiffusion de liaison locale des nœuds (FF02::1)
•
Adresse multidestination du nœud sollicité (au format FF02::1:FFXX:XXXX)
ÉTAPE 9 Appuyez sur le bouton Restart (Redémarrer) pour lancer l'actualisation des informations
sans état reçues du serveur DHCPv6.
ÉTAPE 10 Cliquez sur Table des adresses IPv6 pour affecter manuellement des adresses IPv6 à
l'interface, si nécessaire. Cette page est décrite à la section Adresses IPv6.
ÉTAPE 11 Pour ajouter un tunnel, sélectionnez une interface (définie en tant que tunnel sur la page
Interfaces IPv6) dans la table des tunnels IPv6 et cliquez sur de tunnels IPv6. Reportez-vous
à la section Tunnel IPv6.
Détails du client DHCPv6
Le bouton Détails affiche les informations reçues sur l'interface à partir d'un serveur DHCPv6.
Cette option est activée lorsque l'interface sélectionnée est définie comme client DHCPv6 sans
état.
Lorsque vous appuyez sur ce bouton, les champs suivants s'affichent (pour les informations
reçues du serveur DHCP) :
•
•
DHCP Operational Mode (Mode de fonctionnement DHCP) : permet d'afficher
Enabled (Activé) lorsque les conditions suivantes sont remplies :
-
L'interface est active.
-
IPv6 y est activé.
-
Le client DHCPv6 y est activé.
État de service avec état : précise si le client reçoit des informations de configuration
avec état d'un serveur DHCP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
321
16
Configuration IP
Interfaces et gestion IPv6
•
État de service sans état : précise si le client reçoit des informations de configuration
sans état depuis un serveur DHCP.
•
Adresse IPv6 IA NA : l'ID IA a une valeur de balise C/IANAID, T1-C/T1, T2, - C/T2,.
T1 et T2 sont disponibles lorsqu'au moins une adresse est reçue sur l'interface.
•
Adresse du serveur DHCP : adresse du serveur DHCPv6.
•
DUID du serveur DHCP : identificateur unique du serveur DHCPv6.
•
DHCP Server Preference (Préférence du serveur DHCP) : priorité de ce
serveur DHCPv6.
•
Intervalle minimal d'actualisation des informations : voir ci-dessus.
•
Intervalle d'actualisation des informations : voir ci-dessus.
•
Received Information Refresh Time (Intervalle reçu pour l'actualisation des
informations) : intervalle d'actualisation reçu du serveur DHCPv6.
•
Remaining Information Refresh Time (Intervalle restant avant l'actualisation des
informations) : temps restant jusqu'à la prochaine actualisation.
•
DNS Servers (Serveurs DNS) : liste des serveurs DNS reçue du serveur DHCPv6.
•
DNS Domain Search List (Liste de recherche de domaines DNS) : liste des
domaines reçue du serveur DHCPv6.
•
SNTP Servers (Serveurs SNTP) : liste des serveurs SNTP reçue du serveur DHCPv6.
•
POSIX Timezone String (Chaîne de fuseau horaire POSIX) : fuseau horaire reçu du
serveur DHCPv6.
•
Configuration Server (Serveur de configuration) : serveur contenant un fichier de
configuration reçu du serveur DHCPv6.
•
Configuration Path Name (Nom du chemin de configuration) : chemin vers le
fichier de configuration sur le serveur de configuration reçu du serveur DHCPv6.
Tunnel IPv6
Les tunnels permettent la transmission des paquets IPv6 sur des réseaux IPv4. Chaque tunnel a
une adresse IPv4 source et s'il s'agit d'un tunnel manuel, il dispose également d'une adresse
IPv4 de destination. Le paquet IPv6 est encapsulé entre ces adresses.
322
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
Tunnels ISATAP
le dispositif prend en charge un seul tunnel ISATAP (Intra-Site Automatic Tunnel Addressing
Protocol).
Un tunnel ISATAP est un tunnel point-multipoint. L'adresse source est l'adresse IPv4 (ou l'une
des adresses IPv4) du périphérique.
Lors de la configuration d'un tunnel ISATAP, l'adresse IPv4 de destination est fournie par le
routeur. Remarque :
•
Une adresse IPv6 de liaison locale est affectée à l'interface ISATAP. L'adresse IP
initiale est affectée à l'interface, qui est alors activée.
•
Si une interface ISATAP est active, l'adresse IPv4 du routeur ISATAP est résolue via
DNS à l'aide d'un mappage ISATAP-à-IPv4. Si l'enregistrement DNS ISATAP n'est pas
résolu, le mappage nom d'hôte-à-adresse ISATAP est recherché dans la table de
mappage des hôtes.
•
S'il est impossible de résoudre l'adresse IPv4 du routeur ISATAP à l'aide du
processus DNS, l'interface IP ISATAP reste active. Le système ne comportera un
routeur par défaut pour le trafic ISATAP qu'après résolution du processus DNS.
Configuration des tunnels
Pour configurer un tunnel IPv6 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Tunnel IPv6.
ÉTAPE 2 Cliquez sur l'option Créer un tunnel ISATAP.
ÉTAPE 3 Le Numéro de tunnel et le Type de tunnel - 1 et ISATAP sont affichés.
ÉTAPE 4 Renseignez les champs suivants :
•
Adresse IPv4 source : définissez l'adresse IPv4 locale (source) d'une interface de
tunnel. L'adresse IPv4 de l'interface IPv4 sélectionnée sera utilisée pour constituer une
partie de l'adresse IPv6 sur l'interface de tunnel ISATAP. L'adresse IPv6 comporte un
préfixe réseau de 64 bits, constitué de fe80::, suivi de la concaténation de 0000:5EFE et
de l'adresse IPv4.
-
Auto : sélectionne automatiquement l'adresse IPv4 la plus basse parmi toutes ses
interfaces IPv4 configurées comme adresse source pour des paquets envoyés sur
l'interface de tunnel.
-
Manuel : spécifie l'adresse IPv4 à utiliser comme adresse source pour des paquets
envoyés sur l'interface de tunnel. L'adresse locale de l'interface de tunnel n'est pas
modifiée lorsque l'adresse IPv4 est déplacée vers une autre interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
323
16
Configuration IP
Interfaces et gestion IPv6
REMARQUE Lorsque l'adresse IPv4 est modifiée, l'adresse locale de l'interface de
tunnel est également modifiée.
•
Interface : sélectionnez l'interface source.
Nom de routeur ISATAP : sélectionnez l'une des options suivantes pour configurer
une chaîne globale qui représente un nom de domaine de routeur de tunnel automatique
spécifique.
-
Valeurs par défaut : il s'agit toujours d'ISATAP.
-
Défini par l'utilisateur : saisissez le nom de domaine du routeur.
ÉTAPE 5 Saisissez les paramètres .
•
Intervalle de sollicitation ISATAP : nombre de secondes entre deux messages de
sollicitation de routeur ISATAP, si aucun routeur ISATAP actif n'a été détecté. Il peut
s'agir de la Valeur par défaut ou d'un intervalle Défini par l'utilisateur.
•
Robustesse ISATAP : permet de calculer l'intervalle des requêtes de sollicitation de
routeur. Plus la valeur est élevée, plus les requêtes sont fréquentes. Il peut s'agir de la
Valeur par défaut ou d'un intervalle Défini par l'utilisateur.
REMARQUE Le tunnel ISATAP ne sera pas opérationnel si l'interface IPv4 sous-
jacente n'est pas active.
ÉTAPE 6 Cliquez sur Appliquer pour enregistrer les paramètres ISATAP dans le fichier de
Configuration d'exécution.
ÉTAPE 7 Pour supprimer le tunnel ISATAP, cliquez sur le bouton Créer un tunnel ISATAP.
Adresses IPv6
Pour affecter une adresse IPv6 à une interface IPv6 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Adresses IPv6.
ÉTAPE 2 Pour filtrer la table, sélectionnez un nom d'interface et cliquez sur OK. L'interface s'affiche
dans la table des adresses IPv6. Ces champs sont définis sur la page Ajouter, excepté les
champs suivants :
•
324
Source de l'adresse : affiche l'un des types de sources d'adresse suivants : DHCP,
Système ou Statique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
•
État DAD : indique l'état DAD et précise si l'option Détection d'accès en double est
activée ou non.
•
Durée de vie souhaitée : affiche l'entrée Durée de vie souhaitée.
•
Durée de vie valide : affiche l'entrée Durée de vie valide.
•
Délai d'expiration : affiche le délai d'expiration.
ÉTAPE 3 Cliquez sur Ajouter.
ÉTAPE 4 Saisissez les valeurs des champs.
•
Interface IPv6 : affiche l'interface sur laquelle l'adresse IPv6 doit être définie. Si un
astérisque (*) s'affiche, cela signifie que l'interface IPv6 n'est pas activée mais a été
configurée.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 à ajouter.
-
Liaison locale : une adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
-
Pluridiffusion : l'adresse IPv6 est une adresse de pluridiffusion. Il s'agit d'une
adresse attribuée à un ensemble d'interfaces appartenant généralement à des nœuds
différents. Un paquet envoyé à une adresse pluridiffusion est délivré à l'interface la
plus proche (comme défini par les protocoles de routage utilisés) identifiée par
l'adresse pluridiffusion.
REMARQUE La pluridiffusion ne peut pas être utilisée si l'adresse IPv6 se trouve sur
une interface ISATAP.
•
Adresse IPv6 : en mode Couche 2, le périphérique prend en charge une seule
interface IPv6. outre les adresses de liaison locale et de multidiffusion par défaut, le
périphérique ajoute aussi automatiquement des adresses globales à l'interface en
fonction des annonces de routeur qu'il reçoit. Le périphérique prend en charge un
maximum de 128 adresses sur l'interface. Chaque adresse doit correspondre à une
adresse IPv6 valide, spécifiée au format hexadécimal au moyen de valeurs de 16 bits
séparées par le signe deux-points.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
325
16
Configuration IP
Interfaces et gestion IPv6
Vous pouvez ajouter les types d'adresses suivants aux différents types de tunnels :
-
Tunnels manuels : adresse globale ou de pluridiffusion
-
Tunnels ISATAP : adresse globale avec EUI-6
-
Tunnels 6to4 : aucun
•
Longueur du préfixe : la longueur du préfixe IPv6 global est une valeur comprise
entre 0 et 128 qui indique le nombre de bits contigus les plus significatifs de l'adresse
dont est composé le préfixe (la partie réseau de l'adresse).
•
EUI-64 : sélectionnez cette option pour employer le paramètre EUI-64 afin d'identifier
la portion de l'adresse IPv6 globale correspondant à l'ID d'interface en utilisant le
format EUI-64 sur la base de l'adresse MAC d'un périphérique.
ÉTAPE 5 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Configuration du routeur IPv6
Les sections suivantes décrivent comment configurer les routeurs IPv6. Il couvre les sujets
suivants :
•
Annonce de routeur
•
Préfixes IPv6
Annonce de routeur
Les routeurs IPv6 peuvent annoncer leur préfixes aux périphériques voisins. Cette fonction
peut être activée ou supprimée par interface, comme suit :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Configuration du
routeur IPv6 > Annonce de routeur.
ÉTAPE 2 Pour configurer une interface présente dans la table des annonces du routeur, sélectionnez
l'interface souhaitée et cliquez sur Modifier.
ÉTAPE 3 Renseignez les champs suivants :
•
326
Suppress Router Advertisement (Supprimer l'annonce du routeur) : sélectionnez
Oui pour supprimer les transmissions des annonces du routeur IPv6 sur l'interface. Si
cette fonction n'est pas supprimée, saisissez les champs suivants :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
•
Préférence de routeur : sélectionnez Faible, Moyenne ou Élevée comme valeur de
préférence pour le routeur. Les messages d'annonce du routeur sont envoyés avec la
préférence configurée dans ce champ. Si aucune préférence n'est configurée, ils sont
envoyés avec une préférence moyenne.
L'association d'une préférence avec un routeur est utile lorsque, par exemple, deux routeurs
sur une liaison fournissent un routage équivalent mais à des coûts différents et que la
politique prévoit que les hôtes doivent préférer l'un des routeurs.
•
Include Advertisement Interval Option (Inclure l'option d'intervalle d'annonce) :
permet d'indiquer qu'une option d'annonce est utilisée par le système. Cette option
indique à un nœud mobile en visite l'intervalle dans lequel il peut s'attendre à recevoir
des annonces de routeur. Le nœud peut utiliser ces informations dans son algorithme de
détection de mouvement.
•
Hop Limit (Limite de saut) : valeur annoncée par le routeur. Si la valeur n'est pas de
zéro, elle est utilisée comme limite de saut par l'hôte.
•
Managed Address Configuration Flag (Indication de configuration d'adresses
gérées) : cette indication permet d'indiquer aux hôtes connectés qu'ils doivent utiliser la
configuration automatique avec conservation d'état pour obtenir des adresses. Les hôtes
peuvent utiliser simultanément la configuration automatique avec et sans conservation
d'état.
•
Other Stateful Configuration Flag (Indication de configuration d'autres
informations avec conservation d'état) : cette indication permet d'indiquer aux hôtes
connectés qu'ils doivent utiliser la configuration automatique avec conservation d'état
pour obtenir d'autres informations (outre l'adresse).
REMARQUE Si Managed Address Configuration Flag (Indication de configuration
d'adresses gérées) est définie, un hôte connecté peut utiliser la configuration
automatique avec conservation d'état pour obtenir les autres informations (outre
l'adresse), indépendamment de la définition de cette indication.
•
Neighbor Solicitation Retransmissions Interval (Intervalle de retransmission de
sollicitations de voisinage) : spécifiez cet intervalle pour déterminer le temps entre les
retransmissions des messages de sollicitation de voisinage lorsque vous traduisez
l'adresse ou sondez l'accessibilité d'un voisin.
•
Maximum Router Advertisement Interval (Intervalle d'annonce maximal de
routeur) : saisissez le temps maximal qui peut s'écouler entre deux annonces de routeur.
L'intervalle entre deux transmissions doit être inférieur ou égal à la durée de vie de
l'annonce de routeur IPv6 si vous configurez l'acheminement en tant que routeur par défaut
à l'aide de cette commande. Afin d'éviter la synchronisation avec d'autres nœuds IPv6,
l'intervalle réel utilisé est sélectionné de manière aléatoire parmi les valeurs comprises entre
les valeurs minimale et maximale.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
327
16
Configuration IP
Interfaces et gestion IPv6
•
Minimum Router Advertisement Interval (Intervalle d'annonce minimal de
routeur) : saisissez le temps minimal qui peut s'écouler entre deux annonces de routeur
(Défini par l'utilisateur) ou sélectionnez Valeurs par défaut afin d'utiliser la valeur
par défaut du système.
REMARQUE L'intervalle minimal d'annonce de routeur ne peut jamais excéder 75 % de
l'intervalle maximal d'annonce de routeur et ne peut pas être inférieur à 3 secondes.
•
Router Advertisement Lifetime (Durée de vie d'annonce de routeur) : saisissez le
temps restant, en secondes, durant lequel ce routeur continue à fonctionner en tant que
routeur par défaut. La valeur zéro signifie que le routeur ne fonctionne plus en tant que
routeur par défaut.
•
Délai d'accessibilité : saisissez le temps pendant lequel le nœud IPv6 distant est
considéré comme joignable (en millisecondes) (Défini par l'utilisateur) ou
sélectionnez l'option Valeurs par défaut afin d'utiliser la valeur par défaut du système.
ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration
d'exécution.
Préfixes IPv6
Pour définir des préfixes à annoncer sur les interfaces du périphérique :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Configuration du
routeur IPv6 > Préfixes IPv6.
ÉTAPE 2 Si nécessaire, activez le champ Filtre et cliquez sur OK. Le groupe d'interfaces correspondant
au filtre s'affiche.
ÉTAPE 3 Pour ajouter une interface, cliquez sur Ajouter.
ÉTAPE 4 Sélectionnez l'interface IPv6 requise sur laquelle un préfixe doit être ajouté.
ÉTAPE 5 Renseignez les champs suivants :
328
•
Prefix Address (Adresse de préfixe) : réseau IPv6. La forme de cet argument doit être
celle indiquée dans RFC 4293 où l'adresse est composée de caractères hexadécimaux,
utilisant des valeurs de 16 bits entre les caractères deux-points.
•
Prefix Length (Longueur du préfixe) : longueur du préfixe IPv6. Une valeur décimale
qui indique le nombre de bits contigus les plus significatifs de l'adresse dont se compose
le préfixe (la partie réseau de l'adresse). Une barre oblique doit précéder la valeur
décimale.
•
Annonce de préfixe : sélectionnez cette option pour annoncer ce préfixe.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
•
•
Valid Lifetime (Durée de vie valide) : durée restante, en secondes, de validité de ce
préfixe, elle correspond au temps qui précède son annulation. L'adresse générée à partir
d'un préfixe annulé ne doit pas apparaître en tant qu'adresse de source ou de destination
d'un paquet.
-
Infini : sélectionnez cette valeur pour renseigner ce champ avec la valeur
4 294 967 295, qui représente l'infini.
-
Défini par l'utilisateur : saisissez une valeur.
Durée de vie préférée : la durée restante, en secondes, durant laquelle ce préfixe
continue à être prioritaire. Une fois ce temps écoulé, le préfixe ne doit plus être utilisé
en tant qu'adresse source dans une nouvelle communication mais, les paquets reçus sur
cette interface sont traités comme prévu. La durée de vie préférée ne doit pas être
supérieure à la durée de vie valide.
-
Infini : sélectionnez cette valeur pour renseigner ce champ avec la valeur
4 294 967 295, qui représente l'infini.
-
Défini par l'utilisateur : saisissez une valeur.
•
Configuration automatique : cette option permet d'activer la configuration
automatique des adresses IPv6 à l'aide de la configuration automatique sans
conservation d'état sur une interface et d'activer le traitement IPv6 sur cette interface.
Les adresses sont configurées en fonction des préfixes reçus dans les messages Annonce
de routeur.
•
Prefix Status (État de préfixe) : sélectionnez l'une des options suivantes :
-
On-link : cette option permet de configurer le préfixe spécifié en tant que On-link.
Les nœuds qui envoient du trafic aux adresses contenant le préfixe spécifié considèrent
la destination comme localement joignable sur la liaison. Un préfixe On-link est inséré
dans la table de routage en tant que préfixe connecté (défini par un bit L).
-
No Onlink (Non On-link) : cette option permet de configurer le préfixe spécifié en
tant que Non On-link. Un préfixe Non On-link est inséré dans la table de routage en
tant que préfixe connecté mais annoncé avec un bit L vide.
-
Offlink (Off-link) : cette option permet de configurer le préfixe spécifié en tant que
Off-link. Le préfixe est annoncé avec un bit L vide. Le préfixe n'est pas inséré dans
la table de routage en tant que préfixe connecté. Si le préfixe existe déjà dans la table
de routage en tant que préfixe connecté (par exemple, parce que le préfixe a aussi
été configuré en ajoutant une adresse IPv6), il est supprimé.
ÉTAPE 6 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
329
16
Configuration IP
Interfaces et gestion IPv6
Liste des routeurs IPv6 par défaut
La page Liste des routeurs par défaut IPv6 vous permet de configurer et d'afficher les adresses
de routeur IPv6 par défaut. Cette liste contient les routeurs susceptibles de devenir le routeur
par défaut du périphérique pour le trafic non local (elle peut être vide). Le périphérique
sélectionne un routeur au hasard dans la liste. Le périphérique prend en charge un seul
routeur IPv6 statique par défaut. Les routeurs dynamiques par défaut sont des routeurs qui ont
envoyé des annonces de routeur à l'interface IPv6 du périphérique.
Lorsque vous ajoutez ou supprimez des adresses IP, les événements suivants se produisent :
•
Lorsque vous supprimez une interface IP, toutes les adresses IP de routeur par défaut
sont supprimées. Il est impossible de supprimer des adresses IP dynamiques.
•
Un message d'alerte apparaît lorsque vous tentez d'insérer plusieurs adresses définies
par l'utilisateur.
•
Un message d'alerte apparaît lorsque vous tentez d'insérer une adresse d'un type autre
qu'une liaison locale « fe80: ».
Pour définir un routeur par défaut :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Liste des routeurs IPv6 par
défaut.
Cette page affiche les champs suivants pour chaque routeur par défaut :
•
Interface sortante : interface IPv6 sortante où réside le routeur par défaut.
•
Adresse IPv6 du routeur par défaut : adresse IP de liaison locale du routeur par
défaut.
•
Type : configuration du routeur par défaut qui inclut les options suivantes :
•
-
Statique : le routeur par défaut a été ajouté manuellement à cette table à l'aide du
bouton Ajouter.
-
Dynamique : le routeur par défaut a été configuré de manière dynamique.
Métrique : coût de ce saut.
ÉTAPE 2 Cliquez sur Ajouter pour ajouter un routeur par défaut statique.
330
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
ÉTAPE 3 Renseignez les champs suivants :
•
Type du prochain saut : adresse IP de la destination suivante vers laquelle le paquet
est envoyé. Vous disposez des possibilités suivantes :
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
-
Liaison locale : une interface IPv6 et une adresse IPv6 qui identifient uniquement
des hôtes sur une liaison de réseau unique. Une adresse de liaison locale possède le
préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication
que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe
une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la
configuration.
•
Interface sortante : affiche l'interface Liaison locale sortante.
•
Adresse IPv6 du routeur par défaut : adresse IP du routeur statique par défaut.
•
Métrique : saisissez les coûts de ce saut.
ÉTAPE 4 Cliquez sur Appliquer. Le routeur par défaut est enregistré dans le fichier de Configuration
d'exécution.
Voisins IPv6
La page Voisins IPv6 vous permet de configurer et d'afficher la liste des voisins IPv6 sur
l'interface IPv6. La table Voisins IPv6, également appelée Cache de détection du
voisinage IPv6, affiche les adresses MAC des voisins IPv6 qui font partie du même sousréseau IPv6 que le périphérique. C'est l'équivalent IPv6 de la table ARP IPv4. Lorsque le
périphérique a besoin de communiquer avec ses voisins, il utilise la table de voisinage IPv6
pour déterminer les adresses MAC à partir de leurs adresses IPv6.
Cette page affiche les voisins détectés automatiquement ou configurés manuellement. Chaque
entrée indique l'interface à laquelle le voisin est connecté, les adresses IPv6 et MAC de ce
voisin, son type de configuration (statique ou dynamique) et l'état du voisin.
Pour définir des voisins IPv6 :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Voisins IPv6.
Vous pouvez sélectionner une option Effacer la table afin d'effacer certaines adresses IPv6
(ou toutes) de la table des voisins IPv6.
•
Statique uniquement : supprime les entrées d'adresse IPv6 statiques.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
331
16
Configuration IP
Interfaces et gestion IPv6
•
Dynamique uniquement : supprime les entrées d'adresse IPv6 dynamiques.
•
Dynamique et statique : supprime les entrées d'adresse IPv6 statiques et dynamiques.
Les champs suivants sont affichés pour les interfaces de voisinage :
•
Interface : type d'interface de voisinage IPv6.
•
Adresse IPv6 : adresse IPv6 d'un voisin.
•
Adresse MAC : adresse MAC mappée sur l'adresse IPv6 spécifiée.
•
Type : type de saisie des informations de cache de découverte des voisins (statique ou
dynamique).
•
État : indique l'état du voisin IPv6. Les valeurs disponibles sont les suivantes :
•
-
Incomplet : résolution d'adresse en cours. Le voisin n'a pas encore répondu.
-
Atteignable : le voisin est reconnu comme étant accessible.
-
Périmé : un voisin précédemment connu est inaccessible. Aucune action n'est
entreprise pour vérifier son accessibilité tant qu'il n'est pas nécessaire de lui envoyer
du trafic.
-
Retard : un voisin précédemment connu est inaccessible. L'interface reste à l'état
Retard pour la durée prédéfinie indiquée par Délai de retard. Si aucune confirmation
d'accessibilité n'est reçue, l'état passe à Sonde.
-
Sonde : le voisin n'est plus reconnu comme inaccessible et des sondes UNS (Unicast
Neighbor Solicitation, sollicitation de voisinage Unicast) sont envoyées pour
vérifier son accessibilité.
Routeur : spécifie si le voisin est un routeur (Oui ou Non).
ÉTAPE 2 Pour ajouter un voisin à la table, cliquez sur Ajouter.
ÉTAPE 3 Les champs suivants s'affichent :
•
Interface : affiche l'interface de voisinage IPv6 à ajouter.
•
Adresse IPv6 : saisissez l'adresse réseau IPv6 affectée à l'interface. Cette adresse doit
être une adresse IPv6 valide.
•
Adresse MAC : saisissez l'adresse MAC mappée sur l'adresse IPv6 spécifiée.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
ÉTAPE 5 Pour passer le type d'adresse IP de Statique à Dynamique, sélectionnez l'adresse, cliquez sur
Modifier et utilisez la page Modifier les voisins IPv6.
332
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
Liste de préfixes IPv6
Lorsque la fonction Sécurité du premier saut est configurée, il est possible de définir des règles
de filtrage basées sur les préfixes IPv6. Vous pouvez définir ces listes sur la page Liste de
préfixes IPv6.
Les listes de préfixes sont configurées avec les mots clés autoriser ou refuser afin d'autoriser
ou de refuser un préfixe sur la base d'une condition correspondante. Un refus implicite
s'applique au trafic qui ne correspond à aucune entrée de liste de préfixes.
Une entrée de liste de préfixes se compose d'une adresse IP et d'un masque de bits.
L'adresse IP peut être destinée à la route d'un réseau classful, d'un sous-réseau ou d'un seul
hôte. Le masque de bits est un nombre compris entre 1 et 32.
Les listes de préfixes sont configurées pour filtrer le trafic à partir d'une correspondance de
longueur de préfixe exacte ou d'une correspondance au sein d'une plage lorsque les mots clés
ge et le sont utilisés.
Les paramètres Supérieur à et Inférieur à permettent de spécifier une plage de longueurs de
préfixe et d'offrir une configuration plus souple que si vous utilisiez seulement l'argument
réseau/longueur. Une liste de préfixes est traitée par le biais d'une correspondance exacte
lorsque ni le paramètre Supérieur à ni le paramètre Inférieur à n'est spécifié. Si seul le
paramètre Supérieur à est spécifié, la plage va de la valeur saisie pour Supérieur à à une
longueur 32 bits complète. Si seul le paramètre Inférieur à est spécifié, la plage va de la
valeur saisie pour l'argument réseau/longueur à la valeur Inférieur à. Si les arguments
Inférieur à et Supérieur à sont tous les deux renseignés, la plage est comprise entre les
valeurs utilisées pour Inférieur à et Supérieur à.
Procédure de création d'une liste de préfixes :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Liste de préfixes IPv6.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Renseignez les champs suivants :
•
Nom de la liste : sélectionnez l'une des options suivantes :
-
Utiliser la liste existante : sélectionnez une liste précédemment définie pour lui
ajouter un préfixe.
-
Créer une nouvelle liste : saisissez un nom pour créer une nouvelle liste.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
333
16
Configuration IP
Interfaces et gestion IPv6
•
•
Numéro de séquence : spécifie l'emplacement du préfixe dans la liste de préfixes.
Sélectionnez l'une des options suivantes :
-
Numérotation automatique : place le nouveau préfixe IPV6 après la dernière entrée
de la liste de préfixes. Le numéro de séquence équivaut au dernier numéro de
séquence plus 5. Si la liste est vide, la première entrée de la liste de préfixes se voit
attribuer le numéro 5 et les entrées suivantes de la liste de préfixes sont
incrémentées par 5.
-
Défini par l'utilisateur : insère le nouveau préfixe IPV6 à l'emplacement spécifié
par le paramètre. S'il y a une entrée avec ce numéro, elle est remplacée par la
nouvelle.
Type de la règle : entrez la règle pour la liste de préfixes.
-
Autoriser : autorise les réseaux qui respectent la condition.
-
Refuser : refuse les réseaux qui ne respectent pas la condition.
-
Description : texte.
•
Préfixe IPv6 : préfixe de route IP.
•
Longueur du préfixe : longueur du préfixe de route IP.
•
Supérieur à : longueur minimale du préfixe devant être utilisée pour la correspondance.
Sélectionnez l'une des options suivantes :
•
•
-
Aucune limite : aucune longueur minimale du préfixe ne doit être utilisée pour la
correspondance.
-
Défini par l'utilisateur : longueur minimale du préfixe devant être respectée.
Inférieur à : longueur maximale du préfixe devant être utilisée pour la correspondance.
Sélectionnez l'une des options suivantes :
-
Aucune limite : aucune longueur maximale du préfixe ne doit être utilisée pour la
correspondance.
-
Défini par l'utilisateur : longueur maximale du préfixe devant être respectée.
Description : entrez une description de la liste de préfixes.
ÉTAPE 4 Cliquez sur Appliquer pour enregistrer la configuration dans le fichier de Configuration
d'exécution.
334
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
Routes IPv6
L'IPv6 Forwarding Table (Table de redirection IPv6) contient les différents acheminements
qui ont été configurés. L'un de ces acheminements est un acheminement par défaut
(adresse IPv6:0), qui utilise le routeur par défaut sélectionné dans la liste des routeurs par
défaut IPv6 afin d'envoyer des paquets aux périphériques de destination qui ne font pas partie
du même sous-réseau IPv6 que le périphérique. Outre l'acheminement par défaut, la table
contient aussi des acheminements dynamiques, qui sont des acheminements de
redirection ICMP reçues des routeurs IPv6 via des messages de redirection ICMP. Cela peut se
produire lorsque le routeur par défaut que le périphérique utilise n'est pas celui défini pour le
trafic des sous-réseaux IPv6 avec lesquels le périphérique veut communiquer.
Pour visualiser les acheminements IPv6 :
Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Routes IPv6.
Cette rubrique affiche les champs suivants :
•
Préfixe IPv6 : préfixe de l'adresse de la route IP pour l'adresse de sous-réseau IPv6 de
destination.
•
Longueur du préfixe : longueur du préfixe d'acheminement IP pour l'adresse de sousréseau IPv6 de destination. Il est précédé d'une barre oblique.
•
Interface sortante : interface utilisée pour réacheminer le paquet.
•
Saut suivant : type d'adresse vers laquelle le paquet est transféré. En général, il s'agit
de l'adresse d'un routeur du voisinage. Les types suivants sont disponibles :
-
Liaison locale : une interface IPv6 et une adresse IPv6 qui identifient uniquement
des hôtes sur une liaison de réseau unique. Une adresse de liaison locale possède le
préfixe FE80, ne peut pas être routée et ne peut être utilisée pour la communication
que sur le réseau local. Une seule adresse locale de liaison est possible. S'il existe
une adresse locale de liaison sur l'interface, cette saisie remplacera l'adresse dans la
configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
-
Point-to-Point (Point à point) : un tunnel point à point.
•
Métrique : valeur utilisée pour comparer cet acheminement à d'autres acheminements
vers la même destination dans la table des routeurs IPv6. Tous les acheminements par
défaut ont la même valeur.
•
Durée de vie : laps de temps durant lequel le paquet peut être envoyé et renvoyé, avant
sa suppression.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
335
16
Configuration IP
Interfaces et gestion IPv6
•
Type d'acheminement : mode de rattachement de la destination et méthode utilisée
pour obtenir l'entrée. Les valeurs sont les suivantes :
-
S (Statique) : l'entrée a été configurée manuellement par un utilisateur.
-
I (Redirection ICMP) : l'entrée est un acheminement dynamique de
redirection ICMP reçu d'un routeur IPv6 via des messages de redirection ICMP.
-
ND (Annonce de routeur) : l'entrée est récupérée dans un message d'annonce de
routeur.
ÉTAPE 1 Pour ajouter un nouvel acheminement, cliquez sur Ajouter, puis renseignez les champs décrits
ci-dessus. Renseignez également le champ suivant :
•
Adresse IPv6 : ajoutez l'adresse IPv6 du nouvel acheminement.
ÉTAPE 2 Cliquez sur Appliquer pour enregistrer les modifications.
Relais DHCPv6
Cette section couvre les sujets suivants :
•
Destinations globales
•
Paramètres d'interface
Le relais DHCPv6 est utilisé pour transférer des messages DHCPv6 vers des
serveurs DHCPv6. Il est défini dans RFC 3315.
Lorsque le client DHCPv6 n'est pas directement connecté au serveur DHCPv6, un agent de
relais DHCPv6 (le périphérique) auquel ce client DHCPv6 est directement connecté encapsule
les messages reçus du client DHCPv6 directement connecté et les transfère au
serveur DHCPv6.
Dans le sens inverse, l'agent de relais décapsule les paquets reçus du serveur DHCPv6 et les
transfère au client DHCPv6.
L'utilisateur doit configurer la liste des serveurs DHCP vers lesquels des paquets sont
transférés. Vous pouvez configurer deux groupes de serveurs DHCPv6 :
336
•
Destinations globales : les paquets sont toujours relayés vers ces serveurs DHCPv6.
•
Interface List (Liste d'interfaces) : il s'agit d'une liste de serveurs DHCPv6 par
interface. Lorsqu'un paquet DHCPv6 est reçu sur une interface, le paquet est relayé
vers les serveurs de la liste d'interfaces (si existante) et les serveurs de la liste de
destinations globales.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Interfaces et gestion IPv6
Dépendances envers les autres fonctions
Les fonctions de client DHCPv6 et de relais DHCPv6 s'excluent mutuellement sur une
interface.
Destinations globales
Pour configurer une liste de serveurs DHCPv6 vers laquelle tous les paquets DHCPv6 sont
relayés :
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Relais DHCPv6 >
Destinations globales.
ÉTAPE 2 Pour ajouter un serveur DHCPv6 par défaut, cliquez sur Ajouter.
ÉTAPE 3 Renseignez les champs suivants :
•
Type d'adresse IPv6 : saisissez le type de l'adresse de destination vers laquelle les
messages client sont transférés. Le type d'adresse peut être Liaison locale, Global ou
Multidiffusion (All_DHCP_Relay_Agents_and_Servers).
•
DHCPv6 Server IP Address (Adresse IP serveur DHCPv6) : saisissez l'adresse du
serveur DHCPv6 vers lequel les paquets sont transférés.
•
IPv6 Interface (Interface IPv6) : saisissez l'interface de destination sur laquelle les
paquets sont transmis lorsque le type d'adresse du serveur DHCPv6 est Link Local
(Liaison locale) ou Multicast (Multidiffusion). Il peut s'agir d'un LAG, d'un VLAN ou
d'un tunnel.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Paramètres d'interface
Pour activer la fonction de relais DHCPv6 sur une interface et pour configurer une liste de
serveurs DHCPv6 vers lesquels les paquets DHCPv6 sont relayés, lorsque ceux-ci sont reçus
sur cette interface.
ÉTAPE 1 Cliquez sur Configuration IP > Interfaces et gestion IPv6 > Relais DHCPv6 > Paramètres
d'interface.
ÉTAPE 2 Pour activer DHCPv6 sur une interface et ajouter en option un serveur DHCPv6 pour une
interface, cliquez sur Ajouter.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
337
16
Configuration IP
Système de noms de domaine
Renseignez les champs suivants :
•
Interface source : sélectionnez l'interface (port, LAG, VLAN ou tunnel) pour laquelle
le relais DHCPv6 est activé.
•
Use Global Destinations Only (Utiliser seulement des destinations globales) :
sélectionnez cette option pour transférer des paquets uniquement vers les serveurs de
destinations globales DHCPv6.
•
Type d'adresse IPv6 : saisissez le type de l'adresse de destination vers laquelle les
messages client sont transférés. Le type d'adresse peut être Liaison locale, Global ou
Multidiffusion (All_DHCP_Relay_Agents_and_Servers).
•
DHCPv6 Server IP Address (Adresse IP serveur DHCPv6) : saisissez l'adresse du
serveur DHCPv6 vers lequel les paquets sont transférés.
•
Destination IPv6 Interface (Interface IPv6 de destination) : saisissez l'interface sur
laquelle les paquets sont transmis lorsque le type d'adresse du serveur DHCPv6 est
Link Local (Liaison locale) ou Multicast (Multidiffusion).
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Système de noms de domaine
Le DNS (Domain Name System, système de noms de domaine) convertit les noms de domaine
en adresses IP en vue de localiser et de gérer des hôtes.
En tant que client DNS, le périphérique convertit les noms de domaine en adresses IP via un
ou plusieurs serveurs DNS configurés.
Paramètres DNS
Utilisez la page Paramètres DNS pour activer la fonction DNS, configurer les serveurs DNS et
définir le domaine par défaut utilisé par le périphérique.
ÉTAPE 1 Cliquez sur Configuration IP > DNS > Paramètres DNS.
ÉTAPE 2 En mode de base, saisissez les paramètres suivants :
•
338
Server Definition (Définition du serveur) : sélectionnez l'une des options ci-dessous
pour définir le serveur DNS :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Système de noms de domaine
-
Par adresse IP : l'adresse IP est saisie pour le serveur DNS.
-
Disabled (Désactivé) : aucun serveur DNS n'est défini.
•
Server IP Address (Adresse IP du serveur) : si vous avez sélectionné By IP Address
(Par adresse IP) ci-dessus, saisissez l'adresse IP du serveur DNS.
•
Nom de domaine par défaut : saisissez le nom de domaine DNS utilisé pour compléter
des noms d'hôte incomplets. Le périphérique ajoute ces informations à tous les noms de
domaine incomplets (NFQDN), afin de les convertir en noms de domaine complets
(FQDN).
REMARQUE N'incluez pas le point initial qui sépare un nom incomplet du nom de
domaine (comme cisco.com).
ÉTAPE 3 En mode avancé, définissez les paramètres suivants :
•
DNS : sélectionnez cette option pour désigner le périphérique comme client DNS et lui
permettre de convertir les noms DNS en adresses IP via un ou plusieurs serveurs DNS
configurés.
•
Polling Retries (Tentatives d'interrogation) : saisissez le nombre de fois où le
périphérique peut envoyer une requête DNS à un serveur DNS avant de conclure que ce
serveur DNS n'existe pas.
•
Polling Timeout (Délai de l'interrogation) : saisissez la durée en secondes pendant
laquelle le périphérique attend une réponse à une requête DNS.
•
Intervalle d'interrogation : saisissez la fréquence (en secondes) à laquelle le
périphérique envoie des paquets de requête DNS lorsque le nombre maximal de
tentatives a été atteint.
-
Valeurs par défaut : cette option permet d'utiliser la valeur par défaut.
Cette valeur = 2*(Polling Retries (Tentatives d'interrogation) + 1)* Polling Timeout
(Délai de l'interrogation)
•
Défini par l'utilisateur : cette option permet de saisir une valeur définie par
l'utilisateur.
Paramètres par défaut : saisissez les paramètres par défaut suivants :
-
Nom de domaine par défaut : saisissez le nom de domaine DNS utilisé pour
compléter des noms d'hôte incomplets. Le périphérique ajoute ces informations à
tous les noms de domaine incomplets (NFQDN), afin de les convertir en noms de
domaine complets (FQDN).
REMARQUE N'incluez pas le point initial qui sépare un nom incomplet du nom de
domaine (comme cisco.com).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
339
16
Configuration IP
Système de noms de domaine
-
Liste de recherche de domaine DHCP : cliquez sur Détails pour afficher la liste des
serveurs DNS configurés sur le périphérique.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
La table de serveur DNS affiche les informations suivantes pour chaque serveur DNS
configuré :
•
Serveur DNS : adresse IP du serveur DNS.
•
Préférence : chaque serveur dispose d'une valeur de préférence ; une valeur plus petite
signifie une plus grande probabilité d'être utilisée.
•
Source : source de l'adresse IP du serveur (statique ou DHCPv4 ou DHCPv6).
•
Interface : interface de l'adresse IP du serveur.
ÉTAPE 5 Vous pouvez définir jusqu'à huit serveurs DNS. Pour ajouter un serveur DNS, cliquez sur
Ajouter.
ÉTAPE 6 Saisissez les paramètres.
•
Version IP : sélectionnez Version 6 pour IPv6 ou Version 4 pour IPv4.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez
l'interface de réception.
•
Adresse IP du serveur DNS : saisissez l'adresse IP du serveur DNS.
•
Préférence : sélectionnez une valeur déterminant l'ordre dans lequel les domaines sont
utilisés (du bas vers le haut). Cette option détermine efficacement l'ordre dans lequel les
noms incomplets sont complétés au cours des requêtes DNS.
ÉTAPE 7 Cliquez sur Appliquer. Le serveur DNS est enregistré dans le fichier de Configuration
d'exécution.
340
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Système de noms de domaine
Liste de recherche
La liste de recherche peut contenir une entrée statique définie par l'utilisateur sur la page
Paramètres DNS et des entrées dynamiques reçues des serveurs DHCPv4 et DHCPv6.
Pour afficher les noms de domaine configurés sur le périphérique, cliquez sur
Configuration IP > DNS > Liste de recherche.
Les champs suivants sont affichés pour chaque serveur DNS configuré sur le périphérique :
•
Nom de domaine : nom de domaine qui peut être utilisé sur le périphérique.
•
Source : source de l'adresse IP du serveur (statique ou DHCPv4 ou DHCPv6) pour ce
domaine.
•
Interface : interface de l'adresse IP du serveur pour ce domaine.
•
Préférence : ordre dans lequel les domaines sont utilisés (du bas vers le haut). Cette
option détermine efficacement l'ordre dans lequel les noms incomplets sont complétés
au cours des requêtes DNS.
Mappage d'hôtes
Les mappages Nom d'hôte/Adresse IP sont enregistrés dans la zone Table de mappage d'hôtes
(cache DNS).
Ce cache peut contenir les types d'entrée suivants :
•
Entrées statiques : paires de mappage qui ont été manuellement ajoutées au cache. Un
maximum de 64 entrées statiques est possible.
•
Entrées dynamiques : paires de mappage qui ont été ajoutées par le système suite à
une utilisation par l'utilisateur ou une entrée pour chaque adresse IP configurée sur le
périphérique par DHCP. Un maximum de 256 entrées dynamiques est possible.
La résolution des noms commence toujours par la vérification des entrées statiques, se
poursuit par la vérification des entrées dynamiques et se termine par l'envoi de demandes au
serveur DNS externe.
Vous pouvez associer huit adresses IP à chaque serveur DNS pour chaque nom d'hôte.
Pour ajouter un nom d'hôte et son adresse IP :
ÉTAPE 1 Cliquez sur Configuration IP > DNS > Mappage d'hôtes.
ÉTAPE 2 Si nécessaire, sélectionnez l'option Effacer la table afin d'effacer certaines entrées ou toutes
les entrées de la Table de mappage d'hôtes.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
341
16
Configuration IP
Système de noms de domaine
•
Statique uniquement : supprime les hôtes statiques.
•
Dynamique uniquement : supprime les hôtes dynamiques.
•
Dynamique et statique : supprime les hôtes statiques et dynamiques.
La Table de mappage d'hôtes contient les champs suivants :
•
Nom d'hôte : nom d'hôte défini par l'utilisateur ou nom complet.
•
IP Address : adresse IP d'hôte.
•
IP Version : version IP de l'adresse IP de l'hôte.
•
Type : une entrée dynamique ou statique dans le cache.
•
État : affiche les résultats des tentatives d'accéder à l'hôte.
-
OK : tentative réussie.
-
Negative Cache (Cache négatif) : tentative échouée, ne réessayez pas.
-
Pas de réponse : pas de réponse mais le système peut effectuer ultérieurement une
nouvelle tentative.
•
TTL (s) : s'il s'agit d'une entrée dynamique, cette option indique sa durée de
conservation dans le cache.
•
TTL restant (s) : s'il s'agit d'une entrée dynamique, cette option indique combien de
temps encore elle va rester dans le cache.
ÉTAPE 3 Pour ajouter un mappage d'hôtes, cliquez sur Ajouter.
ÉTAPE 4 Saisissez les paramètres.
342
•
Version IP : sélectionnez Version 6 pour IPv6 ou Version 4 pour IPv4.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
16
Configuration IP
Système de noms de domaine
•
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, sélectionnez
l'interface de réception.
•
Host Name : saisissez un nom d'hôte défini par l'utilisateur ou un nom complet. Les
noms d'hôte sont limités aux lettres ASCII de A à Z (avec distinction majuscules/
minuscules), les chiffres de 0 à 9, le caractère souligné et le tiret. Le point (.) est utilisé
pour séparer les étiquettes.
•
Adresse IP : saisissez une seule adresse ou jusqu'à huit adresses IP associées (IPv4 ou
IPv6).
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
343
17
Sécurité
Cette section décrit le contrôle d'accès et la sécurité du périphérique. Le système gère
différents types de sécurité.
La liste de rubriques suivante décrit les différents types de fonctions de sécurité présentées
dans cette section. Certaines fonctionnalités sont utilisées pour plusieurs types de sécurité ou
de contrôle et s'affichent donc à plusieurs reprises dans la liste des rubriques présentée cidessous.
L'autorisation d'administrer le périphérique est décrite dans les sections suivantes :
•
Sécurité du mot de passe
•
Méthode d'accès de gestion
•
Authentification de l'accès de gestion
•
Serveur SSL
La protection contre les attaques visant le processeur du périphérique est décrite dans les
sections suivantes :
•
Services TCP/UDP
•
Contrôle des tempêtes
•
Contrôle d'accès
Le contrôle d'accès au réseau des utilisateurs finaux par l'intermédiaire du périphérique est
décrit dans les sections suivantes :
•
Méthode d'accès de gestion
•
RADIUS
•
Sécurité des ports
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
344
17
Sécurité
RADIUS
La protection contre les autres utilisateurs du réseau est décrite dans les sections suivantes. Il
s'agit d'attaques qui transitent par le périphérique, mais qui ne sont pas dirigées vers ce dernier.
•
Prévention du déni de service
•
Serveur SSL
•
Contrôle des tempêtes
•
Sécurité des ports
•
Contrôle d'accès
RADIUS
Les serveurs RADIUS (Remote Authorization Dial-In User Service) offrent un contrôle
d'accès réseau basé sur MAC ou 802.1X centralisé.
Le périphérique peut être configuré en tant que client RADIUS pouvant utiliser un serveur
RADIUS pour fournir une sécurité centralisée, et en tant que serveur RADIUS.
Client RADIUS
Une société peut utiliser le périphérique pour établir un serveur RADIUS (Remote
Authorization Dial-In User Service, service d'authentification à distance des utilisateurs) afin
de fournir un contrôle d'accès réseau basé sur MAC ou 802.1X centralisé à tous ses
périphériques. Ainsi, les stratégies d'authentification et d'autorisation peuvent être traitées sur
un seul serveur pour tous les périphériques de l'entreprise.
Lorsque le périphérique est configuré comme client RADIUS, il peut utiliser le serveur
RADIUS pour les services suivants :
•
Authentification : assure l'authentification des utilisateurs normaux et 802.1X se
connectant au périphérique en utilisant des noms d'utilisateur et des mots de passe
définis par l'utilisateur.
•
Autorisation : effectuée au moment de la connexion. Une fois la session
d'authentification terminée, une session d'autorisation commence en utilisant le nom
d'utilisateur authentifié. Le serveur RADIUS vérifie ensuite les privilèges de
l'utilisateur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
345
17
Sécurité
RADIUS
Comptabilité : activez la gestion de comptes des sessions de connexion à l'aide du serveur
RADIUS. Cela permet à l'administrateur système de générer des rapports de gestion de
comptes depuis le serveur RADIUS. Le port TCP configurable par l'utilisateur utilisé pour la
gestion de comptes du serveur RADIUS est le même port TCP utilisé pour l'authentification et
l'autorisation du serveur RADIUS.
Valeurs par défaut
Les valeurs par défaut suivantes concernent cette fonction :
•
Aucun serveur RADIUS n'est défini par défaut.
•
Si vous configurez un serveur RADIUS, la fonction de gestion de comptes est
désactivée par défaut.
Flux de travail du serveur RADIUS
Pour utiliser un serveur RADIUS, procédez comme suit :
ÉTAPE 1 Ouvrez un compte pour le périphérique sur le serveur RADIUS.
ÉTAPE 2 Configurez ce serveur et les autres paramètres sur les pages RADIUS et Ajouter un serveur
RADIUS.
REMARQUE
Si plusieurs serveurs RADIUS ont été configurés, le périphérique utilise les priorités
configurées des serveurs RADIUS disponibles pour sélectionner le serveur RADIUS à utiliser
par le périphérique.
Pour définir les paramètres du serveur RADIUS :
ÉTAPE 1 Cliquez sur Sécurité > Client RADIUS.
ÉTAPE 2 Saisissez les paramètres RADIUS par défaut, si nécessaire. Les valeurs entrées dans les
Paramètres par défaut sont appliquées à tous les serveurs. Si une valeur n'est pas entrée pour
un serveur spécifique (sur la page Ajouter un serveur RADIUS), le périphérique utilise les
valeurs contenues dans ces champs.
346
•
Retries : saisissez le nombre de demandes transmises qui sont envoyées au serveur
RADIUS avant que le système considère qu'une défaillance s'est produite.
•
Délai de réponse : saisissez le nombre de secondes pendant lesquelles le périphérique
attend une réponse du serveur RADIUS avant de relancer la demande ou de passer au
serveur suivant.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
RADIUS
•
Délai d'inactivité : saisissez le nombre de minutes qui s'écoulent avant qu'un serveur
RADIUS non réactif soit contourné pour les demandes de services. Si la valeur est égale
à 0, le serveur n'est pas contourné.
•
Chaîne de clé : saisissez la chaîne de clé par défaut utilisée pour l'authentification et le
cryptage entre le périphérique et le serveur RADIUS. Cette clé doit correspondre à la
clé configurée sur le serveur RADIUS. Une chaîne de clé est utilisée pour crypter les
communications à l'aide de MD5. Vous pouvez saisir la clé en mode Chiffré ou Texte
en clair. Si vous ne disposez pas de chaîne de clé cryptée (à partir d'un autre
périphérique), saisissez la chaîne de clé en texte en clair et cliquez sur Apply. La chaîne
de clé cryptée est générée et affichée.
Cette clé remplace la chaîne de clé par défaut, si une telle clé a été définie.
•
Interface IPv4 source : sélectionnez l'interface source IPv4 du périphérique à utiliser
dans les messages pour les communications avec le serveur RADIUS.
•
Interface IPv6 source : sélectionnez l'interface IPv6 source du dispositif à utiliser dans
les messages pour les communications avec le serveur RADIUS.
REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source
de l'adresse IP définie dans l'interface sortante.
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres RADIUS par défaut du périphérique sont mis à jour
dans le fichier de Configuration d'exécution.
Pour ajouter un serveur RADIUS, cliquez sur Ajouter.
ÉTAPE 4 Entrez les valeurs dans les champs pour chaque serveur RADIUS. Pour utiliser les valeurs par
défaut entrées sur la page RADIUS, sélectionnez Valeurs par défaut.
•
Définition de serveur : indiquez si vous souhaitez spécifier le serveur RADIUS par son
adresse IP ou son nom.
•
Version IP : sélectionnez la version de l'adresse IP du serveur RADIUS.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
347
17
348
Sécurité
RADIUS
•
Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la
liaison locale du type d'adresse IPv6 est sélectionnée).
•
Nom/Adresse IP du serveur : spécifiez le serveur RADIUS par son adresse IP ou son
nom.
•
Priority : saisissez la priorité du serveur. La priorité détermine l'ordre dans lequel le
périphérique essaie de contacter les serveurs pour authentifier un utilisateur. Le
périphérique commence par le serveur RADIUS ayant la priorité la plus élevée (priorité
zéro).
•
Chaîne de clé : saisissez la chaîne de clé utilisée pour l'authentification et le cryptage
des communications entre le périphérique et le serveur RADIUS. Cette clé doit
correspondre à la clé configurée sur le serveur RADIUS. Vous pouvez la saisir en mode
Chiffré ou Texte en clair. Si l'option Valeurs par défaut est sélectionnée, le
périphérique essaie de s'authentifier sur le serveur RADIUS en utilisant la chaîne de clé
par défaut.
•
Délai de réponse : sélectionnez Défini par l'utilisateur et saisissez le nombre de
secondes pendant lesquelles le périphérique attend une réponse du serveur RADIUS
avant de relancer la demande ou de passer au serveur suivant si le nombre maximal de
tentatives a été atteint. Si l'option Valeurs par défaut est sélectionnée, le périphérique
utilise la valeur de délai par défaut.
•
Port d'authentification : saisissez le numéro de port UDP du port du serveur RADIUS
pour les demandes d'authentification.
•
Tentatives : sélectionnez Défini par l'utilisateur et entrez le nombre de demandes
envoyées au serveur RADIUS avant que l'on considère qu'une défaillance est survenue.
Si l'option Valeurs par défaut est sélectionnée, le périphérique utilise la valeur par
défaut du nombre de tentatives.
•
Délai d'inactivité : sélectionnez Défini par l'utilisateur et saisissez le nombre de
minutes qui doivent s'écouler avant qu'un serveur RADIUS non réactif soit contourné
pour les demandes de services. Si l'option Valeurs par défaut est sélectionnée, le
périphérique utilise la valeur par défaut du délai d'inactivité. Si vous saisissez 0 minute,
aucun délai d'inactivité ne sera appliqué.
•
Type d'utilisation : saisissez le type d'authentification du serveur RADIUS. Les
options sont les suivantes :
-
Connexion : le serveur RADIUS est utilisé pour l'authentification des utilisateurs
qui demandent à administrer le périphérique.
-
802.1X : le serveur RADIUS est utilisé pour l'authentification 802.1x.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Sécurité du mot de passe
-
Tous : le serveur RADIUS est utilisé pour l'authentification des utilisateurs qui
demandent à administrer le périphérique et pour l'authentification 802.1X.
ÉTAPE 5 Cliquez sur Appliquer. La définition du serveur RADIUS est ajoutée au fichier de
Configuration d'exécution du périphérique.
ÉTAPE 6 Pour afficher les données sensibles sous forme de texte en clair sur la page, cliquez sur
Afficher les données sensibles sous forme de texte clair.
Sécurité du mot de passe
Le nom d'utilisateur/mot de passe par défaut est cisco/cisco. Lors de votre première ouverture
de session avec le nom d'utilisateur et le mot de passe par défaut, vous devez saisir un nouveau
mot de passe. L'option obligeant à créer des mots de passe complexes est activée par défaut. Si
le mot de passe que vous choisissez n'est pas suffisamment complexe (les Paramètres de
complexité du mot de passe peuvent être activés sur la page Sécurité du mot de passe), le
système vous invite à créer un autre mot de passe.
Reportez-vous à la section Comptes d'utilisateur pour plus d'informations sur le mode de
création d'un compte utilisateur.
Étant donné que les mots de passe permettent d'authentifier les utilisateurs qui accèdent au
périphérique, les mots de passe trop simples constituent des risques de sécurité potentiels. Par
conséquent, les exigences de complexité du mot de passe sont appliquées par défaut et peuvent
être configurées si nécessaire.
Pour définir les règles de complexité des mots de passe :
ÉTAPE 1 Cliquez sur Sécurité > Sécurité du mot de passe.
ÉTAPE 2 Saisissez les paramètres d'expiration suivants pour les mots de passe :
•
Expiration du mot de passe : si cette option est sélectionnée, l'utilisateur sera invité à
modifier le mot de passe une fois le Délai d'expiration du mot de passe atteint.
•
Délai d'expiration du mot de passe : saisissez la durée en jours à l'issue de laquelle le
système invite l'utilisateur à changer de mot de passe.
REMARQUE L'expiration du mot de passe s'applique aussi aux mots de passe de
longueur nulle (pas de mot de passe).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
349
17
Sécurité
Sécurité du mot de passe
ÉTAPE 3 Sélectionnez Paramètres de complexité du mot de passe afin d'activer les règles de
complexité pour les mots de passe.
Si la complexité du mot de passe est activée, les nouveaux mots de passe doivent être
conformes aux paramètres par défaut suivants :
•
Avoir une longueur minimale de huit caractères.
•
Contenir des caractères appartenant à au moins trois classes de caractères (caractères
majuscules, minuscules, numériques et spéciaux disponibles sur un clavier standard).
•
Être différents du mot de passe actuel.
•
Ne pas contenir de caractère répété plus de trois fois consécutivement.
•
Ne pas répéter ou inverser le nom d'utilisateur ou toute variante obtenue en changeant
la casse des caractères.
•
Ne pas répéter ou inverser le nom du fabricant ou toute variante obtenue en changeant
la casse des caractères.
ÉTAPE 4 Si les Paramètres de complexité du mot de passe sont activés, les paramètres suivants
peuvent être configurés :
•
Minimal Password Length : saisissez le nombre minimum de caractères requis pour
les mots de passe.
REMARQUE Un mot de passe de longueur nulle (pas de mot de passe) est autorisé, et
un délai d'expiration du mot de passe peut lui être attribué.
•
Allowed Character Repetition : saisissez le nombre de fois qu'un caractère peut être
répété.
•
Minimal Number of Character Classes : saisissez le nombre de classes de caractères
qui doivent être présentes dans un mot de passe. Les classes de caractères sont
minuscules (1), majuscules (2), chiffres (3) et symboles ou caractères spéciaux (4).
•
The New Password Must Be Different than the Current One : si cette option est
sélectionnée, lors de la modification du mot de passe, le nouveau mot de passe ne peut
pas être identique au mot de passe actuel.
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres de mot de passe sont écrits dans le fichier de
Configuration d'exécution.
350
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Méthode d'accès de gestion
REMARQUE
Il est possible de configurer l'équivalence nom d'utilisateur-mot de passe et l'équivalence
fabricant-mot de passe via l'interface de ligne de commande (CLI). Pour des instructions
supplémentaires, reportez-vous au Guide de référence de l'interface de ligne de commande
(CLI).
Méthode d'accès de gestion
Cette rubrique décrit les règles d'accès correspondant à diverses méthodes de gestion.
Elle couvre les sujets suivants :
•
Profil d'accès
•
Règles de profils
Les profils d'accès déterminent la façon d'authentifier les utilisateurs et de les autoriser à
accéder au périphérique via différentes méthodes d'accès. Les profils d'accès peuvent limiter
l'accès de gestion à partir de sources spécifiques.
Seuls les utilisateurs qui passent le profil d'accès actif et les méthodes d'authentification de
l'accès de gestion peuvent accéder au périphérique.
Un seul profil d'accès à la fois peut être actif sur le périphérique.
Les profils d'accès contiennent une ou plusieurs règles. Les règles sont exécutées dans l'ordre
c'est-à-dire en fonction de leur priorité dans le profil d'accès (de haut en bas).
Les règles sont composées de filtres qui incluent les éléments suivants :
•
•
Méthodes d'accès : méthodes permettant l'accès au périphérique et sa gestion :
-
Telnet
-
Secure Telnet (SSH)
-
Hypertext Transfer Protocol (HTTP)
-
Secure HTTP (HTTPS)
-
Simple Network Management Protocol (SNMP)
-
Tous les éléments ci-dessus
Action : permet d'autoriser ou de refuser l'accès à une interface ou à une adresse
source.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
351
17
Sécurité
Méthode d'accès de gestion
•
Interface : ports, LAG ou VLAN autorisés à accéder à l'utilitaire de configuration
Web ou interdits d'accès à celui-ci.
•
Adresse IP source : adresses ou sous-réseauxIP. L'accès aux méthodes de gestion peut
différer selon les groupes d'utilisateurs. Par exemple, un groupe d'utilisateurs pourrait
être en mesure d'accéder au module du périphérique uniquement via une session
HTTPS tandis qu'un autre serait en mesure d'y accéder en utilisant des sessions HTTPS
et Telnet.
Profil d'accès
La page Access Profiles affiche les profils d'accès définis et permet de sélectionner un profil
d'accès en tant que profil actif.
Lorsqu'un utilisateur tente d'accéder au périphérique par le biais d'une méthode d'accès, le
périphérique vérifie si le profil d'accès actif autorise explicitement l'accès de gestion au
périphérique via cette méthode. Si aucune correspondance n'est trouvée, l'accès est refusé.
Lorsqu'une tentative d'accès au périphérique s'effectue en violation du profil d'accès actif, le
périphérique génère un message SYSLOG pour en avertir l'administrateur système.
Pour plus d'informations, reportez-vous à la section Règles de profils.
Utilisez la page Access Profiles pour créer un profil d'accès et ajouter sa première règle. Si le
profil d'accès ne contient qu'une seule règle, vous avez terminé. Pour ajouter des règles
supplémentaires au profil, utilisez la page Profile Rules.
ÉTAPE 1 Cliquez sur Sécurité > Méthode d'accès de gestion > Profils d'accès.
Cette page affiche tous les profils d'accès, qu'ils soient actifs ou non.
ÉTAPE 2 Pour modifier le profil d'accès actif, sélectionnez un profil dans le menu déroulant Profil
d'accès actif et cliquez sur Appliquer. Le profil choisi devient alors le profil d'accès actif.
Si vous sélectionnez un autre profil d'accès, un message s'affiche pour vous avertir que, selon
le profil d'accès sélectionné, vous pourriez être déconnecté de l'utilitaire de configuration Web.
ÉTAPE 3 Cliquez sur OK pour sélectionner le profil d'accès actif ou sur Annuler pour abandonner cette
action.
ÉTAPE 4 Cliquez sur Ajouter pour ouvrir la page Ajouter un profil d'accès. Cette page vous permet de
configurer un nouveau profil ainsi qu'une règle.
ÉTAPE 5 Saisissez le Nom du profil d'accès. Ce nom peut comporter jusqu’à 32 caractères.
ÉTAPE 6 Saisissez les paramètres.
352
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Méthode d'accès de gestion
•
Rule Priority : saisissez la priorité des règles. Lorsque le paquet est mis en
correspondance avec une règle, les groupes d'utilisateurs se voient accorder ou refuser
l'accès au périphérique. La priorité des règles est indispensable pour faire correspondre
les paquets aux règles, la correspondance des paquets étant établie sur une base de
première correspondance. La priorité la plus élevée est « 1 ».
•
Management Method : sélectionnez la méthode de gestion pour laquelle la règle est
définie. Les options sont les suivantes :
•
•
•
-
All : affecte toutes les méthodes de gestion à la règle.
-
Telnet : les utilisateurs demandant l'accès au périphérique répondant aux critères du
profil d'accès Telnet se voient autoriser ou refuser l'accès.
-
Telnet sécurisé (SSH) : les utilisateurs demandant l'accès au périphérique répondant
aux critères du profil d'accès SSH se voient autoriser ou refuser l'accès.
-
HTTP : les utilisateurs demandant l'accès au périphérique répondant aux critères du
profil d'accès HTTP se voient autoriser ou refuser l'accès.
-
HTTP sécurisé (HTTPS) : les utilisateurs demandant l'accès au périphérique
répondant aux critères du profil d'accès HTTPS se voient autoriser ou refuser
l'accès.
-
SNMP : les utilisateurs demandant l'accès au périphérique répondant aux critères du
profil d'accès SNMP se voient autoriser ou refuser l'accès.
Action : sélectionnez l'action rattachée à la règle. Les options sont les suivantes :
-
Autoriser : autorise l'accès au périphérique dans la mesure où l'utilisateur
correspond aux paramètres du profil.
-
Refuser : refuse l'accès au périphérique dans la mesure où l'utilisateur correspond
aux paramètres du profil.
Applies to Interface : sélectionnez l'interface rattachée à la règle. Les options sont les
suivantes :
-
All : s'applique à tous les ports, VLAN et LAG.
-
Défini par l'utilisateur : s'applique à l'interface sélectionnée.
Interface : entrez le numéro d'interface si l'option Défini par l'utilisateur a été
sélectionnée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
353
17
Sécurité
Méthode d'accès de gestion
•
Applies to Source IP Address : sélectionnez le type d'adresse IP source auquel le profil
d'accès s'applique. Le champ Adresse IP source est valide pour un sous-réseau.
Sélectionnez l'une des valeurs suivantes :
-
Tout : s'applique à tous les types d'adresses IP.
-
User Defined : s'applique uniquement aux types d'adresses IP définis dans les
champs.
•
Version IP : entrez la version de l'adresse IP source : Version 6 ou Version 4.
•
IP Address : saisissez l'adresse IP source.
•
Mask : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et
saisissez une valeur dans l'un des champs suivants :
-
Masque de réseau : sélectionnez le sous-réseau auquel l'adresse IP source appartient
et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des
points.
-
Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre
d'octets compris dans le préfixe de l’adresse IP source.
ÉTAPE 7 Cliquez sur Appliquer. Le profil d'accès est écrit dans le fichier de Configuration d'exécution.
Vous pouvez à présent sélectionner ce profil d'accès en tant que profil d'accès actif.
Règles de profils
Les profils d'accès peuvent comporter jusqu'à 128 règles afin de déterminer qui est autorisé à
gérer le périphérique ainsi qu'à y accéder et les méthodes d'accès pouvant être utilisées.
Chaque règle d'un profil d'accès comporte une action et des critères (un ou plusieurs
paramètres) à faire correspondre. Une priorité est affectée à chaque règle. Les règles ayant la
priorité la plus basse sont vérifiées en premier. Si le paquet entrant correspond à une règle,
l'action associée à cette dernière est appliquée. Si aucune règle correspondante n'est trouvée
dans le profil d'accès actif, le paquet est abandonné.
Par exemple, vous pouvez limiter l'accès au périphérique depuis toutes les adresses IP à
l'exception de celles qui sont attribuées au centre de gestion informatique. Le périphérique
peut ainsi continuer à être géré tout en bénéficiant d'un autre niveau de sécurité.
354
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Méthode d'accès de gestion
Pour ajouter des règles de profil à un profil d'accès :
ÉTAPE 1 Cliquez sur Sécurité > Méthode d'accès de gestion > Règles de profil.
ÉTAPE 2 Sélectionnez le champ Filtre et un profil d'accès. Cliquez sur Go.
Le profil d'accès sélectionné apparaît dans la Table des règles de profil.
ÉTAPE 3 Cliquez sur Ajouter pour ajouter une règle.
ÉTAPE 4 Saisissez les paramètres.
•
Nom du profil d'accès : sélectionnez un profil d'accès.
•
Rule Priority : saisissez la priorité des règles. Lorsque le paquet est mis en
correspondance avec une règle, les groupes d'utilisateurs se voient accorder ou refuser
l'accès au périphérique. La priorité des règles est indispensable pour faire correspondre
les paquets aux règles, la correspondance des paquets étant établie sur une base de
première correspondance.
•
Management Method : sélectionnez la méthode de gestion pour laquelle la règle est
définie. Les options sont les suivantes :
•
-
All : affecte toutes les méthodes de gestion à la règle.
-
Telnet : les utilisateurs demandant l'accès au périphérique répondant aux critères du
profil d'accès Telnet se voient autoriser ou refuser l'accès.
-
Telnet sécurisé (SSH) : les utilisateurs demandant l'accès au périphérique répondant
aux critères du profil d'accès SSH se voient autoriser ou refuser l'accès.
-
HTTP : affecte un accès HTTP à la règle. Les utilisateurs demandant l'accès au
périphérique répondant aux critères du profil d'accès HTTP se voient autoriser ou
refuser l'accès.
-
HTTP sécurisé (HTTPS) : les utilisateurs demandant l'accès au périphérique
répondant aux critères du profil d'accès HTTPS se voient autoriser ou refuser
l'accès.
-
SNMP : les utilisateurs demandant l'accès au périphérique répondant aux critères du
profil d'accès SNMP se voient autoriser ou refuser l'accès.
Action : sélectionnez l'une des options suivantes :
-
Autoriser : autorise l'accès aux périphériques aux utilisateurs provenant de la
source IP et de l'interface définies dans cette règle.
-
Refuser : refuse l'accès aux périphériques aux utilisateurs provenant de la source IP
et de l'interface définies dans cette règle.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
355
17
Sécurité
Authentification de l'accès de gestion
•
Applies to Interface : sélectionnez l'interface rattachée à la règle. Les options sont les
suivantes :
-
All : s'applique à tous les ports, VLAN et LAG.
-
Défini par l'utilisateur : s'applique uniquement au port, VLAN ou LAG sélectionné.
•
Interface : entrez le numéro d'interface.
•
Applies to Source IP Address : sélectionnez le type d'adresse IP source auquel le profil
d'accès s'applique. Le champ Adresse IP source est valide pour un sous-réseau.
Sélectionnez l'une des valeurs suivantes :
-
Tout : s'applique à tous les types d'adresses IP.
-
User Defined : s'applique uniquement aux types d'adresses IP définis dans les
champs.
•
Version IP : sélectionnez la version IP prise en charge pour l'adresse source : IPv6 ou
IPv4.
•
IP Address : saisissez l'adresse IP source.
•
Masque : sélectionnez le format du masque de sous-réseau pour l'adresse IP source et
saisissez une valeur dans l'un des champs :
-
Masque de réseau : sélectionnez le sous-réseau auquel l'adresse IP source appartient
et saisissez le masque de sous-réseau en utilisant un format décimal séparé par des
points.
-
Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre
d'octets compris dans le préfixe de l’adresse IP source.
ÉTAPE 5 Cliquez sur Appliquer. La règle est ajoutée au profil d'accès.
Authentification de l'accès de gestion
Vous pouvez attribuer des modes d'authentification aux diverses méthodes d'accès de gestion,
telles que SSH, console, HTTP et HTTPS. L'authentification peut être effectuée localement ou
sur un serveur RADIUS.
Si l'autorisation est activée, l'identité et les privilèges de lecture/écriture de l'utilisateur font
l'objet d'une vérification. Si l'autorisation n'est pas activée, seule l'identité de l'utilisateur est
vérifiée.
356
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Authentification de l'accès de gestion
La méthode d'autorisation/authentification utilisée est déterminée par l'ordre de sélection des
méthodes d'authentification. Si la première méthode d'authentification n'est pas disponible, la
méthode suivante sera utilisée. Par exemple, si les méthodes d'authentification sélectionnées
sont RADIUS et Local, et que tous les serveurs RADIUS configurés sont interrogés en vertu
de leur ordre de priorité et qu'ils ne répondent pas, l'utilisateur est autorisé/authentifié au
niveau local.
Si l'autorisation est activée et si une méthode d'authentification échoue ou si le niveau de
privilège de l'utilisateur est insuffisant, ce dernier se voit refuser l'accès au périphérique. En
d'autres termes, si l'authentification échoue pour une méthode d'authentification, le
périphérique n'essaie pas d'utiliser la méthode d'authentification suivante et s'arrête.
De la même façon, si l'autorisation n'est pas activée et que l'authentification échoue pour une
méthode, le périphérique arrête la tentative d'authentification.
Pour définir les méthodes d'authentification d'une méthode d'accès :
ÉTAPE 1 Cliquez sur Sécurité > Authentification de l'accès de gestion.
ÉTAPE 2 Renseignez le champ Application (type) de la méthode d'accès de gestion.
ÉTAPE 3 Sélectionnez Autorisation pour activer l'authentification et l'autorisation de l'utilisateur selon
la liste des méthodes décrites ci-dessous. Si vous ne sélectionnez pas le champ, seule
l'authentification est exécutée. Si l'autorisation est activée, les privilèges de lecture/écriture des
utilisateurs font l'objet d'une vérification. Le niveau de privilège est défini sur la page Comptes
d'utilisateur.
ÉTAPE 4 Utilisez les flèches pour déplacer la méthode d'authentification entre la colonne Méthodes
facultatives et la colonne Méthodes sélectionnées. La première méthode sélectionnée
correspond à celle qui sera utilisée en premier.
•
RADIUS : l'utilisateur est autorisé/authentifié sur un serveur RADIUS. Vous devez
avoir configuré un ou plusieurs serveurs RADIUS. Pour que le serveur RADIUS
accorde l'accès à l'utilitaire de configuration Web, ce serveur doit renvoyer cisco-avpair
= shell:priv-lvl=15.
•
Aucun : l'utilisateur est autorisé à accéder au périphérique sans autorisation/
authentification.
•
Locale : le nom d'utilisateur et le mot de passe sont comparés aux données stockées sur
le périphérique local. Ces paires de nom d'utilisateur et mot de passe sont définies sur
la page Comptes d'utilisateur.
REMARQUE La méthode d'authentification Local ou None doit toujours être
sélectionnée en dernier. Toutes les méthodes d'authentification sélectionnées après
Local ou None sont ignorées.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
357
17
Sécurité
Serveur SSL
ÉTAPE 5 Cliquez sur Appliquer. Les méthodes d'authentification sélectionnées sont associées à la
méthode d'accès.
Serveur SSL
Cette section décrit la fonctionnalité SSL (Secure Socket Layer).
Elle couvre les sujets suivants :
•
Présentation de SSL
•
Paramètres d'authentification de serveur SSL
Présentation de SSL
La fonctionnalité SSL (Secure Socket Layer) permet d'ouvrir une session HTTPS sur
l'appareil.
Une session HTTPS peut être ouverte avec le certificat par défaut qui est présent sur l'appareil.
Certains navigateurs génèrent des avertissements lors de l'utilisation d'un certificat par défaut,
car ce certificat n'est pas signé par une autorité de certification (CA, Certification Authority).
Il est recommandé d'utiliser un certificat signé par une CA de confiance.
Pour ouvrir une session HTTPS avec un certificat créé par l'utilisateur, procédez comme suit :
1. Générez un certificat.
2. Demandez que le certificat soit certifié par une CA.
3. Importez le certificat signé dans l'appareil.
Par défaut, le périphérique contient un certificat qui peut être modifié.
HTTPS est activé par défaut.
Paramètres d'authentification de serveur SSL
Il peut être nécessaire de générer un nouveau certificat pour remplacer le certificat par défaut
présent sur l'appareil.
358
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Serveur SSL
Pour créer un certificat :
ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL.
Les informations relatives aux numéros de certificats actifs SSL 1 et 2 apparaissent dans la
Table des clés de serveur SSL. Sélectionnez l'un des champs suivants :
Ces champs sont définis sur la page Modifier, excepté pour les champs suivants :
•
Valide du : spécifie la date à partir de laquelle le certificat est valide.
•
Valide jusqu'au : spécifie la date jusqu'à laquelle le certificat est valide.
•
Source du certificat : spécifie si le certificat a été généré par le système (Autogénéré)
ou l'utilisateur (Défini par l'utilisateur).
ÉTAPE 2 Sélectionnez un certificat actif.
ÉTAPE 3 Cliquez sur Générer une demande de certificat.
ÉTAPE 4 Renseignez les champs suivants :
•
ID de certificat : sélectionnez le certificat actif.
•
Nom courant : spécifie l'adresse IP ou l'URL complète de l'appareil. Si elle n'est pas
indiquée, le système utilisera l'adresse IP la plus basse de l'appareil (lors de la
génération du certificat).
•
Unité organisationnelle : spécifie l'unité organisationnelle ou le nom du service.
•
Nom de l'organisation : spécifie le nom de l'organisation.
•
Lieu : spécifie l'emplacement ou le nom de la ville.
•
État : spécifie le nom de l'état ou de la province.
•
Pays : spécifie le nom du pays.
•
Demande de certificat : affiche la clé créée lorsque vous cliquez sur le bouton
Demande de génération d'un certificat.
ÉTAPE 5 Cliquez sur Générer une demande de certificat. Le système crée alors une clé qui doit être
entrée dans l'autorité de certification (Certification Authority, CA). Copiez-la à partir du
champ Demande de certificat.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
359
17
Sécurité
Serveur SSL
Procédure d'importation d'un certificat :
ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL.
ÉTAPE 2 Cliquez sur Importer le certificat.
ÉTAPE 3 Renseignez les champs suivants :
•
ID de certificat : sélectionnez le certificat actif.
•
Source du certificat : indique que le certificat est défini par l'utilisateur.
•
Certificat : copiez dans le certificat reçu.
•
Importer une paire de clés RSA : sélectionnez cette option pour autoriser la copie
dans la nouvelle paire de clés RSA.
•
Clé publique : copiez dans la clé publique RSA.
•
Clé privée (chiffrée) : sélectionnez et copiez dans la clé privée RSA sous forme
chiffrée.
•
Clé privée (texte en clair) : sélectionnez et copiez dans la clé privée RSA sous forme
de texte en clair.
ÉTAPE 4 Cliquez sur Appliquer pour appliquer les modifications dans la Configuration d'exécution.
ÉTAPE 5 Cliquez sur Afficher les données sensibles sous forme chiffrée pour afficher cette clé sous
forme chiffrée. Une fois que vous avez cliqué sur ce bouton, les clés privées sont écrites dans
le fichier de configuration sous forme chiffrée (dès que vous cliquez sur Appliquer). Lorsque
le texte s'affiche sous forme chiffrée, le bouton devient Afficher les données sensibles sous
forme de texte clair, ce qui vous permet de réafficher le texte en clair.
Le bouton Détails affiche le certificat et la paire de clés RSA. Cela vous permet de copier le
certificat et la paire de clés RSA vers un autre appareil (via la fonction copier/coller). Lorsque
vous cliquez sur Afficher les données sensibles sous forme chiffrée, les clés privées
apparaissent sous forme chiffrée.
Pour créer un nouveau certificat auto-généré sur l'appareil :
ÉTAPE 1 Cliquez sur Sécurité > Serveur SSL > Paramètres d'authentification de serveur SSL.
ÉTAPE 2 Sélectionnez un certificat et cliquez sur Modifier.
360
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Client SSH
ÉTAPE 3 Renseignez les champs suivants :
•
Régénérer la clé RSA : sélectionnez ce champ pour régénérer la clé RSA.
•
Longueur de clé : sélectionnez la longueur de clé requise parmi les options.
•
Nom commun : saisissez un nom commun.
•
Unité organisationnelle : indiquez l'unité organisationnelle liée au certificat.
•
Emplacement : saisissez l'emplacement de l'unité d'organisation pour le certificat.
•
État : saisissez l'état de l'unité d'organisation pour le certificat.
•
Comté : saisissez le comté de l'unité d'organisation pour le certificat.
•
Durée : indiquez la durée de validité du certificat.
ÉTAPE 4 Cliquez sur Appliquer pour appliquer les modifications dans la Configuration d'exécution.
Client SSH
Reportez-vous à la section Sécurité : Client SSH.
Services TCP/UDP
La page Services TCP/UDP active les services TCP ou UDP sur le périphérique, généralement
pour des raisons de sécurité.
Le périphérique fournit les services TCP/UDP suivants :
•
HTTP : activé par défaut
•
HTTPS : activé par défaut en usine
•
SNMP : désactivé par défaut en usine
•
Telnet : désactivé par défaut en usine
•
SSH : désactivé par défaut en usine
Les connexions TCP actives sont également affichées dans cette fenêtre.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
361
17
Sécurité
Services TCP/UDP
Pour configurer les services TCP/UDP :
ÉTAPE 1 Cliquez sur Sécurité > Services TCP/UDP.
ÉTAPE 2 Activez ou désactivez les services TCP/UDP suivants sur les services affichés.
•
Service HTTP : indique si le service HTTP est activé ou désactivé.
•
Service HTTPS : indique si le service HTTPS est activé ou désactivé.
•
Service SNMP : indique si le service SNMP est activé ou désactivé.
•
Service Telnet : indique si le service Telnet est activé ou désactivé.
•
Service SSH : indique si le service serveur SSH est activé ou désactivé.
ÉTAPE 3 Cliquez sur Appliquer. Les services sont écrits dans le fichier de Configuration d'exécution.
La table des services TCP contient les champs suivants pour chaque service :
•
Nom de service : méthode d'accès utilisée par le périphérique pour fournir le
service TCP.
•
Type : protocole IP utilisé par le service.
•
Adresse IP locale : adresse IP locale via laquelle le périphérique propose le service.
•
Port local : port TCP local via lequel le périphérique propose le service.
•
Adresse IP distante : adresse IP de l'appareil distant qui demande le service.
•
Port distant : port TCP de l'appareil distant qui demande le service.
•
État : état du service.
La table des services UDP affiche les informations suivantes :
362
•
Nom de service : méthode d'accès utilisée par le périphérique pour fournir le
service UDP.
•
Type : protocole IP utilisé par le service.
•
Adresse IP locale : adresse IP locale via laquelle le périphérique propose le service.
•
Port local : port UDP local via lequel le périphérique propose le service.
•
Instance d'application : instance de service du service UDP. (Par exemple, lorsque
deux expéditeurs envoient des données vers la même destination.)
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Contrôle des tempêtes
Contrôle des tempêtes
Cette section décrit le contrôle des tempêtes. Elle couvre les sujets suivants :
•
Contrôle des tempêtes
•
Statistiques de contrôle des tempêtes
Lorsque des trames de Diffusion (Broadcast), Multidiffusion (Multicast) ou Monodiffusion
inconnue (Unknown Unicast) sont reçues, elles sont dupliquées et une copie est envoyée à tous
les ports de sortie possibles. Cela signifie dans la pratique qu'elles sont envoyées à tous les
ports appartenant au VLAN approprié. De cette manière, une seule trame d'entrée est convertie
en plusieurs trames, ce qui peut potentiellement occasionner une tempête de trafic.
La protection contre les tempêtes vous permet de limiter le nombre de trames entrant dans le
périphérique et de définir les types de trames pris en compte dans le calcul de cette limite.
Lorsque la fréquence d'images de Diffusion, Multidiffusion ou Monodiffusion inconnue est
supérieure au seuil défini par l'utilisateur, les images reçues au-delà du seuil sont rejetées.
Contrôle des tempêtes
Pour définir le contrôle des tempêtes :
ÉTAPE 1 Cliquez sur Sécurité > Contrôle des tempêtes > Paramètres de contrôle des tempêtes.
ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez le port pour lequel activer le contrôle des tempêtes.
Contrôle des tempêtes de monodiffusion inconnue
•
Storm Control State (État de contrôle des tempêtes) : sélectionnez cette option pour
activer le contrôle des tempêtes sur les paquets de monodiffusion.
•
Seuil de débit : saisissez le débit maximum auquel les paquets inconnus peuvent être
transmis. Cette valeur peut être indiquée en Kbit/s ou en pourcentage de la bande
passante totale disponible.
•
Trap on Storm (Filtre en cas de tempête) : sélectionnez cette option pour appliquer un
filtre lorsqu'une tempête se produit sur un port. Si cette option n'est pas sélectionnée,
aucun filtre n'est envoyé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
363
17
Sécurité
Contrôle des tempêtes
•
Shutdown on Storm (Arrêt en cas de tempête) : sélectionnez cette option pour arrêter
un port lorsqu'une tempête se produit sur celui-ci. Si cette option n'est pas sélectionnée,
le trafic supplémentaire est ignoré.
Contrôle des tempêtes de multidiffusion
•
Storm Control State (État de contrôle des tempêtes) : sélectionnez cette option pour
activer le contrôle des tempêtes sur les paquets de multidiffusion.
•
Multicast Type (Type de multidiffusion) : sélectionnez l'un des types de paquets de
multidiffusion suivants sur lequel implémenter le contrôle des tempêtes :
-
All (Tous) : le contrôle des tempêtes est implémenté sur tous les paquets de
multidiffusion sur le port.
-
Registered Multicast (Clients de multidiffusion enregistrés) : le contrôle des
tempêtes est implémenté uniquement sur les adresses de multidiffusion enregistrées
sur le port.
-
Unregistered Multicast (Clients de multidiffusion non enregistrés) : le contrôle des
tempêtes est implémenté uniquement sur les adresses de multidiffusion non
enregistrées sur le port.
•
Rate Threshold (Seuil de débit) : saisissez le débit maximum auquel les paquets
inconnus peuvent être transmis. Cette valeur peut être indiquée en Kbit/s ou en
pourcentage de la bande passante totale disponible.
•
Trap on Storm (Filtre en cas de tempête) : sélectionnez cette option pour appliquer un
filtre lorsqu'une tempête se produit sur un port. Si cette option n'est pas sélectionnée,
aucun filtre n'est envoyé.
•
Shutdown on Storm (Arrêt en cas de tempête) : sélectionnez cette option pour arrêter
un port lorsqu'une tempête se produit sur celui-ci. Si cette option n'est pas sélectionnée,
le trafic supplémentaire est ignoré.
Contrôle des tempêtes de diffusion
364
•
Storm Control State (État de contrôle des tempêtes) : sélectionnez cette option pour
activer le contrôle des tempêtes sur les paquets de diffusion.
•
Rate Threshold (Seuil de débit) : saisissez le débit maximum auquel les paquets
inconnus peuvent être transmis. Cette valeur peut être indiquée en Kbit/s ou en
pourcentage de la bande passante totale disponible.
•
Trap on Storm (Filtre en cas de tempête) : sélectionnez cette option pour appliquer un
filtre lorsqu'une tempête se produit sur un port. Si cette option n'est pas sélectionnée,
aucun filtre n'est envoyé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Contrôle des tempêtes
•
Shutdown on Storm (Arrêt en cas de tempête) : sélectionnez cette option pour arrêter
un port lorsqu'une tempête se produit sur celui-ci. Si cette option n'est pas sélectionnée,
le trafic supplémentaire est ignoré.
ÉTAPE 4 Cliquez sur Appliquer. Le contrôle des tempêtes est modifié et le fichier de Configuration
d'exécution est mis à jour.
Statistiques de contrôle des tempêtes
Procédure d'affichage des statistiques de contrôle des tempêtes :
ÉTAPE 1 Cliquez sur Sécurité > Contrôle des tempêtes > Statistiques de contrôle des tempêtes.
ÉTAPE 2 Sélectionnez une Interface.
ÉTAPE 3 Indiquez le taux d'actualisation : sélectionnez la fréquence d'actualisation des statistiques. Les
options disponibles sont les suivantes :
•
No Refresh : les statistiques ne sont pas actualisées.
•
15 s : les statistiques sont actualisées toutes les 15 secondes.
•
30 s : les statistiques sont actualisées toutes les 30 secondes.
•
60 s : les statistiques sont actualisées toutes les 60 secondes.
Les statistiques suivantes s'affichent pour le contrôle des tempêtes de diffusion, de
multidiffusion et de monodiffusion inconnue :
•
Type de trafic multidiffusion : (Uniquement pour le trafic multidiffusion) Enregistré
ou Non enregistré.
•
Bytes Passed (Octets transmis) : nombre d'octets reçus.
•
Bytes Dropped (Octets supprimés) : nombre d'octets supprimés en raison du contrôle
des tempêtes.
•
Last Drop Time (Heure de la dernière suppression) : heure à laquelle le dernier octet a
été supprimé.
ÉTAPE 4 Pour effacer tous les compteurs sur toutes les interfaces, cliquez sur Clear All Interfaces
Counters (Effacer les compteurs de toutes les interfaces). Pour effacer tous les compteurs sur
une interface, sélectionnez-la et cliquez sur Effacer les compteurs de l'interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
365
17
Sécurité
Sécurité des ports
Sécurité des ports
REMARQUE
La sécurité des ports ne peut pas être activée sur les ports sur lesquels 802.1X est activé ou sur
les ports qui ont été définis comme destination SPAN.
Vous pouvez accroître la sécurité réseau en limitant l'accès à un port pour des utilisateurs
disposant d'adresses MAC spécifiques. Les adresses MAC peuvent être apprises de façon
dynamique ou configurées de manière statique.
La sécurité des ports surveille les paquets reçus et appris. L'accès aux ports verrouillés est
limité aux utilisateurs disposant d'adresses MAC spécifiques.
La sécurité des ports dispose de quatre modes :
•
Verrouillage classique : toutes les adresses MAC apprises sur le port sont verrouillées
et le port n'apprend aucune nouvelle adresse MAC. Les adresses apprises ne sont pas
soumises à un délai d'expiration ni à un réapprentissage.
•
Verrouillage dynamique limité : le périphérique apprend des adresses MAC jusqu'à
la limite configurée des adresses autorisées. Une fois la limite atteinte, le périphérique
n'apprend pas d'adresses supplémentaires. Dans ce mode, les adresses sont soumises à
un délai d'expiration ainsi qu'à un réapprentissage.
•
Sécuriser de manière permanente : garde les adresses MAC dynamiques actuelles
associées au port (dès lors que la configuration a été enregistrée dans le fichier de
configuration de démarrage) Les nouvelles adresses MAC peuvent être apprises en tant
qu'adresses sécurisées de manière permanente jusqu'au nombre maximal d'adresses
autorisées sur le port. Les opérations de réapprentissage et de délai d'expiration sont
désactivées.
•
Suppression sécur. à la réinitialisation : supprime les adresses MAC dynamiques
actuellement associées au port après la réinitialisation. Les nouvelles adresses MAC
peuvent être apprises en tant qu'adresses supprimées à la réinitialisation (Delete-OnReset) jusqu'au nombre d'adresses autorisées sur le port. Les opérations de
réapprentissage et de délai d'expiration sont désactivées.
Lorsqu'une trame d'une nouvelle adresse MAC est détectée sur un port sur lequel elle n'est pas
autorisée (le port est verrouillé de façon classique et une nouvelle adresse MAC est détectée
ou bien le port est verrouillé de façon dynamique et le nombre maximal des adresses
autorisées a été dépassé), il est fait appel au mécanisme de protection et l'une des actions
suivantes peut s'appliquer :
366
•
La trame est rejetée.
•
La trame est transmise.
•
Le port est fermé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Sécurité des ports
Lorsque l'adresse MAC sécurisée est détectée sur un autre port, la trame est transmise mais
l'adresse MAC n'est pas apprise sur ce port.
Outre l'une de ces actions, vous pouvez également générer des interceptions ainsi qu'en limiter
la fréquence ou le nombre afin d'éviter de surcharger les appareils.
Pour configurer la sécurité des ports :
ÉTAPE 1 Cliquez sur Sécurité > Sécurité des ports.
ÉTAPE 2 Sélectionnez une interface à modifier et cliquez sur Modifier.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez le nom de l'interface.
•
État de l'interface : sélectionnez l'état de verrouillage du port.
•
Learning Mode : sélectionnez le type de verrouillage du port. L'État de l'interface doit
être déverrouillé pour que ce champ puisse être configuré. Le champ Mode
d'apprentissage est uniquement activé si le champ État de l'interface est verrouillé. Pour
modifier le Mode d'apprentissage, État de l'interface doit être désactivé. Une fois ce
mode modifié, vous pouvez rétablir l'état de l'interface. Les options sont les suivantes :
•
-
Verrouillage classique : verrouille immédiatement le port, quel que soit le nombre
d'adresses ayant déjà été apprises.
-
Verrouillage dynamique limité : verrouille le port en supprimant les adresses MAC
dynamiques actuellement associées au port. Le port apprend au maximum le
nombre d'adresses autorisées sur le port. Le réapprentissage et le délai d'expiration
des adresses MAC sont activés.
-
Sécurisé en permanence : conserve les adresses MAC dynamiques actuellement
associées au port et apprend au maximum le nombre d'adresses autorisées sur le port
(défini par l'option Nombre max. d'adresses autorisées). Les opérations de
réapprentissage et de délai d'expiration sont désactivées.
-
Suppression sécur. à la réinitialisation : supprime les adresses MAC dynamiques
actuellement associées au port après la réinitialisation. Les nouvelles adresses MAC
peuvent être apprises en tant qu'adresses supprimées à la réinitialisation (Delete-OnReset) jusqu'au nombre d'adresses autorisées sur le port. Les opérations de
réapprentissage et de délai d'expiration sont désactivées.
Nombre max. d'adresses autorisées : saisissez le nombre maximum d'adresses MAC
pouvant être apprises sur le port dans la mesure où le mode d'apprentissage Verrouillage
dynamique limité est sélectionné. Le chiffre 0 indique que seules les adresses statiques
sont prises en charge dans l'interface.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
367
17
Sécurité
Authentification 802.1X
•
Action en cas de violation : sélectionnez l'action à appliquer aux paquets qui arrivent
sur un port verrouillé. Les options sont les suivantes :
-
Abandonner : supprime les paquets en provenance d'une source non apprise.
-
Transférer : transfère les paquets en provenance d'une source inconnue sans
apprendre l'adresse MAC.
-
Arrêter : abandonne les paquets en provenance d'une source non apprise et ferme le
port. Le port reste fermé jusqu'à ce qu'il soit réactivé ou jusqu'à ce que le
périphérique soit réinitialisé.
•
« Trap » : sélectionnez cette option pour activer les messages « trap » lorsqu'un paquet
est reçu sur un port verrouillé. Ceci est approprié pour les violations de verrouillage.
Pour le Verrouillage classique, ceci correspondra à toute nouvelle adresse reçue. Pour
le Verrouillage dynamique limité, cela correspondra à toute nouvelle adresse qui
dépassera le nombre des adresses autorisées.
•
Fréquence du/des message(s) « trap » : saisissez la durée minimale qui s'écoulera
entre deux messages « trap ».
ÉTAPE 4 Cliquez sur Appliquer. La sécurité des ports est modifiée et le fichier de Configuration
d'exécution est mis à jour.
Authentification 802.1X
Reportez-vous au chapitre Sécurité : Authentification 802.1X pour obtenir de plus amples
informations sur l'authentification 802.1x.
Prévention du déni de service
Le déni de service (DoS) est une tentative de piratage visant à rendre le périphérique
indisponible pour les utilisateurs.
Les attaques DoS saturent le périphérique avec des demandes de communication externes, de
telle manière que le périphérique ne peut pas répondre au trafic légitime. Ces attaques
provoquent souvent la surcharge du processeur du périphérique.
368
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Prévention du déni de service
•
Adresses martiennes
•
Filtrage SYN
•
Protection du débit SYN
•
Filtrage ICMP
•
Filtrage de fragments IP
Secure Core Technology (SCT)
Une méthode pour contrer les dénis de service (DoS) employée par le périphérique est la
fonction SCT. La fonction SCT est activée par défaut sur le périphérique et ne peut pas être
désactivée.
Le périphérique Cisco est un périphérique avancé qui gère le trafic de gestion, de protocole et
de surveillance, outre le trafic de l'utilisateur final (TCP).
La fonction SCT garantit que le périphérique reçoive et traite le trafic de gestion et de
protocole, quel qu'il soit le trafic reçu. Ceci est possible en limitant le débit du trafic TCP sur le
processeur.
Il n'y a pas d'interactions avec les autres fonctions.
La fonction SCT peut être gérée sur la page Paramètres de la suite de sécurité (bouton Details
[Détails]).
Types d'attaques par déni de service (DoS)
Une attaque par déni de service peut être provoquée de l'une des manières suivantes (parmi
d'autres) :
•
Paquets TCP SYN : une saturation de paquets TCP SYN, souvent avec une adresse
d'expéditeur fausse, peut signifier une attaque. Chacun de ces paquets provoque une
connexion semi-ouverte du périphérique en renvoyant un paquet TCP/SYN-ACK
(confirmation) et en attendant un paquet de réponse en provenance de l'adresse de
l'expéditeur (réponse au paquet ACK). Cependant, étant donné que l'adresse de
l'expéditeur est fausse, la réponse n'arrive jamais. Ces connexions semi-ouvertes
saturent le nombre de connexions disponibles que le périphérique peut effectuer,
l'empêchant ainsi de répondre aux requêtes légitimes. En outre, le nombre de paquets
pouvant être envoyés vers le CPU est limité et le trafic de l'attaque risque d'utiliser la
totalité de ces paquets.
Ces paquets peuvent être bloqués sur la page Protection SYN.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
369
17
Sécurité
Prévention du déni de service
•
Paquets TCP SYN-FIN : des paquets SYN sont envoyés pour créer une connexion
TCP. Les paquets TCP FIN sont envoyés pour fermer une connexion. Un paquet où les
indicateurs SYN et FIN sont définis ne devrait jamais exister. En conséquence, ces
paquets peuvent constituer une attaque au périphérique et doivent être bloqués.
Une définition de ce que constitue une attaque SYN peut être créée sur la page
Protection SYN. Lorsque le périphérique identifie une telle attaque sur une interface,
elle est rapportée sur cette page.
Défense contre les attaques par déni de service (DoS)
La fonctionnalité Prévention du déni de service (DoS) permet à l'administrateur système de
résister aux attaques par déni de service en suivant l'une des méthodes ci-dessous :
•
Activer la protection TCP SYN. Si cette fonctionnalité est activée, des rapports sont
émis lorsqu'une attaque de paquet SYN est identifiée. Une attaque SYN est identifiée
lorsque le nombre de paquets SYN par seconde dépasse le seuil défini par l'utilisateur.
•
Les paquets SYN-FIN peuvent être bloqués.
Dépendances entre les fonctions
Il n'y a aucune dépendance entre cette fonctionnalité et d'autres fonctionnalités.
Configuration par défaut
La fonctionnalité Prévention du déni de service (DoS) est configurée par défaut comme suit :
370
•
La fonctionnalité Prévention du déni de service (DoS) est désactivée par défaut.
•
La protection SYN-FIN est activée par défaut (même si la fonctionnalité Prévention du
déni de service (DoS) est désactivée).
•
Si la protection SYN est activée, la valeur par défaut est Rapport. Le seuil par défaut
est de 30 paquets SYN par seconde.
•
Toutes les autres fonctionnalités de prévention du déni de service (DoS) sont
désactivées par défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Prévention du déni de service
Paramètres de la suite de sécurité
REMARQUE
Avant d'activer la prévention du déni de service (DoS), vous devez supprimer les liaisons de
toutes les listes de contrôle d'accès (ACL, Access Control Lists) et stratégies de QoS avancées
qui sont liées à un port. Les ACL et les stratégies de QoS avancées ne sont pas actives lorsque
la protection contre le déni de service est activée sur un port.
Pour configurer les paramètres globaux de prévention du déni de service et contrôler la
fonction SCT :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Paramètres de suite de sécurité.
Mécanisme de protection du processeur : Activé indique que la fonction SCT est activée.
ÉTAPE 2 Cliquez sur Details (Détails) en regard de CPU Utilization (Utilisation du CPU) pour accéder
à la page Utilisation du processeur et afficher les informations d'utilisation des ressources du
CPU.
ÉTAPE 3 Cliquez sur Edit (Modifier) en regard de TCP SYN Protection (Protection SYN TCP) pour
définir cette fonction.
ÉTAPE 4 Sélectionnez Protection contre les DoS pour activer la fonctionnalité.
•
Désactiver : désactive la fonctionnalité.
•
Protection de niveau système : active la partie de la fonction qui empêche les attaques
de Distribution Stacheldraht, du cheval de Troie Invasor et du cheval de Troie Back
Orifice.
•
Protection de niveau système et de niveau interface : active la partie de la fonction
qui empêche les attaques de Distribution Stacheldraht, du cheval de Troie Invasor et du
cheval de Troie Back Orifice.
ÉTAPE 5 Si vous sélectionnez la Protection de niveau système ou la Protection de niveau système et
de niveau interface, activez une ou plusieurs des options de Protection contre les DoS
suivantes :
•
Distribution Stacheldraht : abandonne les paquets TCP dont le port TCP source
est 16660.
•
Cheval de Troie Invasor : abandonne les paquets TCP dont le port TCP de destination
est 2140 et le port TCP source 1024.
•
Cheval de Troie Back Orifice : abandonne les paquets UDP dont le port UDP de
destination est 31337 et le port UDP source est 1024.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
371
17
Sécurité
Prévention du déni de service
ÉTAPE 6 Cliquez sur les options suivantes selon vos besoins :
•
Martian Addresses (Adresses martiennes) : cliquez sur Edit (Modifier) pour accéder
à la page Adresses martiennes.
•
SYN Filtering (Filtrage SYN) : cliquez sur Edit (Modifier) pour accéder à la page
Filtrage SYN.
•
Protection du débit SYN : (couche 2 uniquement) cliquez sur Modifier pour accéder
à la page Protection du débit SYN.
•
ICMP Filtering (Filtrage ICMP) : cliquez sur Edit (Modifier) pour accéder à la page
Filtrage ICMP.
•
IP Fragmented (IP fragmenté) : cliquez sur Edit (Modifier) pour accéder à la page
Filtrage de fragments IP.
ÉTAPE 7 Cliquez sur Appliquer. Les paramètres de la suite de sécurité de prévention du déni de service
sont écrits dans le fichier de Configuration d'exécution.
Protection SYN
Les ports du réseau risquent d'être utilisés par les pirates pour attaquer le périphérique lors
d'une attaque SYN, ce qui utilise des ressources TCP (tampons) et de l'énergie du CPU.
Étant donné que le CPU est protégé à l'aide de la fonction SCT, le trafic TCP vers le CPU est
limité. Cependant, si un ou plusieurs ports sont attaqués par un grand nombre de paquets SYN,
le CPU reçoit uniquement les paquets du pirate, ce qui crée un déni de service.
Lors de l'utilisation de la fonctionnalité de protection SYN, le processeur compte les paquets
SYN entrants par seconde par chaque port de réseau vers le processeur.
Si le nombre est supérieur au seuil, un message SYSLOG est généré, mais les paquets ne sont
pas bloqués.
Pour configurer la protection SYN :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Protection SYN.
ÉTAPE 2 Saisissez les paramètres.
•
372
Bloquer les paquets SYN-FIN : sélectionnez cette option pour activer la
fonctionnalité. Tous les paquets TCP avec les indicateurs SYN et FIN sont rejetés sur
tous les ports.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Prévention du déni de service
•
Mode de protection SYN : sélectionnez l'un des trois modes ci-dessous :
-
Désactiver : la fonctionnalité est désactivée sur une interface spécifique.
-
Rapport : génère un message SYSLOG. L'état du port bascule vers Attaqué lorsque
le seuil est dépassé.
-
Bloquer et rapporter : lorsqu'une attaque TCP SYN est identifiée, les paquets TCP
SYN destinés au système sont rejetés et l'état du port passe à Bloqué.
•
Seuil de protection SYN : nombre de paquets SYN par seconde avant de bloquer les
paquets SYN (un SYN de déni avec une règle « MAC-to-me » sera appliqué sur le port).
•
Période de protection SYN : délai en secondes avant de débloquer les paquets SYN (le
SYN de déni avec la règle « MAC-to-me » est dissocié du port).
ÉTAPE 3 Cliquez sur Appliquer. La protection SYN est définie et le fichier de Configuration
d'exécution est mis à jour.
La Table des interfaces de protection SYN affiche les champs suivants pour chaque port ou
LAG (en fonction des besoins de l'utilisateur).
•
•
État actuel : état de l'interface. Ce champ peut prendre les valeurs suivantes :
-
Normal : aucune attaque n'a été identifiée sur cette interface.
-
Attaqué : une attaque a été identifiée sur cette interface.
Dernière attaque : date de la dernière attaque SYN-FIN identifiée par le système et
action du système (Rapporté).
Adresses martiennes
La page Martian Addresses (Adresses martiennes) permet de saisir les adresses IP qui
indiquent une attaque si elles sont détectées sur le réseau. Les paquets provenant de ces
adresses sont abandonnés.
Le périphérique prend en charge un ensemble d'adresses martiennes réservées qui sont
incorrectes du point de vue du protocole IP. Les adresses martiennes réservées prises en charge
regroupent les éléments suivants :
•
Les adresses définies comme étant incorrectes sur la page Adresses martiennes.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
373
17
Sécurité
Prévention du déni de service
•
Les adresses qui sont incorrectes du point de vue du protocole (comme les adresses de
bouclage), et notamment les adresses contenues dans les plages suivantes :
-
0.0.0.0/8 (à l'exception de 0.0.0.0/32 en tant qu'adresse source) : les adresses
situées dans ce bloc font référence aux hôtes source de ce réseau.
-
127.0.0.0/8 : utilisée en tant qu'adresse de bouclage d'hôte Internet.
-
192.0.2.0/24 : utilisée en tant que réseau de test TEST-NET dans la documentation
et les exemples de codes.
-
224.0.0.0/4 (en tant qu'adresse IP source) : utilisée dans les affectations
d'adresses de multidiffusion IPv4, anciennement connue sous le nom d'espace
d'adressage de classe D.
-
240.0.0.0/4 (à l'exception de 255.255.255.255/32 en tant qu'adresse de
destination) : plage d'adresses réservées, anciennement connue sous le nom
d'espace d'adressage de classe E.
Vous pouvez également ajouter de nouvelles adresses martiennes pour la protection contre les
DoS. Les paquets présentant une adresse martienne sont abandonnés.
Pour définir des adresses martiennes :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Adresses martiennes.
ÉTAPE 2 Sélectionnez Adresses martiennes réservées et cliquez sur Appliquer pour inclure les
adresses martiennes réservées dans la liste Protection de niveau système.
ÉTAPE 3 Pour ajouter une adresse martienne, cliquez sur Ajouter.
ÉTAPE 4 Saisissez les paramètres.
•
Version IP : indique la version IP prise en charge. À l'heure actuelle, la prise en charge
n'est proposée que pour IPv4.
•
Adresse IP : saisissez une adresse IP à rejeter. Ce champ peut prendre les valeurs
suivantes :
•
-
De la liste réservée : sélectionnez une adresse IP bien connue dans la liste réservée.
-
Nouvelle adresse IP : saisissez une adresse IP.
Masque : saisissez le masque de l'adresse IP pour définir une plage d'adresses IP à
rejeter. Les valeurs disponibles sont les suivantes :
-
374
Masque de réseau : le masque de réseau est présenté dans un format décimal séparé
par des points.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Prévention du déni de service
-
Longueur du préfixe : saisissez le préfixe de l'adresse IP afin de définir la plage des
adresses IP pour laquelle la Prévention du déni de service sera activée.
ÉTAPE 5 Cliquez sur Appliquer. Les adresses martiennes sont écrites dans le fichier de Configuration
d'exécution.
Filtrage SYN
La page SYN Filtering (Filtrage SYN) permet de filtrer les paquets TCP qui comportent un
indicateur SYN et qui sont destinés à un ou plusieurs ports.
Pour définir un filtre SYN :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage SYN.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez l'interface sur laquelle le filtre est défini.
•
Adresse IPv4 : saisissez l'adresse IP pour laquelle le filtre est défini ou sélectionnez
Toutes les adresses.
•
Masque de réseau : saisissez le masque de réseau pour lequel le filtre est activé au
format d'adresse IP. Renseignez l'une des informations suivantes :
•
-
Masque : le masque de réseau est présenté dans un format décimal séparé par des
points.
-
Longueur du préfixe : saisissez le préfixe de l'adresse IP afin de définir la plage des
adresses IP pour laquelle la Prévention du déni de service sera activée.
Port TCP : sélectionnez le port TCP de destination filtré :
-
Ports connus : sélectionnez un port dans la liste.
-
Défini par l'utilisateur : saisissez un numéro de port.
-
Tous les ports : sélectionnez cette option pour indiquer que tous les ports seront
filtrés.
ÉTAPE 4 Cliquez sur Appliquer. Le filtre SYN est défini et le fichier de Configuration d'exécution est
mis à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
375
17
Sécurité
Prévention du déni de service
Protection du débit SYN
La page SYN Rate Protection (Protection du débit SYN) permet de limiter le nombre de
paquets SYN reçus sur le port d'entrée. Cela permet d'atténuer l'effet d'une saturation SYN sur
les serveurs en limitant, au niveau du débit, le nombre de nouvelles connexions ouvertes pour
gérer les paquets.
Pour définir la protection du débit SYN :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Protection du débit SYN.
Cette page affiche la protection du débit SYN actuellement définie par interface.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez l'interface à partir de laquelle la protection du débit sera
définie.
•
Adresse IP : saisissez l'adresse IP pour laquelle la protection du débit SYN est définie
ou sélectionnez Toutes les adresses. Si vous saisissez l'adresse IP, saisissez également
le masque ou la longueur du préfixe.
•
Masque de réseau : sélectionnez le format du masque de sous-réseau pour l'adresse IP
source et saisissez une valeur dans l'un des champs suivants :
•
-
Masque : sélectionnez le sous-réseau auquel l'adresse IP source appartient et
saisissez le masque de sous-réseau en utilisant un format décimal séparé par des
points.
-
Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre
d'octets compris dans le préfixe de l’adresse IP source.
Limite du débit SYN : saisissez le nombre des paquets SYN pouvant être reçus.
ÉTAPE 4 Cliquez sur Appliquer. La protection du débit SYN est définie et le fichier de Configuration
d'exécution est mis à jour.
376
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
17
Sécurité
Prévention du déni de service
Filtrage ICMP
La page ICMP Filtering (Filtrage ICMP) permet de bloquer les paquets ICMP en provenance
de certaines sources. Cela peut permettre de réduire la charge du réseau en cas d'attaque ICMP.
Pour définir le filtrage ICMP :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage ICMP.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez l'interface sur laquelle le filtrage ICMP est défini.
•
Adresse IP : saisissez l'adresse IPv4 pour laquelle le filtrage des paquets ICMP est
activé ou sélectionnez Toutes les adresses pour bloquer les paquets ICMP en
provenance de toutes les adresses source. Si vous saisissez l'adresse IP, saisissez
également le masque ou la longueur du préfixe.
•
Masque de réseau : sélectionnez le format du masque de sous-réseau pour l'adresse IP
source et saisissez une valeur dans l'un des champs suivants :
-
Masque : sélectionnez le sous-réseau auquel l'adresse IP source appartient et
saisissez le masque de sous-réseau en utilisant un format décimal séparé par des
points.
-
Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre
d'octets compris dans le préfixe de l’adresse IP source.
ÉTAPE 4 Cliquez sur Appliquer. Le filtrage ICMP est défini et le fichier de Configuration d'exécution
est mis à jour.
Filtrage de fragments IP
La page IP Fragmented (IP fragmenté) permet de bloquer les paquets IP fragmentés.
Pour configurer le blocage IP fragmenté :
ÉTAPE 1 Cliquez sur Sécurité > Prévention du déni de service > Filtrage de fragments IP.
ÉTAPE 2 Cliquez sur Ajouter.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
377
17
Sécurité
Prévention du déni de service
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez l'interface sur laquelle la fragmentation IP est définie.
•
Adresse IP : saisissez un réseau IP à partir duquel les paquets IP fragmentés sont filtrés
ou sélectionnez Toutes les adresses pour bloquer les paquets IP fragmentés en
provenance de toutes les adresses. Si vous saisissez l'adresse IP, saisissez également le
masque ou la longueur du préfixe.
•
Masque de réseau : sélectionnez le format du masque de sous-réseau pour l'adresse IP
source et saisissez une valeur dans l'un des champs suivants :
-
Masque : sélectionnez le sous-réseau auquel l'adresse IP source appartient et
saisissez le masque de sous-réseau en utilisant un format décimal séparé par des
points.
-
Longueur du préfixe : sélectionnez la longueur du préfixe et saisissez le nombre
d'octets compris dans le préfixe de l’adresse IP source.
ÉTAPE 4 Cliquez sur Appliquer. La fragmentation IP est définie et le fichier de Configuration
d'exécution est mis à jour.
378
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Cette section décrit l'authentification 802.1X.
Elle couvre les rubriques suivantes :
•
Présentation
•
Propriétés
•
Authentification des ports
•
Authentification hôtes et sessions
•
Hôtes authentifiés
Présentation
L'authentification 802.1x empêche les clients non autorisés de se connecter à un réseau LAN
par le biais de ports accessibles à la publicité. L'authentification 802.1x est un modèle clientserveur. Dans ce modèle, les périphériques réseau ont les rôles spécifiques suivants.
•
Client ou demandeur
•
Authentificateur
•
Serveur d'authentification
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
379
18
Sécurité : Authentification 802.1X
Présentation
Il est décrit dans la figure ci-dessous :
Client
Serveur
d'authentification
370574
Authentificateur
Client
Sur chaque port, un périphérique réseau peut être un client/demandeur, un authentificateur ou
les deux.
Client ou demandeur
Un client ou un demandeur est un périphérique réseau qui demande accès au LAN. Le client
est connecté à un authentificateur.
Si le client utilise le protocole 802.1x pour l'authentification, il exécute la partie demandeur du
protocole 802.1x et la partie client du protocole EAP.
Authentificateur
Un authentificateur est un périphérique réseau qui fournit des services réseau et auquel les
ports du demandeur sont connectés.
Pour l'authentification 802.1x, l'authentificateur extrait les messages EAP des
messages 802.1x (paquets EAPOL) et les transmet au serveur d'authentification via le
protocole RADIUS.
Les ports sont configurés sur les modes d'authentification. Pour plus d'informations, reportezvous à la section Modes hôte de port.
Serveur d'authentification
Le serveur d'authentification effectue l'authentification du client. Le serveur d'authentification
pour le périphérique est un serveur d'authentification RADIUS avec extensions EAP.
380
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Présentation
Accès ouvert
La fonction Open (Monitoring) Access (Accès (en surveillance) ouvert) facilite la distinction
entre les échecs d'authentification véritables et les échecs causés par une configuration
incorrecte et/ou un manque de ressources dans un environnement 802.1x.
La fonction Open Access (Accès ouvert) permet aux administrateurs système de mieux
comprendre les problèmes de configuration des hôtes qui se connectent au réseau, de surveiller
les situations critiques et de résoudre ces problèmes.
Lorsque la fonction Open Access (Accès ouvert) est activée sur une interface, le commutateur
considère tous les échecs reçus d'un serveur RADIUS comme des réussites et autorise les
stations connectées à l'interface à accéder au réseau quels que soient les résultats de
l'authentification.
La fonction Open Access (Accès ouvert) modifie le paramétrage standard qui consiste à
bloquer le trafic sur un port à authentification jusqu'à la réussite des procédures
d'authentification et d'autorisation. Le comportement d'authentification par défaut est toujours
de bloquer l'ensemble du trafic à l'exception du protocole EAPoL (Extensible Authentication
Protocol over LAN). Toutefois, la fonction Open Access (Accès ouvert) offre à
l'administrateur la possibilité de donner un libre accès à l'ensemble du trafic, même si
l'authentification (802.1X, MAC et/ou Web) est activée.
Lorsque la gestion de comptes RADIUS est activée, vous pouvez consigner les tentatives
d'authentification et obtenir une meilleure visibilité sur les utilisateurs et les appareils qui se
connectent au réseau grâce à une piste d'audit.
Tout se déroule sans impact sur les utilisateurs finaux ni sur les hôtes connectés au réseau.
Vous pouvez activer la fonction Open Access (Accès ouvert) sur la page Authentification des
ports.
États d'authentification du port
L'état d'authentification du port détermine si le client a accès au réseau.
L'état administratif du port peut être configuré sur la page Authentification des ports.
Les valeurs suivantes sont disponibles :
•
Autorisation forcée
L'authentification du port est désactivée et le port transmet tout le trafic conformément
à sa configuration statique sans demander d'authentification. Le commutateur envoie le
paquet EAP 802.1x qui intègre le message de réussite EAP lorsqu'il reçoit le message
de démarrage EAPOL 802.1x.
Il s'agit de l'état par défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
381
18
Sécurité : Authentification 802.1X
Présentation
•
Non-autorisation forcée
L'authentification du port est désactivée et le port transmet tout le trafic via le VLAN
invité et les VLAN non authentifiés. Pour plus d'informations, reportez-vous à la
section Authentification hôtes et sessions. Le commutateur envoie les paquets
EAP 802.1x qui intègrent les messages d'erreur EAP lorsqu'il reçoit les messages de
démarrage EAPOL 802.1x.
•
Auto
Active les authentifications du port conformément au mode hôte configuré et aux
méthodes d'authentification définies sur le port.
Modes hôte de port
Les ports peuvent être configurés sur les modes hôte de port suivants (configurés sur la page
Authentification hôtes et sessions) :
•
Mode Hôte unique
Un port est autorisé s'il y a un client autorisé. Un seul hôte peut être autorisé sur un
port.
Lorsqu'un port n'est pas autorisé et que le VLAN invité est activé, le trafic non balisé
est remappé sur le VLAN invité. Le trafic balisé est abandonné sauf s'il appartient au
VLAN invité ou à un VLAN non authentifié. Si un VLAN invité n'est pas activé sur le
port, seul le trafic balisé appartenant aux VLAN non authentifiés est ponté.
Lorsqu'un port est autorisé, le trafic balisé et non balisé provenant de l'hôte autorisé est
ponté en fonction de la configuration du port d'appartenance au VLAN statique. Le
trafic provenant des autres hôtes est abandonné.
Un utilisateur peut spécifier que le trafic non balisé provenant de l'hôte autorisé doit
être remappé sur un VLAN qui est attribué par un serveur RADIUS au cours du
processus d'authentification. Le trafic balisé est abandonné sauf s'il appartient au
VLAN affecté par RADIUS ou aux VLAN non authentifiés. Vous pouvez définir
l'affectation VLAN RADIUS sur un port via la page Authentification des ports.
•
Mode Hôtes multiples
Un port est autorisé s'il y a au moins un client autorisé.
Lorsqu'un port n'est pas autorisé et qu'un VLAN invité est activé, le trafic non balisé
est remappé sur le VLAN invité. Le trafic balisé est abandonné sauf s'il appartient au
VLAN invité ou à un VLAN non authentifié. Si le VLAN invité n'est pas activé sur un
port, seul le trafic balisé appartenant aux VLAN non authentifiés est ponté.
382
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Présentation
Lorsqu'un port est autorisé, le trafic balisé et non balisé provenant de tous les hôtes
connectés au port est ponté en fonction de la configuration du port d'appartenance au
VLAN statique.
Vous pouvez spécifier que le trafic non balisé provenant du port autorisé doit être
remappé sur un VLAN qui est attribué par un serveur RADIUS au cours du processus
d'authentification. Le trafic balisé est abandonné sauf s'il appartient au VLAN affecté
par RADIUS ou aux VLAN non authentifiés. Vous pouvez définir l'affectation VLAN
RADIUS sur un port via la page Authentification des ports.
•
Mode Sessions multiples
À la différence des modes Hôte unique et Hôtes multiples, un port en mode Sessions
multiples n'a pas d'état d'authentification. Cet état est attribué à chaque client connecté
au port.
Le trafic balisé appartenant à un VLAN non authentifié est toujours ponté, que l'hôte
soit autorisé ou pas.
Le trafic balisé et non balisé qui provient d'hôtes non autorisés n'appartenant pas à un
VLAN non authentifié est remappé sur le VLAN invité s'il est défini et activé sur le
VLAN, ou est abandonné si le VLAN invité n'est pas activé sur le port.
Vous pouvez spécifier que le trafic non balisé provenant du port autorisé doit être
remappé sur un VLAN qui est attribué par un serveur RADIUS au cours du processus
d'authentification. Le trafic balisé est abandonné sauf s'il appartient au VLAN affecté
par RADIUS ou aux VLAN non authentifiés. Vous pouvez définir l'affectation VLAN
RADIUS sur un port via la page Authentification des ports.
Authentification 802.1x
L'authentificateur 802.1x relaie les messages EAP transparents entre les demandeurs 802.1x et
les serveurs d'authentification. Les messages EAP entre les demandeurs et l'authentificateur
sont encapsulés dans les messages 802.1x, et les messages EAP entre l'authentificateur et les
serveurs d'authentification sont encapsulés dans les messages RADIUS.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
383
18
Sécurité : Authentification 802.1X
Présentation
Ce processus est décrit dans la figure ci-dessous :
Figure 1
Authentification 802.1x
Protocole
802.1x
Protocole
RADIUS
Authentificateur
Protocole EAP
Client
Serveur
d'authentification
VLAN invité
Le VLAN invité permet d'accéder aux services qui ne nécessitent pas que les ports ou
appareils demandeurs disposent d'une authentification et d'une autorisation.
Le VLAN invité est le VLAN attribué à un client non autorisé. Vous pouvez configurer le
VLAN invité et un ou plusieurs VLAN non authentifiés sur la page Propriétés.
Le VLAN invité, s'il est configuré, est un VLAN statique doté des caractéristiques suivantes :
•
Il doit être défini manuellement à partir d'un VLAN statique existant.
•
Le VLAN invité ne peut être utilisé en tant que VLAN voix ni en tant que VLAN non
authentifié.
Modes hôte avec VLAN invité
Les modes hôte fonctionnent avec le VLAN invité de la manière suivante :
•
Mode Hôte unique et Hôtes multiples
Le trafic non balisé et le trafic balisé appartenant au VLAN invité arrivant sur un port
non autorisé sont pontés via le VLAN invité. Tout autre trafic est ignoré. Le trafic
appartenant à un VLAN non authentifié est ponté via le VLAN.
384
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Présentation
•
Mode Sessions multiples
Le trafic non balisé et le trafic balisé, n'appartenant pas aux VLAN non authentifiés et
provenant de clients non autorisés, sont attribués au VLAN invité à l'aide de la règle
TCAM et sont pontés via le VLAN invité. Le trafic balisé appartenant à un VLAN non
authentifié est ponté via le VLAN.
Ce mode ne peut pas être configuré sur la même interface avec des VLAN basés sur
une stratégie.
Si l'attribut tunnel-private-group-id est fourni sous forme de nom du VLAN, le VLAN portant
ce nom doit être configuré de manière statique sur le périphérique. Si un ID VLAN (2-4094)
est utilisé dans cet attribut, après l'authentification d'un demandeur, le VLAN sera créé de
façon dynamique.
L'appareil prend en charge le mécanisme d'authentification 802.1X, tel que décrit dans le
standard pour authentifier et autoriser les demandeurs 802.1X.
Mode Violation
En mode Hôte unique, vous pouvez configurer l'action à effectuer lorsqu'un hôte non autorisé
sur un port autorisé tente d'accéder à l'interface. Cela s'effectue sur la page Authentification
hôtes et sessions.
Les options suivantes sont disponibles :
•
Restreindre : génère une interception lorsqu'une station, dont l'adresse MAC n'est pas
l'adresse MAC du demandeur, tente d'accéder à l'interface. La durée minimale entre les
interceptions est de 1 seconde. Ces trames sont transmises, mais leurs adresses sources
ne sont pas apprises.
•
Protéger : ignore les trames dont l'adresse source n'est pas celle du demandeur.
•
Arrêter : ignore les trames dont l'adresse source n'est pas celle du demandeur et ferme
le port.
Vous pouvez aussi configurer le périphérique pour qu'il envoie des interceptions SNMP, avec
une durée minimale configurable entre deux interceptions consécutives. Si secondes = 0, les
interceptions sont désactivées. Si aucune durée minimale n'est spécifiée, la valeur par défaut
utilisée est 1 seconde pour le mode restreindre et 0 pour les autres modes.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
385
18
Sécurité : Authentification 802.1X
Présentation
Période silencieuse
La période silencieuse est une période au cours de laquelle le port (mode Hôte unique ou
Hôtes multiples) ou le client (mode Sessions multiples) ne peut pas effectuer de tentative
d'authentification suite à l'échec d'un échange d'authentification. En mode Hôte unique ou
Hôtes multiples, la période est définie par port ; en mode Sessions multiples, la période est
définie par client. Au cours de la période silencieuse, le commutateur ne peut pas accepter, ni
initialiser les requêtes d'authentification.
Vous pouvez aussi spécifier le nombre maximal de tentatives de connexion avant le début de la
période silencieuse. La valeur 0 indique un nombre illimité de tentatives de connexion.
La durée de la période silencieuse et le nombre maximal de tentatives de connexion peuvent
être définis sur la page Authentification des ports.
Tâches courantes
Flux de travail 1 : activer l'authentification 802.1x sur un port
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Propriétés pour activer globalement
l'authentification 802.1X.
ÉTAPE 2 Activez l'authentification basée sur les ports.
ÉTAPE 3 Sélectionnez la Méthode d'authentification.
ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
ÉTAPE 5 Cliquez sur Sécurité > Authentification 802.1X > Hôtes et sessions.
ÉTAPE 6 Sélectionnez le port souhaité et cliquez sur Modifier.
ÉTAPE 7 Définissez le mode Authentification des hôtes.
ÉTAPE 8 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
ÉTAPE 9 Cliquez sur Sécurité > Authentification 802.1X > Authentification des ports.
ÉTAPE 10 Sélectionnez un port et cliquez sur Edit.
ÉTAPE 11 Définissez le champ Contrôle de port administratif sur Auto.
ÉTAPE 12 Définissez les méthodes d'authentification.
ÉTAPE 13 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
386
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Authentification 802.1X
Présentation
18
Flux de travail 2 : configurer les interceptions
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Propriétés.
ÉTAPE 2 Sélectionnez les interceptions requises.
ÉTAPE 3 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
Flux de travail 3 : configurer l'authentification 802.1x, ou l'authentification MAC ou
Web
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Authentification des ports.
ÉTAPE 2 Sélectionnez le port souhaité et cliquez sur Modifier.
ÉTAPE 3 Renseignez les champs requis pour le port.
Les champs de cette page sont décrits à la section Authentification des ports.
ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
Utilisez le bouton Copier les paramètres pour copier les paramètres d'un port vers un autre.
Flux de travail 4 : configurer la période silencieuse
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Authentification des ports.
ÉTAPE 2 Sélectionnez un port et cliquez sur Edit.
ÉTAPE 3 Saisissez la période silencieuse dans le champ Période silencieuse.
ÉTAPE 4 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
Flux de travail 5 : Pour configurer le VLAN invité :
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Propriétés.
ÉTAPE 2 Sélectionnez Activer dans le champ VLAN invité.
ÉTAPE 3 Sélectionnez le VLAN invité dans le champ ID du VLAN invité.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
387
18
Sécurité : Authentification 802.1X
Propriétés
ÉTAPE 4 Définissez le Délai d'expiration VLAN invité sur Immédiat ou entrez une valeur dans le
champ Défini par l'utilisateur.
ÉTAPE 5 Cliquez sur Appliquer ; le fichier de Configuration d'exécution est mis à jour.
Propriétés
Utilisez la page Properties (Propriétés) pour activer globalement l'authentification du port/du
périphérique. Pour que l'authentification puisse fonctionner, elle doit être activée à la fois
globalement et individuellement sur chaque port.
Pour définir l'authentification basée sur les ports :
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Propriétés.
ÉTAPE 2 Saisissez les paramètres.
•
Authentification basée sur les ports : activez ou désactivez l'authentification basée sur
les ports.
Si cette fonction est désactivée, l'authentification 802.1X est désactivée.
•
•
Méthode d'authentification : sélectionnez les méthodes d'authentification des
utilisateurs. Les options sont les suivantes :
-
RADIUS, aucune : effectue tout d'abord l'authentification des ports en utilisant le
serveur RADIUS. Si aucune réponse n'est reçue du serveur RADIUS (par exemple
s'il n'est pas actif), aucune authentification n'est réalisée et la session est autorisée.
-
RADIUS : authentifie l'utilisateur sur le serveur RADIUS. Si aucune
authentification n'est effectuée, la session n'est pas autorisée.
-
Aucune : n'authentifie pas l'utilisateur. Autorise la session.
VLAN invité : sélectionnez cette option pour permettre l'utilisation d'un VLAN invité
pour les ports non autorisés. Si un VLAN invité est activé, tous les ports non autorisés
se connectent automatiquement au VLAN sélectionné dans le champ ID du VLAN
invité. Si un port est par la suite autorisé, il est supprimé du VLAN invité.
Le VLAN invité peut être défini comme une interface de couche 3 (reçoit une
adresse IP) comme tout autre VLAN. Cependant, la gestion des appareils n'est pas
disponible via l'adresse IP du VLAN invité.
388
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Authentification des ports
•
ID du VLAN invité : sélectionnez le VLAN invité dans la liste des VLAN.
•
Délai d'expiration VLAN invité : choisissez l'option Immédiat ou saisissez une
valeur dans Défini par l'utilisateur. Cette valeur est utilisée comme suit :
Une fois la connexion établie, si le logiciel ne détecte pas le demandeur 802.1X ou si
l'authentification a échoué, le port est ajouté au VLAN invité mais seulement lorsque
le Délai d'expiration VLAN invité a expiré.
Si l'état du port passe d'Autorisé à Non autorisé, le port est ajouté au VLAN invité,
mais seulement lorsque le délai d'expiration du VLAN invité a expiré.
•
Paramètres d'interception : pour activer les interceptions, sélectionnez au moins une
des options suivantes :
-
Interceptions d'échec d'authentification 802.1x : sélectionnez cette option pour
générer une interception si l'authentification 802.1x échoue.
-
Interceptions de réussite d'authentification 802.1x : sélectionnez cette option pour
générer une interception si l'authentification 802.1x réussit.
ÉTAPE 3 Cliquez sur Appliquer. Les propriétés 802.1X sont écrites dans le fichier de Configuration
d'exécution.
Authentification des ports
La page Port Authentication (Authentification des ports) permet de définir les paramètres pour
chaque port. Puisque certaines modifications de la configuration ne sont possibles que si le
port a l'état Autorisation forcée (par exemple, l'authentification des hôtes), il est recommandé
de changer le contrôle du port en Autorisation forcée avant d'effectuer des modifications. Une
fois la configuration terminée, rétablissez l'état précédent du contrôle de port.
REMARQUE
Un port sur lequel 802.1X est défini ne peut pas devenir membre d'un LAG.
L'authentification 802.1X et la sécurité des ports ne peuvent pas être activées sur le même port
simultanément. Si vous activez la sécurité des ports sur une interface, le Contrôle de port
administratif ne peut pas être défini sur le mode Auto.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
389
18
Sécurité : Authentification 802.1X
Authentification des ports
Pour définir l'authentification 802.1X :
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Authentification des ports.
ÉTAPE 2 Cette page affiche les paramètres d'authentification de tous les ports. Sélectionnez un port et
cliquez sur Modifier.
ÉTAPE 3 Saisissez les paramètres.
390
•
Interface : sélectionnez un port .
•
Contrôle de port actuel : affiche l'état actuel de l'autorisation du port. Si l'état est
Autorisé, le port est authentifié ou le Contrôle de port administratif est en Autorisation
forcée. À l'inverse, si l'état est Non autorisé, le port est non authentifié ou le Contrôle
de port administratif est en Non-autorisation forcée. Si l'option demandeur est activée
sur une interface, le contrôle de port actuel sera Demandeur.
•
Contrôle de port administratif : affiche l'état d'autorisation du port administratif. Les
options sont les suivantes :
-
Non-autorisation forcée : refuse l'accès à l'interface en passant cette dernière en
mode non autorisé. Le périphérique ne fournit pas de services d'authentification au
client via l'interface.
-
Automatique : active l'authentification et l'autorisation basées sur les ports sur le
périphérique. L'interface bascule entre un état autorisé ou non autorisé en fonction
de l'échange d'authentification entre le périphérique et le client.
-
Autorisation forcée : autorise l'interface sans authentification.
•
VLAN invité : sélectionnez cette option pour permettre l'utilisation d'un VLAN invité
pour les ports non autorisés. Si un VLAN invité est activé, le port non autorisé rejoint
automatiquement le VLAN sélectionné dans le champ Guest VLAN ID (ID du VLAN
invité) de la page Authentification des ports. Après un échec d'authentification et si le
VLAN invité est activé globalement sur un port donné, le VLAN invité est
automatiquement attribué aux ports non autorisés en tant que VLAN non balisé.
•
Réauthentification périodique : sélectionnez cette option pour autoriser les tentatives
de réauthentification du port une fois la Période de réauthentification spécifiée expirée.
•
Reauthentication Period : saisissez le délai (en secondes) au bout duquel le port
sélectionné est réauthentifié.
•
Réauthentifier maintenant : sélectionnez cette option pour permettre la
réauthentification immédiate du port.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Authentification des ports
•
Authenticator State : affiche l'état défini de l'autorisation du port. Les options sont les
suivantes :
-
Initialiser : processus de démarrage.
-
Force-Authorized : l'état du port contrôlé est défini sur Force-Authorized (le trafic
est réacheminé).
-
Force-Unauthorized : l'état du port contrôlé est défini sur Force-Unauthorized (le
trafic est abandonné).
REMARQUE Si l'état est du port n'est pas Force-Authorized ou Force-Unauthorized
forcée, il est en Auto Mode et l'authentificateur affiche l'état de l'authentification en
cours. Une fois le port authentifié, l'état indique Authenticated.
•
Période : sélectionnez cette option pour limiter l'authentification à une période
spécifique.
•
Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser.
Les périodes sont définies dans la section Configuration de l'heure système.
•
Nombre d'hôtes max. : saisissez le nombre maximal d'hôtes autorisés dans l'interface.
Sélectionnez Infini pour ne spécifier aucune limite ou Défini par l'utilisateur pour
spécifier une limite.
•
Période silencieuse : saisissez la durée de la période silencieuse.
•
Renvoi d'EAP : saisissez le nombre de secondes pendant lesquelles le périphérique
attend une réponse à une demande/trame d'identité EAP (Extensible Authentication
Protocol) du demandeur (client) avant de renvoyer la demande.
•
Nombre maximum de demandes EAP : saisissez le nombre maximum de
demandes EAP pouvant être envoyées. Si aucune réponse n'est reçue après la période
définie (délai pour demandeur), le processus d'authentification est relancé.
•
Délai d'expiration demandeur : spécifiez le délai (en secondes) à respecter avant que
les demandes EAP soient renvoyées au demandeur.
•
Délai d'expiration serveur : spécifiez le délai (en secondes) à respecter avant que le
périphérique renvoie une demande au serveur d'authentification.
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres des ports sont écrits dans le fichier de Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
391
18
Sécurité : Authentification 802.1X
Authentification hôtes et sessions
Authentification hôtes et sessions
La page Authentification hôtes et sessions permet de définir le mode de fonctionnement
de 802.1X sur le port, ainsi que l'action à réaliser si une violation a été détectée.
Pour obtenir une explication de ces modes, reportez-vous à la section Modes hôte de port.
Pour définir les paramètres 802.1X avancés pour les ports :
ÉTAPE 1 Cliquez sur Sécurité > Authentification 802.1X > Authentification hôtes et sessions.
Les paramètres d'authentification sont décrits pour tous les ports. Tous les champs à
l'exception des suivants sont décrits sur la page Modifier.
•
Nombre de violations : affiche le nombre de paquets qui arrivent sur l'interface en
mode hôte unique en provenance d'un hôte dont l'adresse MAC ne correspond pas à
celle du demandeur.
ÉTAPE 2 Sélectionnez un port et cliquez sur Modifier.
ÉTAPE 3 Saisissez les paramètres.
•
Interface : entrez un numéro de port pour lequel l'authentification des hôtes est activée.
•
Authentification des hôtes : sélectionnez l'un des modes. Ces modes sont décrits cidessus dans la rubrique Modes hôte de port.
Paramètres de violation d'hôte unique (option seulement affichée si l'authentification des
hôtes est définie sur Hôte unique) :
•
Action en cas de violation : sélectionnez l'action à appliquer aux paquets arrivant en
mode session unique/hôte unique en provenance d'un hôte dont l'adresse MAC ne
correspond pas à celle du demandeur. Les options sont les suivantes :
-
Protéger (Abandonner) : abandonne les paquets.
-
Restreindre (Transférer) : transfère les paquets.
-
Arrêter : abandonne les paquets et ferme le port. Les ports restent fermés jusqu'à ce
qu'ils soient réactivés ou jusqu'à ce que le périphérique soit réinitialisé.
•
Message « trap » : sélectionnez cette option pour activer les « traps ».
•
Fréquence des interceptions : définit la fréquence d'envoi des interceptions à l'hôte.
Ce champ ne peut être défini que si plusieurs hôtes sont désactivés.
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont consignés dans le fichier de Configuration
d'exécution.
392
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
18
Sécurité : Authentification 802.1X
Hôtes authentifiés
Hôtes authentifiés
Pour consulter les informations sur les utilisateurs authentifiés, cliquez sur Sécurité >
Authentification 802.1X > Hôtes authentifiés.
Cette rubrique affiche les champs suivants :
•
Nom d'utilisateur : nom des demandeurs authentifiés sur chaque port.
•
Port : numéro du port.
•
Session Time (DD:HH:MM:SS) (Heure de session [JJ:HH:MM:SS]) : durée pendant
laquelle le demandeur a été authentifié et autorisé à accéder au port.
•
Serveur d'authentification : serveur RADIUS.
•
MAC Address : affiche l'adresse MAC du demandeur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
393
19
Sécurité : Gestion sécurisée des données sensibles
Secure Sensitive Data (SSD) est une architecture qui simplifie la protection des données
confidentielles, comme les mots de passe et les clés, sur un appareil. Cette fonctionnalité
utilise les mots de passe, le cryptage, le contrôle d'accès et l'authentification des utilisateurs
afin de fournir une solution sécurisée pour la gestion des données confidentielles.
Elle a été étendue afin de protéger l'intégrité des fichiers de configuration, sécuriser le
processus de configuration et prendre en charge la configuration automatique sans
intervention SSD.
•
Introduction
•
Gestion SSD
•
Règles SSD
•
Propriétés SSD
•
Fichiers de configuration
•
Canaux de gestion SSD
•
Interface de ligne de commande (CLI) et récupération du mot de passe
•
Configuration de SSD
Introduction
SSD protège les données confidentielles présentes sur un appareil, telles que les mots de passe
et les clés, autorise et refuse l'accès aux données confidentielles sous forme chiffrée et de texte
en clair en fonction des informations d'identification de l'utilisateur et des règles SSD, mais
protège également contre toute altération des fichiers de configuration contenant des données
confidentielles.
En outre, SSD permet la sauvegarde et le partage sécurisés des fichiers de configuration qui
contiennent des données confidentielles.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
394
Sécurité : Gestion sécurisée des données sensibles
Gestion SSD
19
SSD offre aux utilisateurs la flexibilité de configurer le niveau de protection souhaité pour
leurs données confidentielles, à savoir aucune protection des données confidentielles sous
forme de texte en clair, une protection minimale avec un cryptage basé sur le mot de passe par
défaut ou une protection améliorée avec un cryptage basé sur le mot de passe défini par
l'utilisateur.
SSD accorde une autorisation en lecture sur les données confidentielles uniquement aux
utilisateurs authentifiés et autorisés, et conformément aux règles SSD. Un appareil authentifie
et autorise l'accès de gestion pour les utilisateurs par l'intermédiaire du processus
d'authentification des utilisateurs.
Que vous utilisiez ou non SSD, il est recommandé que l'administrateur sécurise le processus
d'authentification par l'intermédiaire de la base de données d'authentification locale, et/ou
sécurise la communication vers les serveurs d'authentification externes utilisés dans le
processus d'authentification des utilisateurs.
En résumé, SSD protège les données sensibles sur un appareil à l'aide des règles SSD, des
propriétés SSD et de l'authentification des utilisateurs. Par ailleurs, les règles SSD, les
propriétés SSD et les configurations d'authentification des utilisateurs sur le périphérique sont
elles-mêmes des données protégées par SSD.
Gestion SSD
La gestion SSD inclut un ensemble de paramètres de configuration qui définissent le
traitement et la sécurité des données confidentielles. Les paramètres de configuration SSD
eux-mêmes sont des données confidentielles et sont protégés par SSD.
Toute la configuration de SSD s'effectue via les pages SSD qui sont uniquement disponibles
pour les utilisateurs disposant des autorisations appropriées (reportez-vous à la section Règles
SSD).
Règles SSD
Les règles SSD définissent les autorisations en lecture et le mode de lecture par défaut
attribués à une session utilisateur sur un canal de gestion.
Une règle SSD est identifiée de manière unique par son utilisateur et le canal de gestion SSD.
Il peut y avoir différentes règles SSD pour le même utilisateur mais pour différents canaux.
Inversement, il peut y avoir différentes règles pour le même canal, mais pour différents
utilisateurs.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
395
19
Sécurité : Gestion sécurisée des données sensibles
Règles SSD
Les autorisations de lecture déterminent sous quelle forme les données confidentielles peuvent
être affichées : sous forme chiffrée uniquement, sous forme de texte en clair uniquement, sous
forme chiffrée ou de texte en clair, ou aucune autorisation d'afficher les données
confidentielles. Les règles SSD elles-mêmes sont protégées en tant que données
confidentielles.
Un appareil peut prendre en charge un total de 32 règles SSD.
Un appareil accorde à un utilisateur l'autorisation en lecture SSD de la règle SSD qui
correspond le mieux à l'identité/aux informations d'identification de l'utilisateur et au type de
canal de gestion à partir duquel l'utilisateur accède ou accédera aux données confidentielles.
À l'origine, un appareil comporte un ensemble de règles SSD par défaut. Un administrateur
peut ajouter, supprimer et modifier des règles SSD comme il le souhaite.
REMARQUE
Il se peut qu'un appareil ne puisse pas prendre en charge tous les canaux définis par SSD.
Éléments d'une règle SSD
Une règle SSD inclut les éléments suivants :
•
User type (Type d'utilisateur) : les types d'utilisateurs pris en charge dans l'ordre de
préférence (de la plus haute à la plus basse) sont les suivants : (Si un utilisateur
correspond à plusieurs règles SSD, la règle avec le Type d'utilisateur ayant la
préférence la plus haute sera appliquée).
-
Spécifique : la règle s'applique à un utilisateur spécifique.
-
Utilisateur par défaut (cisco) : la règle s'applique à l'utilisateur par défaut (cisco).
-
Niveau 15 : la règle s'applique aux utilisateurs ayant le niveau de privilège 15.
-
Tous : la règle s'applique à tous les utilisateurs.
•
Nom d'utilisateur : si le type d'utilisateur est Spécifique, un nom d'utilisateur est
requis.
•
Canal : type de canal de gestion SSD auquel la règle s'applique. Les types de canaux
pris en charge sont :
-
396
Sécurisé : spécifie que la règle s'applique uniquement aux canaux sécurisés. Selon
le périphérique, elle peut prendre en charge tous les canaux sécurisés suivants ou
seulement certains d'entre eux :
Interface de port de console, SCP, SSH et HTTPS.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
19
Sécurité : Gestion sécurisée des données sensibles
Règles SSD
•
-
Non sécurisé : spécifie que cette règle s'applique uniquement aux canaux non
sécurisés. Selon le périphérique, elle peut prendre en charge tous les canaux non
sécurisés suivants ou seulement certains d'entre eux :
Telnet, TFTP et HTTP.
-
SNMP XML sécurisé : spécifie que cette règle s'applique uniquement au XML sur
HTTPS ou SNMPv3 avec confidentialité. Un appareil est susceptible de ne pas
prendre en charge tous les canaux XML et SNMP sécurisés.
-
SNMP XML non sécurisé : spécifie que cette règle s'applique uniquement au
XML sur HTTP ou SNMPv1/v2 et SNMPv3 sans confidentialité. Un appareil est
susceptible de ne pas prendre en charge tous les canaux XML et SNMP sécurisés.
Autorisation en lecture : autorisations en lecture associées aux règles. Elles peuvent
être les suivantes :
-
(Basse) Exclure : les utilisateurs ne sont pas autorisés à accéder aux données
confidentielles sous quelque forme que ce soit.
-
(Moyenne) Chiffré uniquement : les utilisateurs sont autorisés à accéder aux
données confidentielles sous forme chiffrée uniquement.
-
(Haute) Texte en clair uniquement : les utilisateurs sont autorisés à accéder aux
données confidentielles sous forme de texte en clair uniquement. Les utilisateurs
sont également autorisés à accéder aux paramètres SSD en lecture et en écriture.
-
(Très haute) Les deux : les utilisateurs ont les autorisations Chiffré et Texte en
clair, et sont autorisés à accéder aux données confidentielles sous forme chiffrée et
de texte en clair. Les utilisateurs sont également autorisés à accéder aux
paramètres SSD en lecture et en écriture.
Chaque canal de gestion permet des autorisations en lecture spécifiques. Elles sont
récapitulées dans le tableau suivant.
Canal de gestion
Options d'autorisation en lecture permises
Sécurisé
Les deux, Chiffré uniquement
Non sécurisé
Les deux, Chiffré uniquement
SNMP XML sécurisé
Exclure, Texte en clair uniquement
SNMP XML non sécurisé
Exclure, Texte en clair uniquement
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
397
19
Sécurité : Gestion sécurisée des données sensibles
Règles SSD
•
Mode de lecture par défaut : tous les modes de lecture par défaut sont sujets à
l'autorisation en lecture de la règle. Les options suivantes sont disponibles, mais
certaines sont susceptibles d'être refusées en fonction de l'autorisation en lecture. Si
l'autorisation en lecture définie par l'utilisateur pour un utilisateur est Exclure (par
exemple), et que le mode de lecture par défaut est Chiffré, l'autorisation en lecture
définie par l'utilisateur s'applique.
-
Exclure : n'autorise pas la lecture des données confidentielles.
-
Chiffré : les données confidentielles sont présentées sous forme chiffrée.
-
Texte en clair : les données confidentielles sont présentées sous forme de texte en
clair.
Chaque canal de gestion permet des autorisations en lecture spécifiques. Elles sont
récapitulées dans le tableau suivant.
Autorisation en lecture
Mode de lecture par défaut autorisé
Exclure
Exclure
Chiffré uniquement
Chiffré*
Texte en clair uniquement
Texte en clair*
Les deux
Texte en clair, Chiffré*
* Le mode de lecture d'une session peut être temporairement modifié sur la page
Propriétés SSD si le nouveau mode de lecture n'enfreint pas l'autorisation en lecture.
REMARQUE
398
Notez les éléments suivants :
•
Le mode de lecture par défaut pour les canaux de gestion SNMP XML sécurisé et
SNMP XML non sécurisé doit être identique à leur autorisation en lecture.
•
L'autorisation en lecture Exclure est uniquement permise pour les canaux de gestion
SNMP XML sécurisé et SNMP XML non sécurisé ; l'autorisation Exclure n'est pas
permise pour les canaux sécurisés et non sécurisés standard.
•
L'exclusion des données confidentielles dans les canaux de gestion SNMP XML
sécurisé et SNMP XML non sécurisé indique que les données confidentielles sont
présentées en tant que 0 (ce qui signifie une chaîne nulle ou numérique 0). Si
l'utilisateur souhaite afficher les données confidentielles, la règle doit être changée en
texte en clair.
•
Par défaut, un utilisateur SNMPv3 ayant des autorisations de canaux confidentiels et
XML-over-secure est considéré comme un utilisateur de niveau 15.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Règles SSD
19
•
Les utilisateurs SNMP sur un canal SNMP et XML non sécurisé (SNMPv1, v2 et v3
sans confidentialité) sont considérés comme Tous les utilisateurs.
•
Les noms de communauté SNMP ne sont pas utilisés comme noms d'utilisateur pour
correspondre aux règles SSD.
•
L'accès d'un utilisateur SNMPv3 spécifique peut être contrôlé en configurant une
règle SSD avec un nom d'utilisateur qui correspond au nom d'utilisateur SNMPv3.
•
Il doit toujours y avoir au moins une règle avec une autorisation en lecture : Texte en
clair uniquement ou Les deux, car seuls les utilisateurs qui disposent de ces
autorisations peuvent accéder aux pages SSD.
•
Les changements apportés au mode de lecture par défaut et aux autorisations en lecture
d'une règle deviennent effectifs et sont appliqués aux utilisateurs concernés et au canal
de toutes les sessions de gestion actives immédiatement, à l'exclusion de la session qui
effectue les changements même si la règle est applicable. Lorsqu'une règle est changée
(ajout, suppression, modification), un système met à jour toutes les sessions CLI/GUI
concernées.
REMARQUE
Lorsque la règle SSD appliquée lors de la connexion à une session est modifiée à partir de cette
session, l'utilisateur doit se déconnecter puis se reconnecter pour voir la modification.
REMARQUE
Lors d'un transfert de fichier initié par une commande XML ou SNMP, le protocole sous-jacent
utilisé est TFTP. Par conséquent, la règle SSD du canal non sécurisé s'appliquera.
Règles SSD et authentification des utilisateurs
SSD accorde une autorisation SSD uniquement aux utilisateurs authentifiés et autorisés, et
conformément aux règles SSD. Un appareil dépend de son processus d'authentification des
utilisateurs pour authentifier et autoriser l'accès de gestion. Pour protéger un appareil et ses
données contre tout accès non autorisé, y compris les données confidentielles et les
configurations SSD, il est recommandé de sécuriser le processus d'authentification des
utilisateurs. Pour sécuriser le processus d'authentification des utilisateurs, vous pouvez utiliser
la base de données d'authentification locale, mais aussi sécuriser la communication via les
serveurs d'authentification externes, tels qu'un serveur RADIUS. La configuration de la
communication sécurisée vers les serveurs d'authentification externes constitue des données
confidentielles et est protégée par SSD.
REMARQUE
Les informations d'identification des utilisateurs contenues dans la base de données
d'authentification locale sont déjà protégées par un mécanisme non lié à SSD.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
399
19
Sécurité : Gestion sécurisée des données sensibles
Règles SSD
Si un utilisateur présent sur un canal exécute une action qui utilise un autre canal, l'appareil
applique l'autorisation en lecture et le mode de lecture par défaut à partir de la règle SSD qui
correspond aux informations d'identification des utilisateurs et à l'autre canal. Par exemple, si
un utilisateur se connecte via un canal sécurisé et démarre une session de chargement TFTP,
l'autorisation en lecture SSD de l'utilisateur sur le canal non sécurisé (TFTP) est appliquée.
Règles SSD par défaut
Les règles par défaut suivantes sont définies pour le périphérique :
Clé de règle
Action de règle
Utilisateur
Canal
Autorisation en
lecture
Mode de lecture par défaut
Niveau 15
SNMP XML
sécurisé
Texte en clair
uniquement
Texte en clair
Niveau 15
Sécurisé
Les deux
Chiffré
Niveau 15
Non sécurisé
Les deux
Chiffré
Tout
SNMP XML non
sécurisé
Exclure
Exclure
Tout
Sécurisé
Chiffré
uniquement
Chiffré
Tout
Non sécurisé
Chiffré
uniquement
Chiffré
Il est possible de modifier les règles par défaut, mais pas de les supprimer. Si les règles par
défaut SSD ont été modifiées, elles peuvent être restaurées.
Remplacement du mode de lecture par défaut SSD de la session
Le système affiche les données confidentielles dans une session, sous forme chiffrée ou de
texte en clair, en fonction de l'autorisation en lecture et du mode de lecture par défaut de
l'utilisateur.
Le mode de lecture par défaut peut être temporairement remplacé tant que cela n'occasionne
pas de conflit avec l'autorisation en lecture SSD de la session. Cette modification est effective
immédiatement dans la session actuelle, jusqu'à ce que l'un des événements suivants se
produise :
400
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Propriétés SSD
19
•
L'utilisateur le change à nouveau.
•
La session est terminée.
•
L'autorisation en lecture de la règle SSD qui est appliquée à l'utilisateur de la session
est modifiée et n'est plus compatible avec le mode de lecture actuel de la session. Dans
ce cas, le mode de lecture de la session redevient le mode de lecture par défaut de la
règle SSD.
Propriétés SSD
Les propriétés SSD sont un ensemble de paramètres qui, conjointement avec les règles SSD,
définissent et contrôlent l'environnement SSD d'un appareil. L'environnement SSD comporte
les propriétés suivantes :
•
Contrôle de la façon dont les données confidentielles sont chiffrées.
•
Contrôle du niveau de sécurité sur les fichiers de configuration.
•
Contrôle de la façon dont les données confidentielles sont affichées dans la session en
actuelle.
Mot de passe
Le mot de passe constitue la base du mécanisme de sécurité dans la fonction SSD. Il permet de
générer la clé de cryptage et de décryptage des données confidentielles. Les appareils qui
possèdent le même mot de passe peuvent déchiffrer mutuellement leurs données sensibles qui
ont été chiffrées avec la clé générée à partir du mot de passe.
Un mot de passe doit respecter les règles suivantes :
•
Longueur : entre 8 et 16 caractères.
•
Classes de caractères : le mot de passe doit comporter au moins un caractère en
majuscule, un caractère en minuscule, un chiffre et un caractère spécial (# ou $, par
exemple).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
401
19
Sécurité : Gestion sécurisée des données sensibles
Propriétés SSD
Mot de passe par défaut et mot de passe défini par l'utilisateur
Tous les appareils disposent d'un mot de passe par défaut qui est transparent pour les
utilisateurs. Le mot de passe par défaut ne s'affiche jamais dans le fichier de configuration ou
la CLI/GUI.
Pour bénéficier d'une meilleure sécurité et d'une meilleure protection, un administrateur doit
configurer SSD sur un appareil, afin qu'il utilise un mot de passe défini par l'utilisateur au lieu
du mot de passe par défaut. Un mot de passe défini par l'utilisateur doit être gardé secret pour
que la sécurité des données confidentielles sur l'appareil ne soit pas compromise.
Un mot de passe défini par l'utilisateur peut être configuré manuellement sous forme de texte
en clair. Il peut aussi être issu d'un fichier de configuration. (Reportez-vous à la section
Configuration automatique sans intervention des données confidentielles.) Un appareil affiche
toujours sous forme chiffrée les mots de passe définis par l'utilisateur.
Mot de passe local
Un appareil conserve un mot de passe local qui est celui de sa configuration d'exécution. SSD
effectue normalement le cryptage et le décryptage des données confidentielles avec la clé
générée à partir du mot de passe local.
Le mot de passe local peut être configuré pour être le mot de passe par défaut ou un mot de
passe défini par l'utilisateur. Par défaut, le mot de passe local et le mot de passe par défaut sont
identiques. Il peut être changé via des actions d'administration à partir de l'interface de ligne de
commande (si disponible) ou de l'interface Web. Il est automatiquement remplacé par le mot
de passe figurant dans le fichier de Configuration de démarrage lorsque la configuration de
démarrage devient la configuration active de l'appareil. Lorsqu'un appareil est réinitialisé à ses
valeurs par défaut, le mot de passe local est réinitialisé au mot de passe par défaut.
Contrôle du mot de passe du fichier de configuration
Le contrôle du mot de passe du fichier constitue une protection supplémentaire pour un mot de
passe défini par l'utilisateur, et les données confidentielles qui sont chiffrées avec la clé
générée à partir du mot de passe défini par l'utilisateur, dans les fichiers de configuration
textuels.
Les modes de contrôle du mot de passe existants sont indiqués ci-après :
•
402
Sans restriction (par défaut) : l'appareil inclut son mot de passe lors de la création d'un
fichier de configuration. Cela permet à tout appareil qui accepte le fichier de
configuration d'apprendre le mot de passe à partir du fichier.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Propriétés SSD
•
19
Restreint : l'appareil empêche l'exportation de son mot de passe vers un fichier de
configuration. Le mode Restreint protège les données confidentielles chiffrées
présentes dans un fichier de configuration contre les appareils qui ne disposent pas de
mot de passe. Ce mode doit être utilisé lorsqu'un utilisateur ne souhaite pas exposer le
mot de passe dans un fichier de configuration.
Une fois qu'un appareil a été réinitialisé à ses valeurs par défaut, son mot de passe local est
réinitialisé au mot de passe par défaut. Ainsi, l'appareil ne pourra plus décrypter les données
confidentielles chiffrées à partir d'un mot de passe défini par l'utilisateur qui a été entré depuis
une session de gestion (GUI/CLI), ou dans tout fichier de configuration avec le mode
Restreint, y compris les fichiers créés par l'appareil lui-même avant qu'il ne soit réinitialisé à
ses valeurs par défaut. Cette situation reste inchangée tant que l'appareil n'est pas
manuellement reconfiguré avec le mot de passe défini par l'utilisateur ou qu'il n'apprend pas le
mot de passe défini par l'utilisateur à partir d'un fichier de configuration.
Contrôle de l'intégrité du fichier de configuration
Un utilisateur peut protéger un fichier de configuration contre toute altération ou modification
en créant le fichier de configuration avec le Contrôle de l'intégrité du fichier de configuration.
Il est recommandé d'activer le Contrôle de l'intégrité du fichier de configuration lorsqu'un
appareil utilise un mot de passe défini par l'utilisateur et que le Contrôle du mot de passe du
fichier de configuration est défini sur Sans restriction.
!
PRÉCAUTION
Toute modification apportée à un fichier de configuration dont l'intégrité est protégée est
considérée comme une altération.
Un appareil détermine si l'intégrité d'un fichier de configuration est protégée en examinant la
commande Contrôle de l'intégrité du fichier dans le bloc de contrôle SSD du fichier. Si la
protection de l'intégrité est définie pour un fichier, mais qu'un appareil détecte que l'intégrité
du fichier n'est pas intacte, l'appareil refuse le fichier. Sinon, le fichier est accepté pour
traitement ultérieur.
Un appareil vérifie l'intégrité d'un fichier de configuration textuel lorsque le fichier est
téléchargé ou copié vers le fichier de Configuration de démarrage.
Mode Lecture
Chaque session comporte un mode de lecture. Il détermine la façon dont les données
confidentielles s'affichent. Le mode de lecture peut être Texte en clair, auquel cas les données
confidentielles apparaissent en texte normal ou Chiffré, auquel cas les données confidentielles
apparaissent sous forme chiffrée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
403
19
Sécurité : Gestion sécurisée des données sensibles
Fichiers de configuration
Fichiers de configuration
Un fichier de configuration contient la configuration d'un appareil. Un appareil comporte un
fichier de Configuration d'exécution, un fichier de Configuration de démarrage, un fichier de
Configuration miroir (facultatif) et un fichier de Configuration de secours. Un utilisateur peut
charger et télécharger un fichier de configuration depuis et vers un serveur de fichiers distant.
Un appareil peut télécharger automatiquement sa configuration de démarrage à partir d'un
serveur de fichiers distant pendant l'étape de configuration automatique via DHCP. Les
fichiers de configuration stockés sur des serveurs de fichiers distants sont appelés des fichiers
de configuration à distance.
Un fichier de Configuration d'exécution contient la configuration actuellement utilisée par un
appareil. La configuration dans un fichier de Configuration de démarrage devient la
configuration d'exécution une fois le redémarrage effectué. Les fichiers de Configuration
d'exécution et de Configuration de démarrage ont un format interne. Les fichiers de
Configuration miroir, de secours et à distance sont des fichiers textuels qui sont généralement
stockés à des fins d'archivage, d'enregistrement ou de récupération. Lors de la copie, du
chargement et du téléchargement d'un fichier de configuration source, un appareil convertit
automatiquement le contenu source dans le format du fichier de destination si les deux fichiers
ont un format différent.
Indicateur SSD de fichier
Lors de la copie du fichier de Configuration d'exécution ou de démarrage dans un fichier de
configuration textuel, l'appareil génère et place l'indicateur SSD de fichier dans le fichier de
configuration textuel pour indiquer si le fichier contient des données confidentielles sous
forme chiffrée, des données confidentielles sous forme de texte en clair, ou s'il exclut les
données confidentielles.
•
L'indicateur SSD, s'il existe, doit se trouver dans le fichier d'en-tête de configuration.
•
Une configuration textuelle qui n'inclut pas d'indicateur SSD ne contient normalement
pas de données confidentielles.
•
L'indicateur SSD permet d'appliquer les autorisations en lecture SSD à des fichiers de
configuration textuels, mais il est ignoré lors de la copie des fichiers de configuration
vers le fichier de Configuration d'exécution ou de démarrage.
L'indicateur SSD dans un fichier est défini conformément à l'instruction de l'utilisateur, au
cours de la copie, pour inclure les données confidentielles sous forme chiffrée ou de texte en
clair, ou exclure les données confidentielles d'un fichier.
404
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Fichiers de configuration
19
Bloc de contrôle SSD
Lorsqu'un appareil crée un fichier de configuration textuel à partir de son fichier de
Configuration de démarrage ou d'exécution, il insère un bloc de contrôle SSD dans le fichier si
un utilisateur demande que le fichier doit inclure les données confidentielles. Le bloc de
contrôle SSD, qui est protégé contre toute altération, contient les règles SSD et les
propriétés SSD de l'appareil qui crée le fichier. Un bloc de contrôle SSD commence et finit
respectivement avec « ssd-control-start » et « ssd-control-end ».
Fichier de Configuration de démarrage
L'appareil prend actuellement en charge la copie depuis les fichiers de Configuration
d'exécution, de secours, miroir et à distance vers un fichier de Configuration de démarrage.
Les configurations définies dans la configuration de démarrage sont effectives et deviennent la
configuration d'exécution une fois le redémarrage effectué. Un utilisateur peut récupérer les
données confidentielles sous forme chiffrée ou de texte en clair à partir d'un fichier de
Configuration de démarrage, sujet à l'autorisation en lecture SSD et au mode de lecture SSD
actuel de la session de gestion.
L'accès en lecture aux données confidentielles dans la configuration de démarrage sous toutes
ses formes est exclu si le mot de passe défini dans le fichier de Configuration de démarrage
diffère du mot de passe local.
SSD ajoute les règles suivantes lors de la copie des fichiers de Configuration de secours,
miroir et à distance vers le fichier de Configuration de démarrage :
•
Une fois qu'un appareil a été réinitialisé à ses valeurs par défaut, toutes ses
configurations y compris les règles et les propriétés SSD sont réinitialisées à leurs
valeurs par défaut.
•
Si un fichier de configuration source contient des données confidentielles chiffrées,
mais pas de bloc de contrôle SSD, l'appareil refuse le fichier source et la copie échoue.
•
S'il n'y a pas de bloc de contrôle SSD dans le fichier de configuration source, la
configuration SSD définie dans le fichier de Configuration de démarrage est
réinitialisée à ses valeurs par défaut.
•
Si un mot de passe est présent dans le bloc de contrôle SSD du fichier de configuration
source, l'appareil refuse le fichier source, et la copie échoue s'il y a des données
confidentielles chiffrées dans le fichier qui ne sont pas chiffrées par la clé générée à
partir du mot de passe dans le bloc de contrôle SSD.
•
S'il y a un bloc de contrôle SSD dans le fichier de configuration source et que le fichier
échoue lors du contrôle d'intégrité SSD et/ou lors du contrôle d'intégrité du fichier,
l'appareil refuse le fichier source et la copie échoue.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
405
19
Sécurité : Gestion sécurisée des données sensibles
Fichiers de configuration
•
S'il n'y a aucun mot de passe dans le bloc de contrôle SSD du fichier de configuration
source, toutes les données confidentielles chiffrées dans le fichier doivent être chiffrées
soit par la clé générée à partir du mot de passe local, soit par la clé générée à partir du
mot de passe par défaut, mais pas par les deux. Sinon, le fichier source est refusé et la
copie échoue.
•
L'appareil configure le mot de passe, le contrôle du mot de passe et l'intégrité du fichier
le cas échéant à partir du bloc de contrôle SSD dans le fichier de configuration source
vers le fichier de Configuration de démarrage. Il configure le fichier de Configuration
de démarrage avec le mot de passe qui est utilisé pour générer la clé permettant de
décrypter les données confidentielles dans le fichier de configuration source. Toutes les
configurations SSD introuvables sont réinitialisées à leurs valeurs par défaut.
•
S'il y a un bloc de contrôle SSD dans le fichier de configuration source et que le fichier
contient des données confidentielles sous forme de texte en clair, à l'exclusion des
configurations SSD dans le bloc de contrôle SSD, le fichier est accepté.
Fichier de Configuration d'exécution
Un fichier de Configuration d'exécution contient la configuration actuellement utilisée par
l'appareil. Un utilisateur peut récupérer les données confidentielles sous forme chiffrée ou de
texte en clair à partir d'un fichier de Configuration d'exécution, sujet à l'autorisation en
lecture SSD et au mode de lecture SSD actuel de la session de gestion. L'utilisateur peut
changer la configuration d'exécution en copiant les fichiers de Configuration de secours ou
miroir, à travers d'autres actions de gestion via CLI, XML, SNMP, etc.
Un appareil applique les règles suivantes lorsqu'un utilisateur change directement la
configuration SSD dans la configuration d'exécution :
406
•
Si l'utilisateur qui a ouvert la session de gestion ne dispose pas des autorisations SSD
(à savoir les autorisations en lecture Les deux ou Texte en clair uniquement), l'appareil
refuse toutes les commandes SSD.
•
En cas de copie à partir d'un fichier source, l'indicateur SSD de fichier, l'intégrité du
bloc de contrôle SSD et l'intégrité du fichier SSD ne sont ni vérifiés ni appliqués.
•
En cas de copie à partir d'un fichier source, la copie échoue si le mot de passe contenu
dans le fichier source est sous forme de texte en clair. Si le mot de passe est chiffré, il
est ignoré.
•
Lors de la configuration directe du mot de passe (pas de copie de fichier), dans la
configuration d'exécution, le mot de passe contenu dans la commande doit être saisi
sous forme de texte en clair. Sinon, la commande est refusée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Fichiers de configuration
•
19
Les commandes de configuration contenant des données confidentielles chiffrées, qui
sont chiffrées avec la clé générée à partir du mot de passe local, sont configurées dans
la configuration d'exécution. Sinon, la commande de configuration échoue et n'est pas
intégrée au fichier de Configuration d'exécution.
Fichier de configuration de secours et miroir
Un appareil génère fréquemment son fichier de Configuration miroir à partir du fichier de
Configuration de démarrage si le service de configuration miroir automatique est activé. Un
appareil génère toujours un fichier de Configuration miroir avec des données confidentielles
chiffrées. Par conséquent, l'indicateur SSD de fichier dans un fichier de Configuration miroir
indique toujours que le fichier contient des données confidentielles chiffrées.
Par défaut, le service de configuration miroir automatique est activé. Pour activer ou
désactiver la configuration miroir automatique, cliquez sur Administration > Gestion des
fichiers > Opérations du microprogramme.
Un utilisateur peut afficher, copier et charger les fichiers complets de Configuration miroir et
de secours, sujets à l'autorisation en lecture SSD, au mode de lecture actuel dans la session et à
l'indicateur SSD de fichier dans le fichier source comme suit :
•
S'il n'y a pas d'indicateur SSD de fichier dans un fichier de configuration miroir ou de
sauvegarde, tous les utilisateurs sont autorisés à accéder au fichier.
•
Un utilisateur disposant de l'autorisation en lecture Les deux peut accéder à tous les
fichiers de Configuration miroir et de secours. Toutefois, si le mode de lecture actuel
de la session est différent de l'indicateur SSD de fichier, l'utilisateur reçoit un message
indiquant que cette action n'est pas autorisée.
•
Un utilisateur disposant de l'autorisation Texte en clair uniquement peut accéder aux
fichiers de Configuration miroir et de secours si leur indicateur SSD de fichier affiche
les données confidentielles Exclure ou Texte en clair uniquement.
•
Un utilisateur disposant de l'autorisation Chiffré uniquement peut accéder aux fichiers
de Configuration miroir et de secours si leur indicateur SSD de fichier affiche les
données confidentielles Exclure ou Chiffré.
•
Un utilisateur disposant de l'autorisation Exclure ne peut pas accéder aux fichiers de
Configuration miroir et de secours si leur indicateur SSD de fichier affiche les données
confidentielles Chiffré ou Texte en clair.
L'utilisateur ne doit pas changer manuellement l'indicateur SSD de fichier en cas de conflit (le
cas échéant) avec les données confidentielles dans le fichier. Sinon, les données
confidentielles sous forme de texte en clair peuvent être exposées de manière inattendue.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
407
19
Sécurité : Gestion sécurisée des données sensibles
Fichiers de configuration
Configuration automatique sans intervention des données confidentielles
La configuration automatique sans intervention SSD est la configuration automatique des
appareils cibles contenant des données confidentielles. Elle ne nécessite pas de préconfigurer
manuellement les appareils cibles avec le mot de passe dont la clé permet de crypter les
données confidentielles.
L'appareil prend actuellement en charge la Configuration automatique, qui est activée par
défaut. Lorsque la Configuration automatique est activée sur un appareil et que l'appareil
reçoit les options DHCP qui spécifient un serveur de fichiers et un fichier de démarrage,
l'appareil télécharge le fichier de démarrage (fichier de configuration à distance) dans le
fichier de Configuration de démarrage à partir d'un serveur de fichiers, puis redémarre.
REMARQUE
Le serveur de fichiers peut être spécifié par les champs bootp siaddr et sname, ainsi que
l'option DHCP 150 et statiquement configuré sur l'appareil.
L'utilisateur peut en toute sécurité configurer automatiquement les appareils cibles contenant
des données confidentielles, en créant d'abord le fichier de configuration qui doit être utilisé
dans la configuration automatique à partir d'un appareil qui contient les configurations.
L'appareil doit être configuré et défini pour :
•
Crypter les données confidentielles dans le fichier
•
Assurer l'intégrité du contenu du fichier
•
Inclure les règles SSD et les commandes de configuration d'authentification sécurisées
qui contrôlent et sécurisent correctement l'accès aux appareils et aux données
confidentielles
Si le fichier de configuration a été généré avec un mot de passe utilisateur et que le contrôle du
mot de passe du fichier SSD est Restreint, le fichier de configuration qui en résulte peut être
configuré automatiquement pour les appareils cibles souhaités. Néanmoins, pour que la
configuration automatique réussisse avec un mot de passe défini par l'utilisateur, les appareils
cibles doivent être préconfigurés manuellement avec le même mot de passe que celui de
l'appareil qui génère les fichiers, ce qui ne correspond donc pas à une configuration sans
intervention.
Si l'appareil qui crée le fichier de configuration est défini sur le mode de contrôle du mot de
passe Sans restriction, l'appareil inclut le mot de passe dans le fichier. Par conséquent,
l'utilisateur peut configurer automatiquement les appareils cibles, y compris les appareils neufs
ou définis à leurs paramètres par défaut, avec le fichier de configuration sans devoir
manuellement préconfigurer les appareils cibles avec le mot de passe. Il s'agit là d'une
configuration sans intervention, car les appareils cibles apprennent le mot de passe
directement à partir du fichier de configuration.
REMARQUE
408
Les appareils neufs ou définis à leurs paramètres par défaut recourent à l'utilisateur anonyme
par défaut pour accéder au serveur SCP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
19
Sécurité : Gestion sécurisée des données sensibles
Canaux de gestion SSD
Canaux de gestion SSD
Les appareils peuvent être gérés via des canaux de gestion comme telnet, SSH et web. SSD
classe les canaux selon les types suivants en fonction de leur sécurité et/ou leurs protocoles :
sécurisé, non sécurisé, SNMP XML sécurisé et SNMP XML non sécurisé.
Le tableau suivant indique si chaque canal de gestion est considéré par SSD comme sécurisé
ou non sécurisé. S'il est non sécurisé, le tableau indique le canal sécurisé parallèle.
Canal de gestion
Type de canal de
gestion SSD
Console
Sécurisé
Telnet
Non sécurisé
SSH
Sécurisé
GUI/HTTP
Non sécurisé
GUI/HTTPS
Sécurisé
XML/HTTP
SNMP XML non
sécurisé
XML/HTTPS
SNMP XML sécurisé
SNMPv1/v2/v3 sans
confidentialité
SNMP XML non
sécurisé
SNMPv3 avec confidentialité
SNMP XML sécurisé
(utilisateurs de
niveau 15)
TFTP
Non sécurisé
SCP (Secure Copy Protocol)
Sécurisé
Transfert de fichier basé sur
HTTP
Non sécurisé
Transfert de fichier basé sur
HTTPS
Sécurisé
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Canal de gestion sécurisé
parallèle
SSH
GUI/HTTPS
XML/HTTPS
SNMP XML sécurisé
SCP
Transfert de fichier basé sur
HTTPS
409
19
Sécurité : Gestion sécurisée des données sensibles
Interface de ligne de commande (CLI) et récupération du mot de passe
Interface de ligne de commande (CLI) et récupération du mot de passe
L'interface de ligne de commande (CLI) est uniquement accessible aux utilisateurs dont les
autorisations en lecture sont Les deux ou Texte en clair uniquement. Les autres utilisateurs n'y
ont pas accès. Les données confidentielles contenues dans l'interface de ligne de commande
(CLI) s'affichent toujours sous forme de texte en clair.
La récupération du mot de passe est actuellement activée à partir du menu de démarrage et
permet à l'utilisateur de se connecter au terminal sans authentification. Si SSD est pris en
charge, cette option est uniquement autorisée lorsque le mot de passe local est identique au
mot de passe par défaut. Si un appareil est configuré avec un mot de passe défini par
l'utilisateur, l'utilisateur ne peut pas activer la récupération du mot de passe.
Configuration de SSD
La configuration de la fonction SSD est décrite aux pages suivantes :
•
Vous pouvez définir les propriétés SSD sur la page Propriétés SSD.
•
Les règles SSD sont définies sur la page Règles SSD.
Propriétés SSD
Seuls les utilisateurs qui disposent de l'autorisation en lecture SSD Texte en clair uniquement
ou Les deux sont autorisés à définir les propriétés SSD.
Pour définir les propriétés SSD globales :
ÉTAPE 1 Cliquez sur Sécurité > Gestion sécurisée des données confidentielles > Propriétés.
Le champ suivant s'affiche :
•
Type de mot de passe local actuel : indique si le mot de passe par défaut ou un mot de
passe défini par l'utilisateur est actuellement utilisé.
ÉTAPE 2 Renseignez les champs Paramètres persistants suivants :
410
•
Contrôle du mot de passe du fichier de configuration : sélectionnez une option,
comme indiqué à la section Contrôle du mot de passe du fichier de configuration.
•
Contrôle de l'intégrité du fichier de configuration : sélectionnez cette fonction pour
l'activer. Reportez-vous à la section Contrôle de l'intégrité du fichier de configuration.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Configuration de SSD
19
ÉTAPE 3 Sélectionnez un mode de lecture pour la session actuelle (reportez-vous à Éléments d'une
règle SSD).
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier Configuration
d'exécution.
Pour changer le mot de passe local :
ÉTAPE 1 Cliquez sur Modifier le mot de passe local, puis entrez un nouveau Mot de passe local :
•
Par défaut : permet d'utiliser le mot de passe par défaut des appareils.
•
Défini par l'utilisateur (texte en clair) : saisissez un nouveau mot de passe.
•
Confirmer le mot de passe : confirmez le nouveau mot de passe.
ÉTAPE 2 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier Configuration
d'exécution.
Configuration des règles SSD
Seuls les utilisateurs qui disposent de l'autorisation en lecture SSD Texte en clair uniquement
ou Les deux sont autorisés à définir les règles SSD.
Pour configurer les règles SSD :
ÉTAPE 1 Cliquez sur Sécurité > Gestion sécurisée des données confidentielles > Règles SSD.
Les règles actuellement définies sont affichées. Le champ Type de la règle indique s'il s'agit
d'une règle par défaut ou définie par l'utilisateur.
ÉTAPE 2 Pour ajouter une nouvelle règle, cliquez sur Ajouter. Renseignez les champs suivants :
•
Utilisateur : définit le ou les utilisateurs auxquels la règle s'applique : Sélectionnez
l'une des options suivantes :
-
Utilisateur spécifique : sélectionnez et entrez le nom d'utilisateur spécifique auquel
cette règle s'applique (cet utilisateur ne doit pas nécessairement être défini).
-
Utilisateur par défaut (cisco) : indique que cette règle s'applique à l'utilisateur par
défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
411
19
Sécurité : Gestion sécurisée des données sensibles
Configuration de SSD
•
•
•
412
-
Niveau 15 : indique que cette règle s'applique à tous les utilisateurs ayant le niveau
de privilège 15.
-
Tous : indique que cette règle s'applique à tous les utilisateurs.
Canal : définit le niveau de sécurité du canal d'entrée auquel la règle s'applique :
Sélectionnez l'une des options suivantes :
-
Sécurisé : indique que cette règle s'applique uniquement aux canaux sécurisés
(console, SCP, SSH et HTTPS), mais pas les canaux SNMP et XML.
-
Non sécurisé : indique que cette règle s'applique uniquement aux canaux
non sécurisés (Telnet, TFTP et HTTP), mais pas aux canaux SNMP et XML.
-
SNMP XML sécurisé : indique que cette règle s'applique uniquement au XML sur
HTTPS et SNMPv3 avec confidentialité.
-
SNMP XML non sécurisé : indique que cette règle s'applique uniquement au XML
sur HTTP ou/et au SNMPv1/v2 et SNMPv3 sans confidentialité.
Autorisation en lecture : autorisations en lecture associées aux règles. Elles peuvent
être les suivantes :
-
Exclure : autorisation en lecture la plus basse. Les utilisateurs ne sont pas autorisés
à accéder aux données confidentielles sous quelque forme que ce soit.
-
Texte en clair uniquement : autorisation en lecture de niveau plus élevé que la
précédente. Les utilisateurs sont autorisés à accéder aux données confidentielles
sous forme de texte en clair uniquement.
-
Chiffré uniquement : autorisation en lecture de niveau moyen. Les utilisateurs sont
autorisés à accéder aux données confidentielles sous forme chiffrée uniquement.
-
Les deux (Texte en clair et Chiffré) : autorisation en lecture la plus haute. Les
utilisateurs ont les autorisations Chiffré et Texte en clair, et sont autorisés à accéder
aux données confidentielles sous forme chiffrée et de texte en clair.
Mode de lecture par défaut : tous les modes de lecture par défaut sont sujets à
l'autorisation en lecture de la règle. Les options suivantes sont disponibles, mais
certaines sont susceptibles d'être refusées en fonction de l'autorisation en lecture de la
règle.
-
Exclure : n'autorise pas la lecture des données confidentielles.
-
Chiffré : les données confidentielles sont présentées sous forme chiffrée.
-
Texte en clair : les données confidentielles sont présentées sous forme de texte en
clair.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Gestion sécurisée des données sensibles
Configuration de SSD
19
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier Configuration
d'exécution.
ÉTAPE 4 Les actions suivantes peuvent être effectuées sur les règles sélectionnées :
•
Ajouter, Modifier ou Supprimer des règles ou Restaurer les valeurs par défaut.
•
Restore All Rules to Default (Restaurer toutes les règles par défaut) : rétablit les
valeurs d'origine d'une règle par défaut qui a été modifiée par l'utilisateur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
413
20
Sécurité : Serveur SSH
Cette section décrit la façon d'établir une session SSH sur le périphérique.
Elle couvre les sujets suivants :
•
Vue d'ensemble
•
Tâches courantes
•
Authentification des utilisateurs SSH
•
Authentification du serveur SSH
Vue d'ensemble
La fonction SSH Server (Serveur SSH) permet aux utilisateurs distants de créer des sessions
SSH sur le périphérique. Elle est similaire à la fonction permettant d'établir une session telnet,
sauf que cette session est sécurisée.
En tant que serveur SSH, le périphérique prend en charge l'authentification des utilisateurs
SSH, qui permet d'authentifier un utilisateur distant soit par mot de passe soit par clé publique.
Par ailleurs, en tant que client SSH, l'utilisateur distant peut faire appel à l'authentification du
serveur SSH pour authentifier le périphérique à l'aide de la clé publique (empreinte) de ce
dernier.
Le serveur SSH peut fonctionner dans les modes suivants :
•
Par des clés RSA/DSA générées en interne (paramètre par défaut) : une clé RSA et
une clé DSA sont générées. Les utilisateurs se connectent à l'application serveur SSH
et sont automatiquement authentifiés pour ouvrir une session sur l'appareil lorsqu'ils
fournissent l'adresse IP de l'appareil.
•
Mode de clé publique : les utilisateurs sont définis sur l'appareil. Leurs clés RSA/
DSA sont générées dans une application serveur SSH externe, telle que PuTTY. Les
clés publiques sont entrées dans l'appareil. Les utilisateurs peuvent alors ouvrir une
session SSH sur l'appareil par le biais de l'application serveur SSH externe.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
414
20
Sécurité : Serveur SSH
Tâches courantes
Tâches courantes
Cette section décrit quelques tâches courantes réalisées à l'aide de la fonction Serveur SSH.
Flux de travail 1 : procédure de création d'une session SSH sans authentification des
utilisateurs SSH :
ÉTAPE 1 Activez le serveur SSH sur la page Services TCP/UDP.
ÉTAPE 2 Désactivez l'authentification des utilisateurs SSH par mot de passe et par clé publique sur la
page Authentification des utilisateurs SSH.
ÉTAPE 3 Créez des sessions SSH sur le périphérique à partir d'une application cliente SSH telle que
PUTTY.
Flux de travail 2 : procédure de création d'une session SSH avec authentification des
utilisateurs SSH par mot de passe :
ÉTAPE 1 Activez le serveur SSH sur la page Services TCP/UDP.
ÉTAPE 2 Activez l'authentification des utilisateurs SSH par mot de passe sur la page Authentification
des utilisateurs SSH.
ÉTAPE 3 Créez des sessions SSH sur le périphérique à partir d'une application cliente SSH telle que
PUTTY.
Flux de travail 3 : procédure de création d'une session SSH avec authentification des
utilisateurs SSH par clé publique en contournant ou pas l'authentification de gestion :
ÉTAPE 1 Activez le serveur SSH sur la page Services TCP/UDP.
ÉTAPE 2 Activez l'authentification des utilisateurs SSH par clé publique sur la page Authentification
des utilisateurs SSH. La clé publique doit avoir été préalablement créée sur le client SSH ; elle
sera utilisée par ce dernier pour établir une session SSH sur le serveur SSH du périphérique.
ÉTAPE 3 Le cas échéant, activez la connexion automatique en contournant l'authentification de gestion
sur la page Authentification des utilisateurs SSH.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
415
20
Sécurité : Serveur SSH
Authentification des utilisateurs SSH
ÉTAPE 4 Ajoutez les utilisateurs et leur clé publique au tableau Authentification des utilisateurs SSH de
la page Authentification des utilisateurs SSH.
ÉTAPE 5 Créez des sessions SSH sur le périphérique à partir d'une application cliente SSH telle que
PUTTY.
Authentification des utilisateurs SSH
Utilisez la page SSH User Authentication (Authentification des utilisateurs SSH) pour activer
l'authentification des utilisateurs SSH par clé publique et/ou par mot de passe. Un utilisateur
faisant appel à une clé publique pour créer un serveur SSH doit saisir son nom d'utilisateur et
sa clé publique dans le tableau SSH User Authentication (Authentification des utilisateurs
SSH). Pour un utilisateur faisant appel à un mot de passe pour créer une session SSH, le nom
d'utilisateur et le mot de passe doivent correspondre à ceux d'un utilisateur dotés d'un accès en
gestion.
Avant de pouvoir ajouter un utilisateur, vous devez générer une clé RSA ou DSA pour cet
utilisateur dans l'application client/de génération de clé SSH externe (telle que PuTTY).
Connexion automatique
Si vous définissez, à l'aide de la page Authentification des utilisateurs SSH, le nom
d'utilisateurs déjà configurés dans la base de données locale des utilisateurs, configurer la
fonctionnalité Connexion automatique permet d'ignorer les autres étapes du processus
d'authentification. Cette fonctionnalité opère comme suit :
•
Activer : les utilisateurs présents dans la base de données locale qui passent l'étape
d'authentification SSH par clé publique n'ont pas besoin de s'authentifier à l'aide de
leur nom d'utilisateur et mot de passe définis localement.
REMARQUE La méthode d'authentification configurée pour ce mode de gestion
spécifique (console, Telnet, SSH, etc.) doit être une méthode locale (c.-à-d., une
méthode autre que RADIUS ou TACACS+). Pour en savoir plus à ce sujet, reportez-vous
à la section Méthode d'accès de gestion.
•
Not Enabled (Désactivé) : après authentification réussie par clé publique SSH, les
utilisateurs, même s'ils sont répertoriés dans la base de données locale des utilisateurs,
doivent de nouveau s'authentifier, et ce conformément aux méthodes d'authentification
configurées à l'aide de la page Authentification de l'accès de gestion.
Cette page est facultative. Il n'est pas nécessaire de recourir à l'authentification des utilisateurs
dans SSH.
416
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
20
Sécurité : Serveur SSH
Authentification des utilisateurs SSH
Pour activer l'authentification et ajouter un utilisateur :
ÉTAPE 1 Cliquez sur Sécurité > Serveur SSH > Authentification des utilisateurs SSH.
ÉTAPE 2 Sélectionnez les champs suivants :
•
Authentification des utilisateurs SSH par mot de passe : permet l'authentification
des utilisateurs client SSH à l'aide des noms d'utilisateur et mots de passe définis dans
la base de données locale (pour plus d'informations à ce sujet, reportez-vous à la section
Comptes d'utilisateur).
•
Authentification des utilisateurs SSH par clé publique : permet l'authentification des
utilisateurs client SSH à l'aide de la clé publique.
•
Connexion automatique : l'activation de ce champ dépend de la sélection de la
fonctionnalité Authentification des utilisateurs SSH par clé publique.
ÉTAPE 3 Cliquez sur Appliquer. Les paramètres sont enregistrés dans le fichier Configuration
d'exécution.
Les champs suivants sont affichés pour les utilisateurs déjà configurés :
•
Nom de l'utilisateur SSH : nom de l'utilisateur.
•
Type de clé : indique s'il s'agit d'une clé RSA ou DSA.
•
Empreinte : empreinte générée à partir des clés publiques.
ÉTAPE 4 Cliquez sur Ajouter pour ajouter un nouvel utilisateur, puis renseignez les champs suivants :
•
Nom de l'utilisateur SSH : saisissez un nom d'utilisateur.
•
Type de clé : sélectionnez RSA ou DSA.
•
Clé publique : copiez la clé publique générée par une application client SSH externe
(telle que PuTTY) dans la zone de texte.
ÉTAPE 5 Cliquez sur Appliquer pour enregistrer le nouvel utilisateur.
Les champs suivants sont affichés pour tous les utilisateurs actifs :
•
Adresse IP : adresse IP de l'utilisateur actif.
•
Nom de l'utilisateur SSH : nom de l'utilisateur actif.
•
Version SSH : version du serveur SSH utilisé par l'utilisateur actif.
•
Chiffrer : chiffrement de l'utilisateur actif.
•
Code d'authentification : code d'authentification de l'utilisateur actif.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
417
20
Sécurité : Serveur SSH
Authentification du serveur SSH
Authentification du serveur SSH
Un client SSH distant peut utiliser l'authentification du serveur SSH pour s'assurer qu'il établit
une session SSH sur le pilote SSH attendu. Pour procéder à une authentification du serveur
SSH, le client SSH distant doit disposer d'une copie de la clé publique (ou de l'empreinte) du
serveur SSH cible.
La page d'authentification du serveur SSH génère/importe la clé privée/publique du
périphérique en tant que serveur SSH. Un utilisateur doit copier la clé publique (ou
l'empreinte) du serveur SSH de ce périphérique dans l'application s'il souhaite utiliser
l'authentification du serveur SSH dans ses sessions SSH. Les clés RSA et DSA publique et
privée sont générées automatiquement lors du démarrage de l'appareil avec les paramètres
d'usine. Chaque clé est aussi automatiquement créée lorsque la clé appropriée configurée par
l'utilisateur est supprimée par celui-ci.
Pour regénérer une clé RSA ou DSA, ou copier une clé RSA/DSA générée sur un autre
appareil :
ÉTAPE 1 Cliquez sur Sécurité > Serveur SSH > Authentification du serveur SSH.
Les champs suivants sont affichés pour chaque clé :
•
Type de clé : RSA ou DSA.
•
Source de la clé : Autogénérée ou Définie par l'utilisateur.
•
Empreinte : empreinte générée à partir de la clé.
ÉTAPE 2 Sélectionnez une clé RSA ou DSA.
ÉTAPE 3 Vous pouvez effectuer l'une des opérations suivantes :
•
Générer : permet de générer une clé du type sélectionné.
•
Modifier : permet de copier une clé depuis un autre appareil. Renseignez les champs
suivants :
-
Type de clé : comme décrit ci-dessus.
-
Clé publique : saisissez la clé publique.
-
Clé privée : sélectionnez une clé cryptée ou en texte en clair et saisissez la clé
privée.
Cliquez sur Afficher les données sensibles sous forme chiffrée ou Afficher les
données sensibles sous forme de texte clair pour déterminer comment les données
sensibles seront affichées.
418
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
20
Sécurité : Serveur SSH
Authentification du serveur SSH
•
Supprimer : permet de supprimer une clé.
•
Détails : permet d'afficher la clé générée. La fenêtre Détails vous permet aussi de
cliquer sur Afficher les données sensibles en texte clair. Si vous cliquez sur cette
option, les clés apparaissent sous forme de texte en clair et non sous forme chiffrée. Si
la clé apparaît déjà sous forme de texte en clair, vous pouvez cliquer sur Afficher les
données sensibles sous forme chiffrée pour afficher le texte sous forme chiffrée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
419
21
Sécurité : Client SSH
Cette section décrit l'appareil lorsqu'il fonctionne en tant que client SSH.
Elle couvre les sujets suivants :
•
Vue d'ensemble
•
Authentification des utilisateurs SSH
•
Authentification du serveur SSH
•
Modification du mot de passe utilisateur du serveur SSH
Vue d'ensemble
Secure Copy (SCP) et SSH
Secure Shell ou SSH est un protocole réseau qui permet aux données d'être échangées sur un
canal sécurisé entre un client SSH (dans ce cas précis, l'appareil) et un serveur SSH.
Le client SSH aide l'utilisateur à gérer un réseau composé d'un ou plusieurs commutateurs
dans lesquels différents systèmes de fichiers sont stockés sur un serveur SSH central. Lorsque
les fichiers de configuration sont transférés via le réseau, Secure Copy (SCP), qui est une
application utilisant le protocole SSH, s'assure que les données sensibles telles que le nom
d'utilisateur/mot de passe ne sont pas interceptées.
Secure Copy (SCP) permet de transférer de manière sécurisée le micrologiciel, l'image
d'amorçage, les fichiers de configuration, les fichiers de langue et les fichiers journaux d'un
serveur SCP central vers un appareil.
En ce qui concerne SSH, la SCP exécutée sur l'appareil est une application client SSH et le
serveur SCP est une application serveur SSH.
Lorsque des fichiers sont téléchargés via TFTP ou HTTP, le transfert des données n'est pas
sécurisé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
420
21
Sécurité : Client SSH
Vue d'ensemble
Lorsque des fichiers sont téléchargés via SCP, les informations sont téléchargées du serveur
SCP vers l'appareil via un canal sécurisé. La création de ce canal sécurisé est précédée d'une
authentification, ce qui garantit que l'utilisateur est autorisé à effectuer l'opération.
Les informations d'authentification doivent être entrées par l'utilisateur sur l'appareil et le
serveur SSH, même si ce guide ne décrit pas les opérations réalisées sur le serveur.
Vous trouverez ci-après la présentation d'une configuration réseau standard dans laquelle la
fonctionnalité SCP peut être utilisée.
Configuration réseau standard
Authentification du serveur SSH
En tant que clients SSH, les appareils communiquent seulement avec le serveur SSH de
confiance. Lorsque l'authentification du serveur SSH est désactivée (paramètre par défaut),
tout serveur SSH est considéré comme étant de confiance. Lorsque l'authentification du
serveur SSH est activée, l'utilisateur doit ajouter une entrée pour les serveurs de confiance
dans la Table des serveurs SSH de confiance. Cette table stocke les informations suivantes
pour chaque serveur SSH de confiance, pour un maximum de 16 serveurs :
•
Adresse IP/nom d'hôte du serveur
•
Empreinte de clé publique du serveur
Lorsque l'authentification du serveur SSH est activée, le client SSH exécuté sur l'appareil
authentifie le serveur SSH à l'aide du processus d'authentification suivant :
•
L'appareil calcule l'empreinte de la clé publique du serveur SSH reçue.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
421
21
Sécurité : Client SSH
Vue d'ensemble
•
•
Le périphérique recherche l'adresse IP/le nom d'hôte du serveur SSH dans la Table des
serveurs SSH de confiance. Trois cas peuvent se présenter :
-
Si une correspondance est trouvée pour l'adresse IP/le nom d'hôte du serveur et son
empreinte, le serveur est authentifié.
-
Si une adresse IP/un nom d'hôte correspondant(e) est trouvé(e), mais qu'il n'y a
aucune empreinte associée, la recherche continue. Si aucune empreinte
correspondante n'est trouvée, la recherche prend fin et l'authentification échoue.
-
Si aucune adresse IP/aucun nom d'hôte correspondant(e) n'est trouvé(e), la
recherche prend fin et l'authentification échoue.
Si l'entrée du serveur SSH n'est pas trouvée dans la liste des serveurs de confiance, le
processus échoue.
Afin de prendre en charge la configuration automatique d'un appareil directement opérationnel
(appareil avec configuration d'usine), l'authentification du serveur SSH est désactivée par
défaut.
Authentification des utilisateurs SSH
Lorsqu'un périphérique (client SSH) tente de créer une session SSH sur un serveur SSH, ce
dernier fait appel à différentes méthodes pour authentifier le client. Elles sont décrites cidessous.
Mots de passe
Pour utiliser la méthode du mot de passe, assurez-vous d'abord qu'un nom d'utilisateur/mot de
passe a été défini sur le serveur SSH. Cette opération ne s'effectue pas via le système de
gestion de l'appareil même si, lorsqu'un nom d'utilisateur a été défini sur le serveur, le mot de
passe du serveur peut être modifié par l'intermédiaire de ce système de gestion.
Le nom d'utilisateur/mot de passe doit alors être créé directement sur l'appareil. Lorsque le
périphérique tente de créer une session SSH sur un serveur SSH, le nom d'utilisateur/mot de
passe fourni par le périphérique doit correspondre au nom d'utilisateur/mot de passe sur le
serveur.
Les données peuvent être chiffrées à l'aide d'une clé symétrique unique négociée pendant la
session.
Chaque appareil géré doit avoir son propre nom d'utilisateur/mot de passe, bien que le même
nom d'utilisateur/mot de passe puisse être utilisé pour plusieurs commutateurs.
La méthode du mot de passe est la méthode par défaut sur l'appareil.
422
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
21
Sécurité : Client SSH
Vue d'ensemble
Clés publiques/privées
Pour utiliser la méthode de clé publique/privée afin d'authentifier le client via un serveur, créez
un utilisateur et générez/importez une clé publique/privée sur le périphérique qui est un client
SSH. Créez ensuite le même utilisateur sur le serveur SSH et copiez la clé publique (ou
l'empreinte) générée/saisie via le client SSH sur le serveur SSH. La création de l'utilisateur et
la copie de la clé publique (ou de l'empreinte) sur le serveur SSH n'entrent pas dans le champ
d'application de ce guide.
Les paires de clés par défaut RSA et DSA sont générées pour l'appareil au démarrage de celuici. L'une de ces clés est utilisée pour crypter les données téléchargées à partir du serveur SSH.
La clé RSA est utilisée par défaut.
Si l'utilisateur supprime l'une de ces clés, ou les deux, elles sont régénérées.
Les clés publique/privée sont chiffrées et stockées dans la mémoire de l'appareil. Les clés sont
incluses dans le fichier de configuration de l'appareil et la clé privée peut être visualisée par
l'utilisateur, sous forme chiffrée ou de texte en clair.
Puisque la clé privée ne peut pas être copiée directement vers la clé privée d'un autre appareil,
une méthode d'importation vous permet de copier des clés privées d'un appareil à un autre
(reportez-vous à la section Importation de clés).
Importation de clés
Dans le cadre de la méthode par clé, des clés publiques/privées individuelles doivent être
créées pour chaque appareil. Ces clés privées ne peuvent pas, pour des raisons de sécurité, être
copiées directement d'un appareil à un autre.
Si plusieurs commutateurs sont présents sur le réseau, le processus de création des clés
publique/privée pour tous les commutateurs peut prendre beaucoup de temps, car chaque clé
publique/privée doit être créée puis chargée sur le serveur SSH.
Pour faciliter ce processus, une autre fonction permet le transfert sécurisé de la clé privée
chiffrée vers tous les commutateurs du système.
Lorsqu'une clé privée est créée sur un appareil, un mot de passe peut être défini et associé à
cette clé. Ce mot de passe permet de crypter la clé privée et de l'importer dans les
commutateurs restants. De cette manière, tous les commutateurs peuvent utiliser la même clé
publique/privée.
Mot de passe par défaut
L'authentification de l'utilisateur SSH par mot de passe est activée par défaut, le nom
d'utilisateur/mot de passe étant « anonyme ».
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
423
21
Sécurité : Client SSH
Vue d'ensemble
L'utilisateur doit configurer les informations suivantes pour l'authentification :
•
La méthode d'authentification à utiliser.
•
Le nom d'utilisateur/mot de passe ou la paire de clés publique/privée.
Algorithmes pris en charge
Lorsque la connexion entre un appareil (en tant que client SSH) et un serveur SSH est établie,
le client et le serveur SSH échangent des données afin de déterminer les algorithmes à utiliser
dans la couche transport SSH.
Les algorithmes suivants sont pris en charge côté client :
•
Algorithme d'échange de clés Diffie-Hellman
•
Algorithmes de cryptage
•
-
aes128-ctr
-
aes192-ctr
-
aes256-ctr
-
Chacha
-
Poly1305
Algorithmes de code d'authentification de message
-
REMARQUE
hmac-sha1
Les algorithmes de compression ne sont pas pris en charge.
Avant de commencer
Vous devez effectuer les actions suivantes avant d'utiliser la fonction SCP :
424
•
Lorsque vous utilisez la méthode d'authentification par mot de passe, un nom
d'utilisateur/mot de passe doit être configuré sur le serveur SSH.
•
Lorsque vous utilisez la méthode d'authentification par clés publique/privée, la clé
publique doit être stockée sur le serveur SSH.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
21
Sécurité : Client SSH
Vue d'ensemble
Tâches courantes
Cette section décrit certaines tâches courantes réalisées par le périphérique en tant que client
SSH. Toutes les pages référencées sont disponibles sous la branche Client SSH de
l'arborescence du menu.
Flux de travail 1 : pour configurer le client SSH et transférer des données de/vers un
serveur SSH distant, procédez comme suit :
ÉTAPE 1 Déterminez la méthode à utiliser : mot de passe ou clé publique/privée. Utilisez la page
Authentification des utilisateurs SSH.
ÉTAPE 2 Si la méthode du mot de passe a été sélectionnée, procédez comme suit :
a. Créez un mot de passe global sur la page Authentification des utilisateurs SSH, ou un mot
de passe temporaire sur la page Opérations du microprogramme ou Opérations de fichiers
au moment où vous activez le transfert de données sécurisé.
b. Mettez à niveau le microprogramme, l'image d'amorçage ou le fichier de langue via le
protocole SCP en sélectionnant l'option SCP sur la page Opérations du microprogramme.
Vous pouvez saisir le mot de passe directement sur cette page ou utiliser le mot de passe
saisi sur la page Authentification des utilisateurs SSH.
c. Téléchargez/sauvegardez le fichier de configuration, via SCP, en sélectionnant l'option via
SCP (over SSH) (via SCP [sur SSH]) sur la page Opérations de fichiers. Vous pouvez
saisir le mot de passe directement sur cette page ou utiliser le mot de passe saisi sur la page
Authentification des utilisateurs SSH.
ÉTAPE 3 Définissez un nom d'utilisateur/mot de passe ou modifiez le mot de passe sur le serveur SSH
distant. Cette activité dépend du serveur et n'est pas décrite ici.
ÉTAPE 4 Si la méthode de la clé publique/privée est utilisée, procédez comme suit :
a. Indiquez si vous souhaitez utiliser une clé RSA ou DSA, créez un nom d'utilisateur, puis
générez les clés publique/privée.
b. Affichez la clé générée en cliquant sur le bouton Détails, puis transférez le nom
d'utilisateur et la clé publique vers le serveur SSH. Cette action dépend du serveur et n'est
pas décrite dans ce guide.
c. Mettez à niveau/sauvegardez le microprogramme via SCP en sélectionnant l'option SCP
sur la page Opérations du microprogramme.
d. Téléchargez/sauvegardez le fichier de configuration via SCP en sélectionnant l'optionSCP
sur la page Opérations de fichiers.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
425
21
Sécurité : Client SSH
Authentification des utilisateurs SSH
Flux de travail 2 : pour importer des clés publiques/privées d'un appareil vers un
autre :
ÉTAPE 1 Générez une clé publique/privée sur la page Authentification des utilisateurs SSH.
ÉTAPE 2 Définissez les propriétés SSD et créez un nouveau mot de passe local sur la page
Propriétés SSD.
ÉTAPE 3 Cliquez sur Détails pour afficher les clés chiffrées générées, puis copiez-les (y compris les
pieds de page Début et Fin) de la page Détails vers un appareil externe. Copiez séparément les
clés publique et privée.
ÉTAPE 4 Connectez-vous à un autre périphérique et ouvrez la page Authentification des
utilisateurs SSH. Sélectionnez le type de clé requis, puis cliquez sur Modifier. Collez-le dans
les clés publiques/privées.
ÉTAPE 5 Cliquez sur Appliquer pour copier les clés publiques/privées vers le deuxième appareil.
Flux de travail 3 : pour modifier votre mot de passe sur un serveur SSH :
ÉTAPE 1 Identifiez le serveur sur la page Modification du mot de passe utilisateur du serveur SSH.
ÉTAPE 2 Saisissez le nouveau mot de passe.
ÉTAPE 3 Cliquez sur Appliquer.
Authentification des utilisateurs SSH
Utilisez cette page pour sélectionner une méthode d'authentification des utilisateurs SSH,
définir un nom d'utilisateur et un mot de passe sur l'appareil, si la méthode du mot de passe est
sélectionnée ou générer une clé RSA ou DSA, si la méthode de la clé publique/privée est
sélectionnée.
Pour sélectionner une méthode d'authentification et définir le nom d'utilisateur/le mot de
passe/les clés :
426
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
21
Sécurité : Client SSH
Authentification des utilisateurs SSH
ÉTAPE 1 Cliquez sur Sécurité > Client SSH > Authentification des utilisateurs SSH.
ÉTAPE 2 Sélectionnez une Méthode d'authentification des utilisateurs SSH. Il s'agit de la méthode
globale définie pour la copie sécurisée (SCP). Sélectionnez l'une des options disponibles :
•
Par mot de passe : il s'agit du paramètre par défaut. Si vous sélectionnez cette option,
conservez le mot de passe par défaut ou saisissez-en un nouveau.
•
Par clé publique RSA : si vous sélectionnez cette option, créez une clé privée et
publique RSA dans le bloc Table des clés des utilisateurs SSH.
•
Par clé publique DSA : si vous sélectionnez cette option, créez une clé privée et
publique DSA dans le bloc Table des clés des utilisateurs SSH.
ÉTAPE 3 Saisissez le Nom d'utilisateur (peu importe la méthode sélectionnée) ou conservez le nom
d'utilisateur par défaut. Il doit correspondre au nom d'utilisateur défini sur le serveur SSH.
ÉTAPE 4 Si la méthode Par mot de passe a été sélectionnée, entrez un mot de passe (Chiffré ou Texte
en clair) ou conservez le mot de passe chiffré par défaut.
ÉTAPE 5 Effectuez l'une des actions suivantes :
•
Appliquer : les méthodes d'authentification sélectionnées sont associées à la méthode
d'accès.
•
Restaurer les infos d'identification par défaut : le nom d'utilisateur et le mot de passe
(anonymes) par défaut sont restaurés.
•
Afficher les données sensibles en texte clair : les données sensibles de la page actuelle
sont affichées sous forme de texte en clair.
La Table des clés des utilisateurs SSH affiche les champs suivants pour chaque clé :
ÉTAPE
•
Type de clé : RSA ou DSA.
•
Source de la clé : Autogénérée ou Définie par l'utilisateur.
•
Empreinte : empreinte générée à partir de la clé.
6 Pour gérer une clé RSA ou DSA, sélectionnez RSA ou DSA et effectuez l'une des actions suivantes :
•
Générer : générez une nouvelle clé.
•
Modifier : affichez les clés pour effectuer un copier/coller vers un autre appareil.
•
Supprimer : supprimez la clé.
•
Détails : affichez les clés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
427
21
Sécurité : Client SSH
Authentification du serveur SSH
Authentification du serveur SSH
Pour activer l'authentification du serveur SSH et définir les serveurs de confiance :
ÉTAPE 1 Cliquez sur Sécurité > Client SSH > Authentification du serveur SSH.
ÉTAPE 2 Sélectionnez Activer pour activer l'authentification du serveur SSH.
•
Interface source IPv4 : sélectionnez l'interface source dont l'adresse IPv4 sera utilisée
comme adresse IPv4 source pour les messages utilisés dans les communications avec
les serveurs SSH IPv4.
•
Interface source IPv6 : sélectionnez l'interface source dont l'adresse IPv6 sera utilisée
comme adresse IPv6 source pour les messages utilisés dans les communications avec
les serveurs SSH IPv6.
REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source
de l'adresse IP définie dans l'interface sortante.
ÉTAPE 3 Cliquez sur Appliquer.
ÉTAPE 4 Cliquez sur Ajouter et renseignez les champs suivants pour le serveur de confiance SSH :
•
428
Définition du serveur : sélectionnez l'une des méthodes d'identification du
serveur SSH ci-après :
-
Par adresse IP : si vous avez sélectionné cette option, entrez l'adresse IP du serveur
dans les champs situés au-dessous.
-
Par nom : si vous avez sélectionné cette option, entrez le nom du serveur dans le
champ Nom/Adresse IP du serveur.
•
Version IP : si vous avez choisi de définir le serveur SSH par son adresse IP, indiquez
s'il s'agit d'une adresse IPv6 IPv4.
•
IPv6 Address Type (Type d'adresse IPv6) : si l'adresse IP du serveur SSH est une
adresse IPv6, sélectionnez le type d'adresse correspondant, à savoir IPv6. Les options
sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Sécurité : Client SSH
Modification du mot de passe utilisateur du serveur SSH
21
•
Interface de liaison locale : sélectionnez, dans la liste des interfaces, l'interface de
liaison locale.
•
Adresse IP/Nom serveur : saisissez l'adresse IP ou le nom du serveur SSH, selon
l'information sélectionnée dans le champ Définition de serveur.
•
Empreinte : entrez l'empreinte du serveur SSH (copiée à partir de ce serveur).
ÉTAPE 5 Cliquez sur Appliquer. La définition du serveur de confiance est stockée dans le fichier de
Configuration d'exécution.
Modification du mot de passe utilisateur du serveur SSH
Pour modifier un mot de passe sur un serveur SSH :
ÉTAPE 1 Cliquez sur Sécurité > Client SSH > Modifier le mot de passe utilisateur du serveur SSH.
ÉTAPE 2 Renseignez les champs suivants :
•
Définition de serveur : définissez le serveur SSH en sélectionnant Par adresse IP ou
Par nom. Saisissez le nom ou l'adresse IP du serveur dans le champ Adresse IP/Nom
serveur.
•
Version IP : si vous avez choisi de définir le serveur SSH par son adresse IP, indiquez
s'il s'agit d'une adresse IPv6 IPv4.
•
IPv6 Address Type (Type d'adresse IPv6) : si l'adresse IP du serveur SSH est une
adresse IPv6, sélectionnez le type d'adresse correspondant, à savoir IPv6. Les options
sont les suivantes :
•
-
Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
Interface de liaison locale : sélectionnez, dans la liste des interfaces, l'interface de
liaison locale.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
429
21
Sécurité : Client SSH
Modification du mot de passe utilisateur du serveur SSH
•
Adresse IP/Nom serveur : saisissez l'adresse IP ou le nom du serveur SSH, selon
l'information sélectionnée dans le champ Définition de serveur.
•
Nom d'utilisateur : doit correspondre au nom d'utilisateur défini sur le serveur.
•
Ancien mot de passe : doit correspondre au mot de passe défini sur le serveur.
•
Nouveau mot de passe : saisissez le nouveau mot de passe, puis confirmez-le dans le
champ Confirmer le mot de passe.
ÉTAPE 3 Cliquez sur Appliquer. Le mot de passe du serveur SSH a été modifié.
430
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
La fonction de liste de contrôle d'accès (ACL, Access Control List) fait partie intégrante du
mécanisme de sécurité. Les définitions ACL permettent, entre autres, de définir les flux de
trafic auxquels est attribuée une qualité de service (QoS) spécifique. Pour plus d'informations,
reportez-vous à la section Qualité de service.
Les ACL permettent aux gestionnaires de réseaux de définir des modèles (filtres et actions)
pour le trafic entrant. Les paquets entrant dans l'appareil au niveau d'un port ou LAG disposant
d'une ACL active sont soit acceptés, soit refusés.
Cette section contient les rubriques suivantes :
•
Présentation
•
Création d'ACL basées sur MAC
•
Création d'ACL basées sur IPv4
•
Création d'ACL basées sur IPv6
•
Liaison ACL
Présentation
Une liste de contrôle d'accès (ACL, Access Control List) est une liste ordonnée d'actions et de
filtres de classification. Chaque règle de classification, englobant l'action correspondante, est
appelée élément de contrôle d'accès (ACE, Access Control Element).
Chaque ACE est constitué de filtres qui distinguent les groupes de trafic et les actions
associées. Une seule ACL peut contenir un ou plusieurs ACE, qui sont comparés au contenu
des trames entrantes. Une action DENY (REFUSER) ou PERMIT (AUTORISER) est
appliquée aux trames dont le contenu correspond au filtre.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
431
22
Contrôle d'accès
Présentation
Les différents périphériques ne prennent pas tous en charge le même nombre d'ACL et
d'ACE :
Appareil
Nombre max. d'ACL
Nombre max. d'ACE
SG550XG/SX550X
2 000
2 000
Sx550X
3 000
3 000
SG350XG/SX350X
2 000
2 000
SG350 et Sx350
1 000
1 000
Sx250
512
512
Jusqu'à 256 ACE peuvent être configurés sur un seul port ou dans une seule ACL.
Lorsqu'un paquet correspond à un filtre ACE, l'action ACE est appliquée et le traitement de
cette ACL est arrêté. Si le paquet ne correspond pas au filtre ACE, l'ACE suivant est traité. Si
tous les ACE d'une ACL ont été traités sans trouver de correspondance et qu'il existe une
autre ACL, celle-ci est traitée de manière similaire.
REMARQUE
Si aucune correspondance n'est trouvée sur l'ensemble des ACE de toutes les ACL appropriées,
le paquet est abandonné (action par défaut). En raison de cette action d'abandon par défaut, vous
devez explicitement ajouter les ACE dans l'ACL pour autoriser le trafic souhaité, y compris le
trafic de gestion tel que Telnet, HTTP ou SNMP qui est dirigé vers l'appareil lui-même. Par
exemple, si vous ne souhaitez pas supprimer tous les paquets qui ne remplissent pas les
conditions dans une ACL, vous devez explicitement ajouter un ACE ayant la priorité la plus
basse dans l'ACL autorisant l'ensemble du trafic.
Si la surveillance IGMP/MLD est activée sur un port associé à une ACL, ajoutez les filtres
ACE dans l'ACL pour transférer les paquets IGMP/MLD vers l'appareil. Dans le cas contraire,
la surveillance IGMP/MLD échouera au niveau du port.
Les ACE étant appliqués selon une méthode de première correspondance, l'ordre dans lequel
ils apparaissent dans l'ACL est important. Les ACE sont traités de manière séquentielle, en
commençant par le premier.
Les ACL peuvent être utilisées pour la sécurité, par exemple en autorisant ou en refusant
certains flux de trafic, ainsi que pour la classification et la hiérarchisation du trafic en mode
avancé de QoS.
REMARQUE
Un port peut être sécurisé avec des ACL ou configuré avec une stratégie de QoS avancée ; il
n'est toutefois pas possible d'employer ces deux méthodes en même temps.
Il ne peut y avoir qu'une seul ACL par port, à une exception près : il est possible d'associer à la
fois une ACL basée sur IP et une ACL basée sur IPv6 à un port unique.
432
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Présentation
Pour associer plusieurs ACL à un port, vous devez utiliser une stratégie comportant un ou
plusieurs mappages de classe.
Les types suivants d'ACL peuvent être définis (selon la partie de l'en-tête de la trame qui est
examinée) :
•
ACL MAC : examine les champs de la Couche 2 uniquement, comme décrit à la
section Définition des ACL basées sur MAC.
•
ACL IP : examine la Couche 3 des trames IP, comme décrit à la section ACL basées
sur IPv4.
•
ACL IPv6 : examine la Couche 3 des trames IPv4, comme décrit à la section
Définition de l'ACL basée sur IPv6.
Si une trame correspond au filtre d'une ACL, elle est définie en tant que flux portant le nom de
cette ACL. En mode avancé de QoS, il est possible de faire référence à ces trames en utilisant
ce nom de flux, et la QoS peut être appliquée à ces dernières.
Journalisation ACL
Cette fonction permet l'ajout d'une option de journalisation aux modules ACE. Lorsque la
fonction est activée, tout paquet autorisé ou refusé par l'ACE entraîne la génération d'un
message d'information SYSLOG correspondant.
Si la journalisation ACL est activée, vous pouvez la spécifier pour chaque interface par liaison
de l'ACL à l'interface concernée. Dans ce cas, des messages SYSLOG sont générés pour les
paquets correspondant aux ACE d'autorisation ou de refus associés à l'interface.
Un flux est un flot de paquets possédant des caractéristiques identiques, par exemple :
•
Paquets de couche 2 : adresses MAC source et de destination identiques
•
Paquets de couche 3 : adresses IP de source et de destination identiques
•
Paquets de couche 4 : port L4 et adresses IP de source et de destination identiques
Pour tout nouveau flux, le premier paquet intercepté à partir d'une interface spécifique entraîne
la génération d'un message d'information SYSLOG. Les paquets supplémentaires issus du
même flux sont interceptés par le processeur, mais les messages SYSLOG de ce flux se
limitent à un message toutes les 5 minutes. Ce message SYSLOG indique qu'un paquet au
moins a été intercepté au cours des 5 dernières minutes.
Une fois le paquet intercepté traité, les paquets sont acheminés en cas d'autorisation ou
abandonnés en cas de refus.
Le nombre de flux pris en charge est de 150 flux par unité :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
433
22
Contrôle d'accès
Présentation
Messages SYSLOG
Les messages SYSLOG présentent le niveau de gravité Information. Ils indiquent si le paquet
correspond à une règle de refus ou d'autorisation.
•
Pour les paquets de couche 2, le SYSLOG inclut les informations suivantes (le cas
échéant) : MAC source, MAC de destination, Ethertype, ID de VLAN et file d'attente
CoS.
•
Pour les paquets de couche 3, le SYSLOG inclut les informations suivantes (le cas
échéant) : adresse IP source, adresse IP de destination, protocole, valeur DSCP, type
ICMP, code ICMP et type IGMP.
•
Pour les paquets de couche 4, le SYSLOG inclut les informations suivantes (le cas
échéant) : port source, port de destination et indicateur TCP.
Voici des exemples de messages SYSLOG possibles :
•
Pour un paquet non-IP :
-
•
Pour un paquet IP (v4 et v6) :
-
•
06-Jun-2013 09:49:56 %3SWCOS-I-LOGDENYMAC: gi0/1: deny ACE
00:00:00:00:00:01 -> ff:ff:ff:ff:ff:ff, Ethertype-2054, VLAN-20, CoS-4, trapped
06-Jun-2013 12:38:53 %3SWCOS-I-LOGDENYINET: gi0/1: deny ACE
IPv4(255) 1.1.1.1 -> 1.1.1.10, protocol-1, DSCP-54, ICMP Type-Echo Reply,
ICMP code-5 , trapped
Pour un paquet L4 :
-
06-Jun-2013 09:53:46 %3SWCOS-I-LOGDENYINETPORTS: gi0/1: deny ACE
IPv4(TCP) 1.1.1.1(55) -> 1.1.1.10(66), trapped
Configuration des ACL
Cette section décrit la façon de créer des ACL et d'y ajouter des règles (ACE).
Création d'un flux de travail d'ACL
Pour créer des ACL et les associer à une interface, procédez comme suit :
1. Créez un ou plusieurs des types d'ACL suivants :
a. ACL basée sur MAC en utilisant la page ACL basée sur MAC et la page ACE basé
sur MAC
b. ACL basée sur IP en utilisant la page ACL basée sur IPv4 et la page ACE basé sur IPv4
434
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Création d'ACL basées sur MAC
c. ACL basée sur IPv6 en utilisant la page ACL basée sur IPv6 et la page ACE basé
sur IPv6
2. Associez l'ACL aux interfaces via la page Liaison ACL (VLAN) ou Liaison ACL (port).
Modification d'un flux de travail d'ACL
Vous ne pouvez modifier une ACL que si elle n'est pas en cours d'utilisation. La procédure
suivante décrit la suppression de la liaison d'une ACL, préalable nécessaire à sa modification :
1. Si l'ACL n'appartient pas à une « class-map » du mode avancé de QoS, mais qu'elle a été
associée à une interface, supprimez sa liaison avec l'interface en utilisant la page Liaison
ACL (VLAN) ou Liaison ACL (port).
2. Si l'ACL fait partie de la « class-map » et qu'elle n'est pas liée à une interface, vous pouvez
la modifier.
3. Si l'ACL fait partie d'une « class-map » contenue dans une stratégie liée à une interface,
vous devez supprimer la liaison comme suit :
•
Supprimez la liaison de la stratégie contenant le plan de classe avec l'interface à l'aide
de Liaison de stratégies.
•
Supprimez de la stratégie le plan de classe contenant l'ACL à l'aide de Configuration
d'une stratégie (Modifier).
•
Supprimez le plan de classe contenant l'ACL à l'aide de Définition d'un mappage de
classes.
À ce stade seulement vous pouvez modifier l'ACL, comme indiqué dans cette section.
Création d'ACL basées sur MAC
Les ACL basées sur MAC sont utilisées pour filtrer le trafic basé sur les champs de la
Couche 2. Ces ACL vérifient toutes les trames à la recherche d'une correspondance.
Les ACL basées sur MAC sont définies sur la page ACL basée sur MAC. Leurs règles sont
définies sur la page ACE basé sur MAC.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
435
22
Contrôle d'accès
Création d'ACL basées sur MAC
ACL basée sur MAC
Pour définir une ACL basée sur MAC :
ÉTAPE 1 Cliquez sur Contrôle d'accès > ACL basée sur MAC.
Cette page affiche une liste de toutes les ACL basées sur MAC qui sont actuellement définies.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez le nom de la nouvelle ACL dans le champ ACL Name. Les noms d'ACL respectent
la casse.
ÉTAPE 4 Cliquez sur Appliquer. L'ACL basée sur MAC est consigné dans le fichier de Configuration
d'exécution.
ACE basé sur MAC
REMARQUE
Chaque règle basée sur MAC consomme une règle TCAM. Veuillez noter que l'allocation
TCAM s'effectue par couples. De cette façon, pour le premier ACE, 2 règles TCAM sont
allouées et la deuxième règle TCAM est allouée au ACE suivant, et ainsi de suite.
Pour ajouter des règles (ACE) à une ACL :
ÉTAPE 1 Cliquez sur Contrôle d'accès > ACE basé sur MAC.
ÉTAPE 2 Sélectionnez une ACL et cliquez sur Go. Les ACE de l'ACL sont répertoriés.
ÉTAPE 3 Cliquez sur Add.
ÉTAPE 4 Saisissez les paramètres.
436
•
ACL Name : affiche le nom de l'ACL à laquelle un ACE est ajouté.
•
Priority : permet d'entrer la priorité de l'ACE. Les ACE disposant d'une priorité plus
élevée sont traités en premier. Le 1 correspond à la priorité la plus élevée.
•
Action : sélectionnez l'action à appliquer en cas de correspondance. Les options sont les
suivantes :
-
Autoriser : transfère les paquets qui répondent aux critères de l'ACE.
-
Refuser : abandonne les paquets qui répondent aux critères de l'ACE.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Création d'ACL basées sur MAC
-
Arrêter : abandonne les paquets qui répondent aux critères de l'ACE et désactive le
port à partir duquel les paquets ont été reçus. Ces ports peuvent être réactivés sur la
page Paramètres de reprise après erreur.
•
Journalisation : sélectionnez cette option pour activer les flux ACL correspondant à la
règle ACL.
•
Période : limite l'utilisation de l'ACL à une période spécifique.
•
Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser.
Les périodes sont définies dans la section Configuration de l'heure système.
•
Adresse MAC de destination : sélectionnez Indiffér. si toutes les adresses de
destination sont possibles ou Défini par l'utilisateur pour entrer une adresse de
destination ou une plage d'adresses de destination.
•
Valeur de l'adresse MAC de destination : saisissez l'adresse MAC avec laquelle
l'adresse MAC de destination sera mise en correspondance et saisissez également, le cas
échéant, son masque.
•
Destination MAC Wildcard Mask : saisissez le masque pour définir une plage
d'adresses MAC. Veuillez noter que ce masque est différent de ceux employés à d'autres
fins comme un masque de sous-réseau. Dans le cas présent, définir un bit sur 1 signifie
« ignorer cette valeur » ; définir un bit sur 0 signifie « masquer cette valeur ».
REMARQUE Prenons l'exemple d'un masque de 0000 0000 0000 0000 0000 0000 1111
1111 (ce qui signifie que vous établissez une correspondance avec les bits égaux à 0,
mais pas avec ceux égaux à 1). Vous devez convertir les 1 en un entier décimal et vous
remplacez chaque ensemble de quatre zéros par 0. Dans cet exemple, étant donné que
1111 1111 = 255, le masque serait : 0.0.0.255.
•
Adresse MAC source : sélectionnez Indiffér. si toutes les adresses source sont
possibles ou Défini par l'utilisateur pour entrer une adresse source ou une plage
d'adresses source.
•
Valeur de l'adresse MAC source : saisissez l'adresse MAC avec laquelle l'adresse
MAC source sera mise en correspondance et saisissez également, le cas échéant, son
masque.
•
Source MAC Wildcard Mask : saisissez le masque afin de définir une plage
d'adresses MAC.
•
ID VLAN : saisissez la partie ID VLAN de la balise VLAN à mettre en
correspondance.
•
802.1p : sélectionnez Inclure pour utiliser 802.1p.
•
802.1p Value : saisissez la valeur 802.1p à ajouter à la balise VPT.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
437
22
Contrôle d'accès
Création d'ACL basées sur IPv4
•
802.1p Mask : saisissez le masque générique à appliquer à la balise VPT.
•
Ethertype : saisissez l'Ethertype de trame à mettre en correspondance.
ÉTAPE 5 Cliquez sur Appliquer. L'ACE basé sur MAC est consigné dans le fichier de Configuration
d'exécution.
Création d'ACL basées sur IPv4
Les ACL basées sur IPv4 servent à vérifier les paquets IPv4. Les autres types de trames, tels
que les ARP, ne sont pas vérifiés.
Les champs suivants peuvent être mis en correspondance :
REMARQUE
•
Protocole IP (à partir du nom pour les protocoles bien connus ou directement à partir
de la valeur)
•
Ports source/de destination pour le trafic TCP/UDP
•
Valeurs des balises pour les trames TCP
•
Type et code ICMP et IGMP
•
Adresses IP source/de destination (y compris les caractères génériques)
•
Valeur de priorité DSCP/IP
Les ACL sont également utilisées en tant qu'éléments de base pour les définitions de flux
relatifs à la gestion de la QoS par flux.
La page ACL basée sur IPv4 permet d'ajouter des ACL au système. Leurs règles sont définies
sur la page ACE basé sur IPv4.
Vous pouvez définir les ACL basées sur IPv6 sur la page ACL basée sur IPv6.
ACL basée sur IPv4
Pour définir une ACL basée sur IPv4 :
ÉTAPE 1 Cliquez sur Contrôle d'accès > ACL basée sur IPv4.
Cette page affiche toutes les ACL basées sur IPv4 actuellement définies.
ÉTAPE 2 Cliquez sur Add.
438
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Création d'ACL basées sur IPv4
ÉTAPE 3 Saisissez le nom de la nouvelle ACL dans le champ ACL Name. Les noms respectent la casse.
ÉTAPE 4 Cliquez sur Appliquer. L'ACL basée sur IPv4 est consigné dans le fichier de Configuration
d'exécution.
ACE basé sur IPv4
REMARQUE
Chaque règle basée sur IPv4 consomme une règle TCAM. Veuillez noter que l'allocation
TCAM s'effectue par couples. De cette façon, pour le premier ACE, 2 règles TCAM sont
allouées et la deuxième règle TCAM est allouée au ACE suivant, et ainsi de suite.
Pour ajouter des règles (ACE) à une ACL basée sur IPv4 :
ÉTAPE 1 Cliquez sur Contrôle d'accès > ACE basé sur IPv4.
ÉTAPE 2 Sélectionnez une ACL et cliquez sur Go. Toutes les ACE IP actuellement définies pour l'ACL
sélectionnée s'affichent.
ÉTAPE 3 Cliquez sur Add.
ÉTAPE 4 Saisissez les paramètres.
•
ACL Name : affiche le nom de l'ACL.
•
Priority : permet d'entrer la priorité. Les ACE disposant d'une priorité plus élevée sont
traités en premier.
•
Action : sélectionnez l'action affectée au paquet correspondant à l'ACE. Les options
disponibles sont les suivantes :
-
Autoriser : transfère les paquets qui répondent aux critères de l'ACE.
-
Refuser : abandonne les paquets qui répondent aux critères de l'ACE.
-
Arrêter : abandonne le paquet qui répond aux critères de l'ACE et désactive le port
auquel le paquet était adressé. Les ports sont réactivés à partir de la page Paramètres
de reprise après erreur.
•
Journalisation : sélectionnez cette option pour activer les flux ACL correspondant à la
règle ACL.
•
Période : limite l'utilisation de l'ACL à une période spécifique.
•
Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser.
Les périodes sont définies dans la section Configuration de l'heure système.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
439
22
Contrôle d'accès
Création d'ACL basées sur IPv4
•
440
Protocole : sélectionnez cette option pour créer un ACE basé sur un protocole ou un ID
de protocole spécifique. Sélectionnez Tout (IPv4) pour accepter tous les protocoles IP.
Sinon, sélectionnez l'un des protocoles suivants dans la liste déroulante Selected from
list (Sélection sur liste) :
-
ICMP : Internet Control Message Protocol
-
IGMP : Internet Group Management Protocol
-
IP in IP : encapsulation IP in IP
-
TCP : Transmission Control Protocol
-
EGP : Exterior Gateway Protocol
-
IGP : Interior Gateway Protocol
-
UDP : User Datagram Protocol
-
HMP : Host Mapping Protocol
-
RDP : Reliable Datagram Protocol
-
IDPR : Inter-Domain Policy Routing Protocol
-
IPV6 : tunnellisation IPv6 sur IPv4
-
IPV6:ROUT : fait correspondre les paquets appartenant à la route IPv6 sur IPv4 par
le biais d'une passerelle
-
IPV6:FRAG : fait correspondre les paquets appartenant à l'en-tête de fragment IPv6
sur IPv4
-
IDRP : Inter-Domain Routing Protocol
-
RSVP : ReSerVation Protocol
-
AH : Authentication Header
-
IPV6:ICMP : Internet Control Message Protocol
-
EIGRP : Enhanced Interior Gateway Routing Protocol
-
OSPF : Open Shortest Path First
-
IPIP : IP in IP
-
PIM : Protocol Independent Multicast
-
L2TP : Layer 2 Tunneling Protocol
-
ISIS : protocole spécifique à IGP
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Création d'ACL basées sur IPv4
-
ID protocole de mise en correspondance : au lieu de sélectionner le nom, saisissez
l'ID du protocole.
•
Adresse IP source : sélectionnez Indiffér. si toutes les adresses source sont acceptables
ou Défini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source.
•
Valeur de l'adresse IP source : saisissez l'adresse IP avec laquelle l'adresse IP source
sera mise en correspondance.
•
Source IP Wildcard Mask : saisissez le masque pour définir une plage d'adresses IP.
Veuillez noter que ce masque est différent de ceux employés à d'autres fins comme un
masque de sous-réseau. Dans le cas présent, définir un bit sur 1 signifie « ignorer cette
valeur » ; définir un bit sur 0 signifie « masquer cette valeur ».
REMARQUE Prenons l'exemple d'un masque de 0000 0000 0000 0000 0000 0000 1111
1111 (ce qui signifie que vous établissez une correspondance avec les bits égaux à 0,
mais pas avec ceux égaux à 1). Vous devez convertir les 1 en un entier décimal et vous
remplacez chaque ensemble de quatre zéros par 0. Dans cet exemple, étant donné que
1111 1111 = 255, le masque serait : 0.0.0.255.
•
Adresse IP de destination : sélectionnez Indiffér. si toutes les adresses de destination
sont acceptables ou Défini par l'utilisateur pour entrer une adresse de destination ou une
plage d'adresses de destination.
•
Valeur de l'adresse IP de destination : saisissez l'adresse IP avec laquelle l'adresse IP
de destination sera mise en correspondance.
•
Destination IP Wildcard Mask : saisissez le masque pour définir une plage
d'adresses IP.
•
Source Port : sélectionnez une des options suivantes :
-
Any : correspond à tous les ports source.
-
Single from list (Unique dans la liste) : sélectionnez un seul port TCP/UDP source
avec lequel les paquets sont mis en correspondance. Ce champ n'est actif que si 800/
6-TCP ou 800/17-UDP est sélectionné dans le menu déroulant Sélectionner dans la
liste.
-
Unique par le numéro : saisissez un seul port TCP/UDP source avec lequel les
paquets sont mis en correspondance. Ce champ n'est actif que si 800/6-TCP ou 800/
17-UDP est sélectionné dans le menu déroulant Sélectionner dans la liste.
-
Range : sélectionnez une plage de ports source TCP/UDP avec lesquels le paquet
est mis en correspondance. Huit plages de ports différentes peuvent être configurées
(partagées entre les ports source et de destination). Les protocoles TCP et UDP
disposent chacun de huit plages de ports.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
441
22
Contrôle d'accès
Création d'ACL basées sur IPv4
•
Port de destination : sélectionnez l'une des valeurs disponibles. Elles sont identiques à
celles du champ Source Port (Port source) décrit ci-dessus.
REMARQUE vous devez spécifier le protocole IP de l'ACE avant de pouvoir entrer le
port source et/ou de destination.
•
TCP Flags : sélectionnez un ou plusieurs indicateurs TCP avec lesquels vous souhaitez
filtrer les paquets. Les paquets filtrés sont transmis ou abandonnés. Le filtrage de
paquets par des indicateurs TCP améliore le contrôle des paquets et ainsi la sécurité du
réseau.
•
Type de service : type de service du paquet IP.
•
•
•
442
-
Indiffér. : tout type de service.
-
DSCP en correspondance : DSCP (Differentiated Serves Code Point) à mettre en
correspondance.
-
IP Precedence to match : la priorité IP est un modèle de TOS (type de service)
utilisé par le réseau pour fournir les engagements QoS appropriés. Ce modèle utilise
les 3 bits les plus significatifs de l'octet du type de service dans l'en-tête IP, comme
décrit dans RFC 791 et RFC 1349.
ICMP : si le protocole IP de l'ACL est ICMP, sélectionnez le type de message ICMP
utilisé afin de filtrer. Sélectionnez le type de message en fonction de son nom ou
saisissez le numéro du type de message :
-
Indiffér. : tous les types de message sont acceptés.
-
Select from list : permet de sélectionner le type de message en fonction de son nom.
-
Type ICMP de mise en correspondance : numéro du type de message à utiliser afin
de filtrer.
ICMP Code : les messages ICMP peuvent disposer d'un champ de code indiquant
comment gérer le message. Sélectionnez l'une des options suivantes pour indiquer si le
filtrage s'effectuera en fonction de ce code :
-
Indiffér. : tous les codes sont acceptés.
-
Défini par l'utilisateur : saisissez un code ICMP à des fins de filtrage.
IGMP : si l'ACL est basée sur IGMP, sélectionnez le type de message IGMP à utiliser
afin de filtrer. Sélectionnez le type de message en fonction de son nom ou saisissez le
numéro du type de message :
-
Indiffér. : tous les types de message sont acceptés.
-
Select from list : permet de sélectionner le type de message en fonction de son nom.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Création d'ACL basées sur IPv6
-
Type IGMP de mise en correspondance : numéro du type de message qui sera utilisé
pour filtrer.
ÉTAPE 5 Cliquez sur Appliquer. L'ACE basé sur IPv4 est consigné dans le fichier de Configuration
d'exécution.
Création d'ACL basées sur IPv6
La page ACL basée sur IPv6 affiche les ACL IPv6 existantes, qui vérifient le trafic
purement IPv6, et permet également d'en créer. Les ACL IPv6 ne vérifient pas les
paquets IPv6 sur IPv4 ou ARP.
REMARQUE
Les ACL sont également utilisées en tant qu'éléments de base pour les définitions de flux
relatifs à la gestion de la QoS par flux.
ACL basée sur IPv6
Pour définir une ACL basée sur IPv6 :
ÉTAPE 1 Cliquez sur Contrôle d'accès > ACL basée sur IPv6.
Cette fenêtre affiche la liste des ACL définies et leur contenu.
ÉTAPE 2 Cliquez sur Add.
ÉTAPE 3 Saisissez le nom de la nouvelle ACL dans le champ ACL Name. Les noms respectent la casse.
ÉTAPE 4 Cliquez sur Appliquer. L'ACL basée sur IPv6 est consigné dans le fichier de Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
443
22
Contrôle d'accès
Création d'ACL basées sur IPv6
ACE basé sur IPv6
REMARQUE
Chaque règle basée sur IPv6 consomme deux règles TCAM.
ÉTAPE 1 Cliquez sur Contrôle d'accès > ACE basé sur IPv6.
Cette fenêtre affiche les ACE (règles) d'une ACL spécifiée (groupe de règles).
ÉTAPE 2 Sélectionnez une ACL et cliquez sur Go. Toutes les ACE IP actuellement définies pour l'ACL
sélectionnée s'affichent.
ÉTAPE 3 Cliquez sur Add.
ÉTAPE 4 Saisissez les paramètres.
•
ACL Name : affiche le nom de l'ACL à laquelle un ACE est ajouté.
•
Priority : permet d'entrer la priorité. Les ACE disposant d'une priorité plus élevée sont
traités en premier.
•
Action : sélectionnez l'action affectée au paquet correspondant à l'ACE. Les options
disponibles sont les suivantes :
-
Autoriser : transfère les paquets qui répondent aux critères de l'ACE.
-
Refuser : abandonne les paquets qui répondent aux critères de l'ACE.
-
Arrêter : abandonne les paquets qui répondent aux critères de l'ACE et désactive le
port auquel les paquets étaient adressés. Les ports sont réactivés à partir de la page
Paramètres de reprise après erreur.
•
Journalisation : sélectionnez cette option pour activer les flux ACL correspondant à la
règle ACL.
•
Période : limite l'utilisation de l'ACL à une période spécifique.
•
Nom de période : si l'option Période est sélectionnée, choisissez la période à utiliser.
Les périodes sont décrites dans la section Heure système.
•
Protocole : sélectionnez cette option pour créer une ACE basée sur un protocole
spécifique. Sélectionnez Tout (IPv6) pour accepter tous les protocoles IP.
Sinon, sélectionnez l'un des protocoles suivants :
-
444
TCP : Transmission Control Protocol. Permet à deux hôtes de communiquer et
d'échanger des flux de données. TCP garantit la livraison des paquets et également
que les paquets sont transmis et reçus dans l'ordre dans lequel ils ont été envoyés.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Création d'ACL basées sur IPv6
-
UDP : User Datagram Protocol. Transmet les paquets mais ne garantit pas leur
livraison.
-
ICMP : fait correspondre les paquets au protocole ICMP (Internet Control Message
Protocol).
Ou
-
ID protocole de mise en correspondance : saisissez l'ID du protocole avec lequel
établir la correspondance.
•
Adresse IP source : sélectionnez Indiffér. si toutes les adresses source sont acceptables
ou Défini par l'utilisateur pour entrer une adresse source ou une plage d'adresses source.
•
Valeur de l'adresse IP source : saisissez l'adresse IP avec laquelle l'adresse IP source
sera mise en correspondance et saisissez également, le cas échéant, son masque.
•
Source IP Prefix Length : saisissez la longueur du préfixe de l'adresse IP source.
•
Adresse IP de destination : sélectionnez Indiffér. si toutes les adresses de destination
sont acceptables ou Défini par l'utilisateur pour entrer une adresse de destination ou une
plage d'adresses de destination.
•
Valeur de l'adresse IP de destination : saisissez l'adresse IP avec laquelle
l'adresse MAC de destination sera mise en correspondance et saisissez également, le cas
échéant, son masque.
•
Destination IP Prefix Length : saisissez la longueur du préfixe de l'adresse IP.
•
Source Port : sélectionnez une des options suivantes :
•
-
Any : correspond à tous les ports source.
-
Sélectionner dans la liste : sélectionnez un seul port TCP/UDP source avec lequel
les paquets sont mis en correspondance. Ce champ n'est actif que si 800/6-TCP
ou 800/17-UDP est sélectionné dans le menu déroulant Protocole IP.
-
Par le numéro : saisissez un seul port TCP/UDP source avec lequel les paquets sont
mis en correspondance. Ce champ n'est actif que si 800/6-TCP ou 800/17-UDP est
sélectionné dans le menu déroulant Protocole IP.
Port de destination : sélectionnez l'une des valeurs disponibles. Elles sont identiques à
celles du champ Port source décrit ci-dessus.
REMARQUE Vous devez spécifier le protocole IPv6 de l'ACL avant de pouvoir
configurer le port source et/ou de destination.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
445
22
Contrôle d'accès
Création d'ACL basées sur IPv6
•
Étiquette de flux : classe le trafic IPv6 en fonction d'un champ d'étiquette de flux IPv6.
Il s'agit d'un champ de 20 bits qui fait partie de l'en-tête de paquet IPv6. Une étiquette
de flux IPv6 peut être utilisée par une station source pour étiqueter un jeu de paquets
appartenant au même flux. Sélectionnez Indifférente si toutes les étiquettes de flux sont
acceptées ou Définie par l'utilisateur pour saisir une étiquette de flux spécifique qui sera
acceptée par l'ACL.
•
TCP Flags : sélectionnez un ou plusieurs indicateurs TCP avec lesquels vous souhaitez
filtrer les paquets. Les paquets filtrés sont transmis ou abandonnés. Le filtrage de
paquets par des indicateurs TCP améliore le contrôle des paquets et ainsi la sécurité du
réseau. Pour chaque type d'indicateur, sélectionnez l'une des options suivantes :
•
•
446
-
Set : filtre les paquets pour lesquels l'indicateur est sur SET.
-
Unset : filtre les paquets pour lesquels l'indicateur n'est pas sur SET.
-
Don’t care : ignore l'indicateur TCP.
Type de service : type de service du paquet IP.
-
Indiffér. : tout type de service.
-
DSCP en correspondance : DSCP (Differentiated Serves Code Point) à mettre en
correspondance.
-
IP Precedence to match : la priorité IP est un modèle de TOS (type de service)
utilisé par le réseau pour fournir les engagements QoS appropriés. Ce modèle utilise
les 3 bits les plus significatifs de l'octet du type de service dans l'en-tête IP, comme
décrit dans RFC 791 et RFC 1349.
ICMP : si l'ACL est basée sur ICMP, sélectionnez le type de message ICMP à utiliser
afin de filtrer. Sélectionnez le type de message en fonction de son nom ou saisissez le
numéro du type de message. Si tous les types de message sont acceptés, sélectionnez
« Indiffér. ».
-
Indiffér. : tous les types de message sont acceptés.
-
Sélectionner dans la liste : permet de sélectionner le type de message en fonction de
son nom dans la liste déroulante.
-
Type ICMP de mise en correspondance : numéro du type de message qui sera utilisé
pour filtrer.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Liaison ACL
•
Code ICMP : les messages ICMP peuvent disposer d'un champ de code indiquant
comment gérer le message. Sélectionnez l'une des options suivantes pour indiquer si le
filtrage s'effectuera en fonction de ce code :
-
Indiffér. : tous les codes sont acceptés.
-
Défini par l'utilisateur : saisissez un code ICMP à des fins de filtrage.
ÉTAPE 5 Cliquez sur Appliquer.
Liaison ACL
Lorsqu'une ACL est liée à une interface (port, LAG ou VLAN), ses règles ACE sont
appliquées aux paquets qui arrivent sur cette interface. Les paquets qui ne correspondent à
aucune des règles ACE de l'ACL sont mis en correspondance avec une règle par défaut, dont
l'action consiste à abandonner les paquets sans correspondance.
Bien que chaque interface ne puisse être liée qu'à une seule ACL, plusieurs interfaces peuvent
être liées à la même ACL en les regroupant dans une « policy-map » (principes directeurs),
puis en liant cette dernière à l'interface.
Une fois qu'une ACL est liée à une interface, elle ne peut être éditée, modifiée ou supprimée
qu'une fois enlevée de tous les ports auxquels elle est liée ou sur lesquels elle est utilisée.
REMARQUE
Il est possible de lier une interface (port, LAG ou VLAN) à une stratégie ou à une ACL, mais
il est impossible de la lier à la fois à une stratégie et à une ACL.
REMARQUE
Dans le même mappage de classe, une ACL MAC ne peut pas être utilisée avec une ACE IPv6
dont l'adresse IPv6 de destination est définie comme condition de filtrage.
Liaison ACL (VLAN)
Pour lier une ACL à un VLAN :
ÉTAPE 1 Cliquez sur Contrôle d'accès > Liaison ACL (VLAN).
ÉTAPE 2 Sélectionnez un VLAN et cliquez sur Modifier.
Si le VLAN souhaité ne s'affiche pas, ajoutez-en un nouveau.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
447
22
Contrôle d'accès
Liaison ACL
ÉTAPE 3 Sélectionnez l'une des options suivantes :
•
ACL basée sur MAC : sélectionnez une ACL basée sur MAC à lier à l'interface.
•
ACL basée sur IPv4 : sélectionnez une ACL basée sur IPv4 à lier à l'interface.
•
ACL basée sur IPv6 : sélectionnez une ACL basée sur IPv6 à lier à l'interface.
•
Action par défaut : sélectionnez l'une des options suivantes :
-
Tout refuser : si un paquet ne correspond pas à une ACL, il est refusé (rejeté).
-
Tout autoriser : si un paquet ne correspond pas à une ACL, il est autorisé (transmis).
REMARQUE L'option Action par défaut ne peut être définie que si l'option Protection
de la source IP n'est pas activée sur l'interface.
ÉTAPE 4 Cliquez sur Appliquer. La liaison ACL est modifiée et le fichier de Configuration d'exécution
est mis à jour.
REMARQUE
Si aucune ACL n'est sélectionnée, la ou les ACL précédemment liées au VLAN sont
supprimées.
Liaison ACL (port)
Pour lier une ACL à un port ou un LAG :
ÉTAPE 1 Cliquez sur Contrôle d'accès > Liaison ACL (port).
ÉTAPE 2 Sélectionnez le type d'interface Ports/LAG (Port ou LAG).
ÉTAPE 3 Cliquez sur Go. Pour chaque type d'interface sélectionné, toutes les interfaces de ce type sont
affichées avec la liste de leurs ACL actuelles (pour les ACL d'entrée et les ACL de sortie) :
•
Interface : identifiant de l'interface sur laquelle l'ACL est définie.
•
ACL MAC : les ACL de type MAC qui sont liées à l'interface (le cas échéant).
•
ACL IPv4 : les ACL de type IPv4 qui sont liées à l'interface (le cas échéant).
•
ACL IPv6 : les ACL de type IPv6 qui sont liées à l'interface (le cas échéant).
•
Action par défaut : action des règles d'ACL (tout abandonner ou tout autoriser).
REMARQUE Pour supprimer la liaison de toutes les ACL au niveau d'une interface,
sélectionnez cette dernière puis cliquez sur Clear.
448
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
22
Contrôle d'accès
Liaison ACL
ÉTAPE 4 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 5 Saisissez les informations suivantes pour les ACL d'entrée et de sortie :
ACL d'entrée
•
ACL basée sur MAC : sélectionnez une ACL basée sur MAC à lier à l'interface.
•
ACL basée sur IPv4 : sélectionnez une ACL basée sur IPv4 à lier à l'interface.
•
ACL basée sur IPv6 : sélectionnez une ACL basée sur IPv6 à lier à l'interface.
•
Action par défaut : sélectionnez l'une des options suivantes :
-
Tout refuser : si un paquet ne correspond pas à une ACL, il est refusé (rejeté).
-
Tout autoriser : si un paquet ne correspond pas à une ACL, il est autorisé (transmis).
REMARQUE L'option Action par défaut ne peut être définie que si l'option Protection
de la source IP n'est pas activée sur l'interface.
ACL de sortie
•
ACL basée sur MAC : sélectionnez une ACL basée sur MAC à lier à l'interface.
•
ACL basée sur IPv4 : sélectionnez une ACL basée sur IPv4 à lier à l'interface.
•
ACL basée sur IPv6 : sélectionnez une ACL basée sur IPv6 à lier à l'interface.
•
Action par défaut : sélectionnez l'une des options suivantes :
-
Tout refuser : si un paquet ne correspond pas à une ACL, il est refusé (rejeté).
-
Tout autoriser : si un paquet ne correspond pas à une ACL, il est autorisé (transmis).
REMARQUE L'option Action par défaut ne peut être définie que si l'option Protection
de la source IP n'est pas activée sur l'interface.
ÉTAPE 6 Cliquez sur Appliquer. La liaison ACL est modifiée et le fichier de Configuration d'exécution
est mis à jour.
REMARQUE
Si aucune ACL n'est sélectionnée, la ou les ACL précédemment liées à l'interface sont
supprimées.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
449
23
Qualité de service
La fonction QoS (Quality of Service, qualité de service) est appliquée à l'ensemble du réseau
pour garantir que le trafic réseau est géré en fonction des critères fixés et que les données
voulues reçoivent un traitement préférentiel.
Cette section couvre les sujets suivants :
•
Fonctions et composants QoS
•
Général
•
Mode de base de QoS
•
Mode de QoS avancé
•
Statistiques de QoS
Fonctions et composants QoS
La fonction QoS permet d'optimiser les performances du réseau.
La QoS fournit les éléments suivants :
•
Classification du trafic entrant en différentes classes sur la base d'attributs,
notamment :
-
Configuration du périphérique
-
Interface d'entrée
-
Contenu des paquets
-
Combinaison de ces attributs
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
450
23
Qualité de service
Fonctions et composants QoS
La QoS inclut :
•
Traffic Classification : permet de marquer chaque paquet entrant comme appartenant
à un flux de trafic spécifique, sur la base du contenu de ce paquet et/ou du port. Cette
classification est réalisée à l'aide d'une liste de contrôle d'accès (ACL). Seul le trafic
répondant aux critères de l'ACL est soumis à la classification CoS ou QoS.
•
Assignment to Software Queues (Affectation à des files d'attente logicielles) : affecte
les paquets entrants à des files d'attente de transfert. Les paquets sont envoyés à une
file d'attente particulière pour gestion en tant que fonction de la classe de trafic à
laquelle ils appartiennent. Reportez-vous à la section File d'attente.
•
Autre attribut de gestion de classe de trafic : applique des mécanismes QoS à
diverses classes, y compris la gestion de bande passante.
Fonctionnement de QoS
Vous pouvez entrer le type de champ d'en-tête auquel faire confiance sur la page Paramètres
globaux. Pour chaque valeur de ce champ, une file d'attente de sortie est désignée, indiquant la
file d'attente choisie pour l'envoi de la trame sur la page CoS/802.1p vers une file d'attente ou
sur la page DSCP vers file d'attente (selon que le mode de confiance choisi est respectivement
CoS/802.1p ou DSCP).
Modes QoS
Le mode de QoS sélectionné s'applique à toutes les interfaces du système.
•
Mode de base : CoS (Class of Service, classe de service).
Tout le trafic d'une même classe reçoit un traitement identique, à savoir l'action unique
de QoS consistant à déterminer la file d'attente de sortie sur le port de sortie, ceci sur la
base de la valeur QoS indiquée dans la trame entrante. Il peut s'agir de la valeur VPT
(VLAN Priority Tag, balise de priorité VLAN) 802.1p en mode Couche 2 et de la
valeur DSCP (Differentiated Service Code Point, point de code de service différencié)
pour IPv4 ou de la valeur TC (Traffic Class, classe de trafic) pour IPv6 en mode
Couche 3. Lorsqu'il fonctionne en mode de base, le périphérique considère cette valeur
de QoS affectée en externe comme fiable. La valeur de QoS affectée en externe à un
paquet détermine sa classe de trafic et la QoS.
Vous pouvez entrer le champ d'en-tête auquel faire confiance sur la page Paramètres
globaux. Pour chaque valeur de ce champ, une file d'attente de sortie est désignée dans
laquelle la trame est envoyée sur la page CoS/802.1p vers une file d'attente ou sur la
page DSCP vers file d'attente (selon que le mode de confiance choisi est
respectivement CoS/802.1p ou DSCP).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
451
23
Qualité de service
Fonctions et composants QoS
•
Mode Avancé : QoS (Quality of Service, qualité de service) pour chaque flux.
En mode Avancé, la QoS de chaque flux est constituée d'un mappage de classe et d'un
gestionnaire de stratégie :
•
-
Le mappage de classe définit le type de trafic d'un flux et contient une ou plusieurs
ACL. Les paquets correspondant à ces ACL appartiennent au flux.
-
Le gestionnaire de stratégie applique la QoS configurée à un flux. La configuration
de QoS d'un flux peut regrouper une file d'attente de sortie, la valeur DSCP ou
CoS/802.1p et les actions à appliquer au trafic hors profil (excédent).
Mode Désactivé : dans ce mode, tout le trafic est mappé sur une seule file d'attente de
type « meilleur effort » (best effort) et aucun type de trafic n'est prioritaire sur les
autres.
Vous ne pouvez activer qu'un seul mode à la fois. Lorsque le système est configuré pour
fonctionner en mode de QoS avancé, les paramètres du mode de base de QoS sont inactifs, et
inversement.
Lorsque vous changez de mode, les événements suivants se produisent :
•
Lorsque vous passez du mode de QoS avancé à un autre mode, les définitions de profil
de stratégie et les mappages de classe sont supprimés. Les ACL directement liées aux
interfaces restent liées.
•
Lorsque vous passez du mode de base de QoS au mode avancé, la configuration du
mode de confiance QoS sur le mode De base n'est pas conservée.
•
Lorsque vous désactivez la QoS, les paramètres de mise en forme et de file d'attente
(paramètre de bande passante WRR/SP) sont réinitialisés sur leurs valeurs par défaut.
Tous les autres éléments de configuration définis par l'utilisateur restent intacts.
Flux de travail de QoS
Pour définir les paramètres de QoS généraux, procédez comme suit :
ÉTAPE 1 Choisissez le mode de QoS du système (Basic [De base], Advanced [Avancé] ou Disabled
[Désactivé], comme décrit à la section « QoS Modes » [Modes de QoS]) via la page Propriétés
de QoS. Les étapes de flux de travail suivantes décrites ici considèrent que vous avez choisi
d'activer la QoS.
ÉTAPE 2 Attribuez à chaque interface une priorité CoS par défaut, via la page Propriétés de QoS.
ÉTAPE 3 Attribuez une méthode de planification (Strict Priority [Priorité stricte] ou WRR) et une valeur
d'allocation de bande passante WRR aux files d'attente de sortie, via la page File d'attente.
452
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Fonctions et composants QoS
ÉTAPE 4 Désignez une file d'attente de sortie pour chaque valeur IP DSCP/TC sur la page DSCP vers
file d'attente. Si le périphérique fonctionne en mode de confiance DSCP, les paquets entrants
sont placés dans les files d'attente de sortie en fonction de leur valeur DSCP/TC.
ÉTAPE 5 Associez une file d'attente de sortie à chaque priorité CoS/802.1p. Si le périphérique
fonctionne en mode de confiance CoS/802.1, tous les paquets entrants sont placés dans les
files d'attente de sortie prévues en fonction de la priorité CoS/802.1 des paquets. Utilisez pour
cela la page CoS/802.1p vers une file d'attente.
ÉTAPE 6 Si nécessaire (uniquement pour le trafic de la Couche 3), affectez une file d'attente à chaque
valeur DSCP/TC sur la page DSCP vers file d'attente.
ÉTAPE 7 Saisissez les limites de bande passante et de débit dans les pages suivantes :
a. Définissez le lissage en sortie par file d'attente sur la page Modelage de sortie par file
d'attente.
b. Définissez la limite de vitesse d'entrée et le taux de lissage en sortie pour chaque port sur la
page Bande passante.
ÉTAPE 8 Configurez le mode sélectionné en réalisant l'une des opérations suivantes :
a. Configurez le mode De base comme le décrit la section Flux de travail de configuration du
mode de base de QoS
b. Configurez le mode avancé comme le décrit la section Flux de travail de configuration du
mode de QoS avancé.
Flux de travail de QoS
Pour définir les paramètres de QoS généraux, procédez comme suit :
ÉTAPE 1 Activez QoS dans la page Propriétés QoS pour sélectionner le mode de confiance. Activez
ensuite QoS sur les ports dans la page Paramètres d'interface.
ÉTAPE 2 Attribuez à chaque interface une priorité CoS ou DSCP par défaut, via la page Propriétés de
QoS.
ÉTAPE 3 Attribuez une méthode de planification (Priorité stricte ou WRR) et une valeur d'allocation de
bande passante WRR aux files d'attente de sortie, via la page File d'attente.
ÉTAPE 4 Désignez une file d'attente de sortie pour chaque valeur IP DSCP/TC sur la page DSCP vers la
file d'attente. Si le périphérique fonctionne en mode de confiance DSCP, les paquets entrants
sont placés dans les files d'attente de sortie en fonction de leur valeur DSCP/TC.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
453
23
Qualité de service
Général
ÉTAPE 5 Associez une file d'attente de sortie à chaque priorité CoS/802.1p. Si le périphérique
fonctionne en mode de confiance CoS/802.1, tous les paquets entrants sont placés dans les
files d'attente de sortie prévues en fonction de la priorité CoS/802.1 des paquets. Pour ce faire,
utilisez la page CoS/802.1p vers file d'attente.
ÉTAPE 6 Saisissez les limites de bande passante et de débit dans les pages suivantes :
a. Définissez le lissage en sortie pour chaque file d'attente sur la page Modelage de sortie par
file d'attente.
b. Définissez la limite de vitesse d'entrée et le taux de lissage en sortie pour chaque port sur la
page Bande passante.
Général
Cette section couvre les sujets suivants :
454
•
Propriétés de QoS
•
File d'attente
•
CoS/802.1p vers une file d'attente
•
DSCP vers file d'attente
•
Bande passante
•
Modelage de sortie par file d'attente
•
Limite de débit d'entrée VLAN
•
Évitement des congestions TCP
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Général
Propriétés de QoS
La rubrique Propriétés de QoS contient des champs permettant de définir le mode de QoS du
système (De base, Avancé ou Désactivé, comme le décrit la section “Modes QoS”).
Pour activer la QoS et sélectionner le mode de QoS, procédez comme suit :
ÉTAPE 1 Cliquez sur Qualité de service > Général > Propriétés de QoS.
ÉTAPE 2 Définissez le mode QoS. Les options suivantes sont disponibles :
•
Désactiver : QoS est désactivé sur le périphérique.
•
De base : QoS est activé sur le périphérique en mode De base.
•
Avancé : QoS est activé sur le périphérique en mode Avancé.
ÉTAPE 3 Sélectionnez Port/LAG et cliquez ensuite sur Ok pour afficher/modifier tous les ports/LAG
sur le périphérique, ainsi que leurs informations de CoS.
Les champs suivants sont affichés pour tous les ports/LAG :
•
Interface : type de l'interface.
•
CoS par défaut : Valeur VPT par défaut pour les paquets entrants qui ne possèdent pas
de balise VLAN. La valeur CoS par défaut est 0. La valeur par défaut s'applique
seulement aux trames non balisées et uniquement lorsque le système fonctionne en
mode De base et que l'option CoS de confiance est sélectionnée sur la page Paramètres
globaux.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Pour définir une QoS sur une interface, sélectionnez-la et cliquez sur Modifier.
ÉTAPE 1 Saisissez les paramètres.
•
Interface : sélectionnez le port ou LAG.
•
CoS par défaut : sélectionnez la valeur de CoS (Class-of-Service, classe de service) à
affecter aux paquets entrants qui ne possèdent pas de balise VLAN.
ÉTAPE 2 Cliquez sur Appliquer. La valeur CoS par défaut de l'interface est enregistrée dans le fichier
de Configuration d'exécution.
Pour restaurer les valeurs CoS par défaut, cliquez sur Restaurer les valeurs CoS par défaut.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
455
23
Qualité de service
Général
File d'attente
L'appareil prend en charge 8 files d'attente par interface. La file d'attente 8 est celle qui dispose
de la priorité la plus élevée. La file d'attente 1 est celle dont la priorité est la plus faible.
Il existe deux façons de déterminer le mode de gestion du trafic dans les files d'attente :
Priorité stricte et WRR (Weighted Round Robin, technique du tourniquet pondéré).
•
Priorité stricte : le trafic sortant émanant de la file d'attente de priorité la plus élevée est
transmis en premier. Le trafic des files d'attente de priorité(s) plus faible(s) n'est traité
qu'après transmission des files d'attente de priorité(s) supérieure(s), ce qui donne le niveau
de priorité le plus élevé au trafic de la file d'attente portant le numéro le plus élevé.
•
Weighted Round Robin (WRR) : en mode WRR, le nombre de paquets envoyés depuis
la file d'attente est proportionnel à la pondération de cette file d'attente (plus la
pondération est élevée, plus le nombre de trames transmises est important). Par exemple,
s'il y a un maximum de quatre files d'attente possible et qu'elles sont toutes de type WRR
et que les pondérations par défaut sont appliquées, la file d'attente 1 reçoit 1/15 de la
bande passante (en supposant que toutes les files d'attente sont saturées et qu'il y a
encombrement), la file d'attente 2 en reçoit 2/15, la file d'attente 3 en reçoit 4/15 et la file
d'attente 4 reçoit 8/15 de la bande passante. Le type d'algorithme WRR utilisé sur le
périphérique n'est pas l'algorithme standard DWRR (Deficit WRR, WRR avec déficit)
mais l'algorithme SDWRR (Shaped Deficit WRR, WRR avec déficit lissé).
Vous sélectionnez les modes de mise en file d'attente dans la page File d'attente. Lorsque la
mise en file d'attente se fait par priorité stricte, l'ordre de priorité définit l'ordre de traitement
des files d'attente, en commençant par celle dont la priorité est la plus élevée, puis en passant à
la file d'attente de niveau immédiatement inférieur à la fin du traitement de chaque file.
Lorsque la mise en file d'attente est de type WRR (Weighted Round Robin), chaque file
d'attente est traitée jusqu'à ce que son quota soit atteint. Le système passe ensuite à une autre
file d'attente.
Il est également possible d'affecter une WRR à certaines des files d'attente de priorité plus
faible tout en maintenant le traitement Priorité stricte pour des files d'attente de niveau(x) plus
élevé(s). Dans ce cas, le trafic des files d'attente à priorité stricte est toujours envoyé avant
celui des files d'attente WRR. Le trafic des files d'attente WRR n'est transféré que lorsque les
files d'attente à priorité stricte sont vides. (La portion relative en provenance de chaque file
d'attente WRR dépend de sa pondération.)
456
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Général
Pour sélectionner la méthode de priorité et entrer les données WRR :
ÉTAPE 1 Cliquez sur Qualité de service > Général > File d'attente.
ÉTAPE 2 Saisissez les paramètres.
•
Queue : affiche le numéro de la file d'attente.
•
Méthode de planification : sélectionnez l'une des options suivantes :
-
Strict Priority : la planification du trafic de la file d'attente sélectionnée et de toutes
les files d'attente supérieures est strictement basée sur la priorité de chaque file
d'attente.
-
WRR : la planification du trafic de la file d'attente sélectionnée se base sur une
WRR. Chaque période est divisée entre les files d'attente WRR qui ne sont pas vides
(celles qui ont des descripteurs de sortie). Cette division ne s'applique que si les files
d'attente à priorité stricte sont vides.
-
Pondération WRR : si vous choisissez WRR, saisissez la pondération WRR
attribuée à la file d'attente.
-
% de bande passante WRR : affiche la quantité de bande passante affectée à la file
d'attente. Ces valeurs représentent un pourcentage de la pondération WRR.
ÉTAPE 3 Cliquez sur Appliquer. Les files d'attente sont configurées et le fichier de Configuration
d'exécution est mis à jour.
CoS/802.1p vers une file d'attente
La page CoS/802.1p vers file d'attente mappe des priorités 802.1p sur des files d'attente de
sortie. La table CoS/802.1p vers file d'attente détermine les files d'attente de sortie des paquets
entrants sur la base de la priorité 802.1p figurant dans leurs balises VLAN. Pour les paquets
entrants non balisés, la priorité 802.1p utilisée est la priorité CoS/802.1p par défaut affectée
aux ports d'entrée.
Le tableau suivant décrit le mappage par défaut lorsque 8 files d'attente sont utilisées :
En modifiant le mappage CoS/802.1p vers file d'attente (CoS/802.1p vers file d'attente), et la
méthode de planification des files d'attente ainsi que l'allocation de la bande passante (page
File d'attente), il est possible d'obtenir la qualité de service voulue sur un réseau.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
457
23
Qualité de service
Général
Le mappage CoS/802.1p à file d'attente s'applique uniquement si l'une des conditions
suivantes est remplie :
•
Le périphérique est en mode de base de QoS et en mode de confiance CoS/802.1p
•
Le périphérique est en mode de QoS avancé et les paquets appartiennent à des flux en
mode de confiance CoS/802.1p
La file d'attente 1 est celle qui dispose de la priorité la plus basse, tandis que la priorité la plus
élevée est affectée à la file d'attente 8 des gammes 350 et 550.
Pour mapper des valeurs de CoS sur des files d'attente de sortie :
ÉTAPE 1 Cliquez sur Qualité de service > Général > CoS/802.1p vers file d'attente.
ÉTAPE 2 Saisissez les paramètres.
•
802.1p : affiche les valeurs de balise de priorité 802.1p à affecter à une file d'attente de
sortie, où 0 est la priorité la plus faible et 7 la plus élevée.
•
Output Queue : sélectionnez la file d'attente de sortie sur laquelle la priorité 802.1p est
mappée. Le système prend en charge quatre ou huit files d'attente de sortie, parmi
lesquelles la File d'attente 4 ou 8 dispose de la priorité la plus élevée et la File d'attente 1
de la priorité la plus faible.
ÉTAPE 3 Pour chaque priorité 802.1p, sélectionnez la file d'attente de sortie sur laquelle elle est mappée.
ÉTAPE 4 Cliquez sur Appliquer, Annuler ou Restaurer déf. Les valeurs de priorité 801.1p vers les
files d'attente sont mappées et le fichier de configuration d'exécution est mis à jour. Les
modifications saisies sont annulées ou les valeurs préalablement définies sont restaurées.
DSCP vers file d'attente
La page DSCP (IP Differentiated Services Code Point, point de code de service différencié IP)
vers file d'attente mappe des valeurs DSCP vers des files d'attente de sortie. La table DSCP
vers file d'attente détermine la file d'attente de sortie des paquets IP entrants sur la base de leur
valeur DSCP. La valeur VPT (VLAN Priority Tag, marquage de priorité VLAN) du paquet
reste inchangée.
En modifiant simplement le mappage DSCP vers file d'attente, la méthode de planification des
files d'attente ainsi que l'allocation de bande passante, il est possible d'obtenir la qualité de
service voulue sur un réseau.
458
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Général
Le mappage DSCP à file d'attente s'applique aux paquets IP si :
•
Le périphérique est en mode QoS de base et DSCP est en mode de confiance ;
•
le périphérique est en mode de QoS avancé et les paquets appartiennent à des flux en
mode de confiance DSCP.
Les paquets non IP sont toujours classifiés comme appartenant à la file d'attente Meilleur
effort (Best effort).
Le tableau suivant décrit le mappage DSCP vers file d'attente par défaut pour un système
à 8files d'attente, dans lequel la file d'attente 7 a la priorité la plus élevée et la file d'attente 8
est utilisée à des fins de contrôle de pile.
DSCP
63
55
47
39
31
23
15
7
File
d'attente
6
6
7
5
4
3
2
1
DSCP
62
54
46
38
30
22
14
6
File
d'attente
6
6
7
5
4
3
2
1
DSCP
61
53
45
37
29
21
13
5
File
d'attente
6
6
7
5
4
3
2
1
DSCP
60
52
44
36
28
20
12
4
File
d'attente
6
6
7
5
4
3
2
1
DSCP
59
51
43
35
27
19
11
3
File
d'attente
6
6
7
5
4
3
2
1
DSCP
58
50
42
34
26
18
10
2
File
d'attente
6
6
7
5
4
3
2
1
DSCP
57
49
41
33
25
17
9
1
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
459
23
Qualité de service
Général
File
d'attente
6
6
7
5
4
3
2
1
DSCP
56
48
40
32
24
16
8
0
File
d'attente
6
6
6
7
6
6
1
1
Les tableaux suivants décrivent le mappage DSCP vers file d'attente par défaut pour un
système à 8 files d'attente où 8 est la valeur la plus élevée :
460
DSCP
63
55
47
39
31
23
15
7
File
d'attente
7
7
8
6
5
4
3
1
DSCP
62
54
46
38
30
22
14
6
File
d'attente
7
7
8
6
5
4
3
1
DSCP
61
53
45
37
29
21
13
5
File
d'attente
7
7
8
6
5
4
3
1
DSCP
60
52
44
36
28
20
12
4
File
d'attente
7
7
8
6
5
4
3
1
DSCP
59
51
43
35
27
19
11
3
File
d'attente
7
7
8
6
5
4
3
1
DSCP
58
50
42
34
26
18
10
2
File
d'attente
7
7
8
6
5
4
3
1
DSCP
57
49
41
33
25
17
9
1
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Général
File
d'attente
7
7
8
6
5
4
3
1
DSCP
56
48
40
32
24
16
8
0
File
d'attente
7
7
7
8
7
7
1
2
Pour mapper DSCP à des files d'attente :
ÉTAPE 1 Cliquez sur Qualité de service > Général > DSCP vers file d'attente.
La page DSCP vers file d'attente contient DSCP d'entrée. Il affiche la valeur DSCP du paquet
entrant et la classe associée.
ÉTAPE 2 Sélectionnez la file d'attente de sortie (file d'attente de transfert du trafic) sur laquelle la
valeur DSCP est mappée.
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Bande passante
La page Bande passante affiche les informations de bande passante de chaque interface.
Pour afficher les informations relatives à la bande passante, procédez comme suit :
ÉTAPE 1 Cliquez sur Qualité de service > Général > Bande passante.
Les champs de cette page sont décrits sur la page Modifier ci-dessous, sauf les champs
suivants :
•
Limite de débit d'entrée :
-
État : indique si la limite de débit d'entrée est activée.
-
Limite de débit (Kbit/s) : affiche la limite de débit d'entrée du port.
-
% : indique la limite de débit d'entrée pour le port divisée par la bande passante
totale du port.
-
CBS (octets) : taille de rafale maximale de données de l'interface d'entrée, en
octets.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
461
23
Qualité de service
Général
•
Taux de modelage en sortie :
-
État : indique si le taux de modelage en sortie est activé.
-
CIR (Kbit/s) : affiche la bande passante maximale de l'interface de sortie.
-
CBS (octets) : taille de rafale maximale de données de l'interface de sortie, en
octets.
ÉTAPE 2 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 3 Sélectionnez le port ou l'interface LAG.
ÉTAPE 4 Remplissez les champs pour l'interface sélectionnée :
•
Limite de débit d'entrée : sélectionnez cette option pour activer la limite de débit
d'entrée, que vous définissez ensuite dans le champ situé au-dessous. (Cela ne concerne
pas les LAG.)
•
Limite de débit d'entrée (Kbit/s) : saisissez la bande passante maximale autorisée sur
l'interface. (Cela ne concerne pas les LAG.)
•
Taille de rafale garantie (CBS) : saisissez la taille maximale de rafale de données de
l'interface d'entrée, en octets de données. Cette quantité de données peut être envoyée
même si cela provoque un dépassement temporaire de la limite de la bande passante
autorisée. Ce champ est disponible uniquement si l'interface est un port. (Cela ne
concerne pas les LAG.)
•
Taux de lissage en sortie (egress shaping) : sélectionnez cette option pour activer le
lissage en sortie (egress shaping) sur le port.
•
Débit minimal garanti (CIR) : saisissez la quantité maximale de bande passante de
l'interface de sortie.
•
Taille de rafale garantie en sortie (CBS) : saisissez la taille maximale de rafale de
données de l'interface de sortie, en octets de données. Cette quantité de données peut
être envoyée même si cela provoque un dépassement temporaire de la limite de la bande
passante autorisée.
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres de bande passante sont écrits dans le fichier de
Configuration d'exécution.
462
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Général
Modelage de sortie par file d'attente
Outre la limitation du débit de transmission de chaque port, que vous configurez dans la page
Bande passante, le périphérique peut limiter le débit de transmission des trames en sortie
sélectionnées pour chaque file d'attente et pour chaque port. La limitation du débit en sortie est
réalisée par mise en forme de la charge de sortie.
Le périphérique limite toutes les trames, à l'exception des trames de gestion. Toutes les trames
non limitées sont ignorées dans le calcul du débit, ce qui signifie que leur taille n'est pas
incluse dans la limite totale.
Vous pouvez désactiver le lissage (shaping) du débit en sortie pour chaque file d'attente.
Pour définir la mise en forme en sortie pour chaque file d'attente :
ÉTAPE 1 Cliquez sur Qualité de service > Général > Modelage de sortie par file d'attente.
La page Modelage de sortie par file d'attente affiche la limite de débit et la taille de rafale
applicables à chaque file d'attente.
ÉTAPE 2 Sélectionnez un type d'interface (Port ou LAG) et cliquez sur Go.
ÉTAPE 3 Sélectionnez un port/LAG et cliquez sur Modifier.
Cette page vous permet de lisser la sortie pour un maximum de huit files d'attente sur chaque
interface.
ÉTAPE 4 Sélectionnez l'interface voulue.
ÉTAPE 5 Pour chacune des files d'attente nécessaires, remplissez les champs suivants :
•
Activer le lissage : sélectionnez cette option pour activer le modelage en sortie sur cette
file d'attente.
•
Débit minimal garanti (CIR) : saisissez le taux maximal (CIR) en kilobits par seconde
(kbit/s). Le CIR est la quantité maximale moyenne de données pouvant être envoyée.
•
Taille de rafale garantie (CBS) : saisissez la taille maximale de rafale (CBS), en octets.
Le CBS indique la taille maximale de rafale de données dont l'envoi est autorisé même
si cela dépasse le CIR.
ÉTAPE 6 Cliquez sur Appliquer. Les paramètres de bande passante sont écrits dans le fichier de
Configuration d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
463
23
Qualité de service
Général
Limite de débit d'entrée VLAN
La limitation du débit pour chaque VLAN, que vous réalisez sur la page Limite de débit
d'entrée VLAN, permet de limiter le trafic sur les VLAN. Lorsque vous configurez des limites
de débit d'entrée VLAN, cela limite le trafic agrégé de tous les ports du périphérique.
Les contraintes suivantes s'appliquent à la limitation du débit pour chaque VLAN :
•
La priorité est inférieure à celle de toute autre stratégie de trafic définie dans le
système. Par exemple, si un paquet est soumis à la fois à des limites de débit QoS et à
des limites de débit VLAN et que ces limites entrent en conflit, les limites de débit
QoS sont prioritaires.
•
Cela s'applique au niveau du périphérique et dans le périphérique au niveau du
processeur de paquets. S'il y a plusieurs processeurs de paquets sur le périphérique, la
valeur limite de débit configurée sur le VLAN est appliquée à chacun des processeurs
de paquets, de manière indépendante. Les périphériques présentant jusqu'à 24 ports
possèdent un seul processeur de paquets, tandis que les périphériques de 48 ports ou
plus possèdent deux processeurs de paquets.
La limitation de débit est calculée séparément pour chaque processeur de paquets dans une
unité et pour chaque unité dans une pile.
Pour définir la limite de débit d'entrée VLAN :
ÉTAPE 1 Cliquez sur Qualité de service > Général > Limite de débit d'entrée VLAN.
Cette page affiche la table des limites de débit d'entrée VLAN.
ÉTAPE 2 Cliquez sur Add.
ÉTAPE 3 Saisissez les paramètres.
•
VLAN ID : sélectionnez un VLAN.
•
Committed Information Rate (CIR) (Débit minimal garanti [CIR]) : saisissez la
quantité moyenne maximale de données qui peut être acceptée sur le VLAN, en kilobits
par seconde.
•
Taille de rafale garantie (CBS) : saisissez la taille maximale de rafale de données de
l'interface de sortie, en octets. Cette quantité de données peut être envoyée même si cela
provoque un dépassement temporaire de la limite de la bande passante autorisée. Cette
valeur ne peut pas être saisie pour un LAG.
ÉTAPE 4 Cliquez sur Appliquer. La limite de débit VLAN est ajoutée et le fichier de Configuration
d'exécution est mis à jour.
464
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de base de QoS
Évitement des congestions TCP
La page Évitement de l'encombrement TCP vous permet d'activer un algorithme d'évitement
de l'encombrement TCP. Cet algorithme casse ou évite la synchronisation TCP globale sur un
nœud encombré lorsque la congestion est due au fait que plusieurs sources envoient des
paquets munis de mêmes nombres d'octets.
Pour configurer l'évitement des congestions TCP :
ÉTAPE 1 Cliquez sur Qualité de service > Général > Évitement des congestions TCP.
ÉTAPE 2 Cliquez sur Activer pour activer l'évitement des congestions TCP, puis cliquez sur Appliquer.
Mode de base de QoS
Cette section couvre les sujets suivants :
•
Présentation
•
Paramètres globaux
•
Paramètres d'interface
Présentation
En mode de base de QoS, vous pouvez définir un domaine spécifique du réseau en tant que
domaine de confiance. Dans ce domaine, les paquets sont marqués avec la priorité 802.1p et/
ou DSCP afin de signaler le type de service qu'ils nécessitent. Les nœuds du domaine utilisent
ces champs pour affecter les paquets à une file d'attente de sortie spécifique. La classification
initiale des paquets et le marquage de ces champs s'effectuent dans les données d'entrée du
domaine validé.
Flux de travail de configuration du mode de base de QoS
Pour configurer le mode de base de QoS, procédez comme suit :
1. Sélectionnez le mode De base pour le système sur la page Propriétés de QoS.
2. Sélectionnez le comportement de confiance par l'intermédiaire de la page Paramètres
globaux. Le périphérique prend en charge le mode de confiance CoS/802.1p et le mode de
confiance DSCP. Le mode validé CoS/802.1p utilise la priorité 802.1p figurant dans la
balise VLAN. Le mode validé DSCP utilise la valeur DSCP figurant dans l'en-tête IP.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
465
23
Qualité de service
Mode de base de QoS
S'il existe un port qui fait exception et ne doit pas faire confiance au marquage CoS entrant,
désactivez l'état de QoS sur ce port à l'aide de la page Paramètres d'interface.
Activez ou désactivez le mode de confiance sélectionné au niveau global sur les divers ports
via la page Paramètres d'interface. Si un port est désactivé sans mode validé, tous ses paquets
d'entrée sont réacheminés en mode Meilleur effort (Best effort). Il est recommandé de
désactiver le mode de confiance sur les ports où les valeurs CoS/802.1p et/ou DSCP des
paquets entrants ne sont pas dignes de confiance. Dans le cas contraire, cela peut avoir un
impact négatif sur les performances de votre réseau.
Paramètres globaux
La page Paramètres globaux contient des informations concernant l'activation du mode de
confiance sur l'appareil (reportez-vous au champ Mode de confiance ci-dessous). Cette
configuration est active lorsque le mode de QoS est De base. Les paquets entrant dans un
domaine QoS sont classifiés à la bordure du domaine QoS.
Pour définir la configuration de mode de confiance :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de base de QoS > Paramètres globaux.
ÉTAPE 2 Sélectionnez le Mode de confiance à appliquer lorsque le périphérique est en mode De base.
Si le niveau de CoS et la balise DSCP d'un paquet sont mappés sur des files d'attente distinctes, le
mode de confiance détermine la file d'attente à laquelle ce paquet doit être affecté :
•
CoS/802.1p : le trafic est mappé sur des files d'attente en fonction du champ VPT de la
balise VLAN, ou en fonction de la valeur par défaut CoS/802.1p définie pour chaque
port (si le paquet entrant ne comporte aucune balise VLAN). Configurez le mappage
VPT vers la file d'attente réelle sur la page CoS/802.1p vers la file d'attente.
•
DSCP : tout le trafic IP est mappé sur des files d'attente en fonction du champ DSCP de
l'en-tête IP. Vous pouvez configurer le mappage DSCP vers file d'attente sur la page
DSCP vers file d'attente. Si le trafic n'est pas de type IP, il est mappé sur la file d'attente
de meilleur effort.
•
CoS/802.1p-DSCP : CoS/802.1p ou DSCP, selon l'option que vous avez sélectionnée.
ÉTAPE 3 Sélectionnez Remplacer DSCP d'entrée pour remplacer les valeurs DSCP d'origine des
paquets entrants par celles saisies dans la table de substitution DSCP. Lorsque la fonction
Remplacer DSCP d'entrée est activée, l'appareil utilise les nouvelles valeurs DSCP pour la
mise en file d'attente des données en sortie. Il remplace également les valeurs DSCP d'origine
figurant dans les paquets par les nouvelles valeurs DSCP.
REMARQUE La trame est mappée sur une file d'attente en sortie à l'aide de la nouvelle
valeur réécrite et non de la valeur DSCP d'origine.
466
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de base de QoS
ÉTAPE 4 Si vous avez activé l'option Remplacer DSCP d'entrée, cliquez sur Table de substitution
DSCP pour reconfigurer le DSCP. (Voir Table de substitution DSCP).
ÉTAPE 5 DSCP en entrée affiche la valeur DSCP du paquet entrant qui doit à nouveau être marqué
d'une autre valeur. Sélectionnez la valeur DSCP en sortie pour indiquer que la valeur sortante
est mappée.
ÉTAPE 6 Cliquez sur Appliquer. Le fichier de Configuration d'exécution est mis à jour avec les
nouvelles valeurs DSCP.
Paramètres d'interface
La page Paramètres d'interface vous permet de configurer la QoS sur chaque port du
périphérique, comme suit :
•
QoS désactivée sur l'interface : tout le trafic entrant sur le port est mappé sur la file
d'attente Meilleur effort (Best effort) et aucune classification/attribution de priorité
n'est effectuée.
•
QoS activée sur le port : le trafic d'entrée sur le port reçoit un ordre de priorité qui
dépend du mode de confiance configuré à l'échelle du système, à savoir CoS/802.1p ou
DSCP.
Pour entrer les paramètres de QoS de chaque interface :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de base de QoS > Paramètres d'interface.
ÉTAPE 2 Sélectionnez Port ou LAG pour afficher la liste des ports ou LAG.
État de QoS indique si la QoS est activée sur l'interface.
ÉTAPE 3 Sélectionnez une interface et cliquez sur Edit.
ÉTAPE 4 Sélectionnez le port ou l'interface LAG.
ÉTAPE 5 Cliquez pour activer ou désactiver l'état de QoS pour cette interface.
ÉTAPE 6 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
467
23
Qualité de service
Mode de QoS avancé
Mode de QoS avancé
Cette section couvre les sujets suivants :
•
Présentation
•
Flux de travail de configuration du mode de QoS avancé
•
Paramètres globaux
•
Nouveau marquage du DSCP hors profil
•
Mappage de classes
•
Gestion de stratégie d'agrégats
•
Table des stratégies
•
Mappages de classe de stratégies
•
Liaison de stratégies
Présentation
Les trames qui correspondent à une ACL et sont autorisées à entrer sur le système sont
implicitement marquées du nom de l'ACL qui a donné cette autorisation. Vous pouvez alors
appliquer des actions de QoS en mode avancé à ces flux.
En mode de QoS avancé, le périphérique utilise des stratégies pour prendre en charge la QoS
pour chaque flux. Une stratégie et ses composants possèdent les caractéristiques et les
relations suivantes :
468
•
Une stratégie contient un ou plusieurs mappages de classe.
•
Un mappage de classe définit un flux associé à une ou plusieurs ACL. Les paquets qui
correspondent uniquement aux règles d'ACL (ACE) d'un mappage de classe avec
l'action Permit (forward) sont considérés comme appartenant au même flux et sont
soumis à la même QoS. Ainsi, une stratégie contient un ou plusieurs flux, chacun avec
une QoS définie par l'utilisateur.
•
La QoS d'un mappage de classe (flux) est exercée par le gestionnaire de stratégie
associé. Il existe deux types de gestionnaire de stratégie : le gestionnaire de stratégie
individuelle et le gestionnaire de stratégie d'agrégats. Chaque gestionnaire de stratégie
est configuré avec une spécification de QoS. Le gestionnaire de stratégie individuelle
applique la QoS à un seul mappage de classe, c'est-à-dire à un seul flux, en se fondant
sur la spécification de QoS qu'il contient. Le gestionnaire de stratégie d'agrégats
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de QoS avancé
applique la QoS à un ou plusieurs mappages de classe (flux). Un gestionnaire de
stratégie d'agrégats peut prendre en charge des mappages de classe issus de plusieurs
stratégies.
•
La QoS est appliquée à chaque flux par liaison des stratégies aux ports voulus. Vous
pouvez lier une stratégie et ses mappages de classe à un ou plusieurs ports mais chaque
port ne peut être lié qu'à une seule stratégie.
Remarques :
•
Les gestionnaires de stratégie individuelle et d'agrégats sont disponibles lorsque le
périphérique fonctionne en mode Couche 2.
•
Une ACL peut être configurée sur un ou plusieurs mappages de classe, quelles que
soient les stratégies.
•
Un mappage de classe ne peut appartenir qu'à une seule stratégie.
•
Lorsqu'un mappage de classe utilisant un gestionnaire de stratégie individuelle est lié à
plusieurs ports, chaque port possède sa propre instance de gestionnaire de stratégie
individuelle ; chacune applique la QoS du mappage de classe (flux) sur un port,
indépendamment des autres ports.
•
Un gestionnaire de stratégie d'agrégats applique la QoS à tous les flux, de façon
agrégée, sans tenir compte des stratégies ni des ports.
Les paramètres de QoS avancé se composent de trois parties :
•
Définition des règles à mettre en correspondance. Toutes les trames qui correspondent
à un groupe unique de règles sont considérées comme constituant un flux.
•
Définition des actions à appliquer aux trames de chaque flux qui correspondent aux
règles.
•
Liaison de combinaisons règles-action à une ou plusieurs interfaces.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
469
23
Qualité de service
Mode de QoS avancé
Flux de travail de configuration du mode de QoS avancé
Pour configurer le mode de QoS avancé, procédez comme suit :
1. Sélectionnez le mode Avancé pour le système sur la page Propriétés de QoS. Sélectionnez
le Mode de confiance par l'intermédiaire de la page Paramètres globaux. Si le niveau de CoS
et la balise DSCP d'un paquet sont mappés sur des files d'attente distinctes, le mode de
confiance détermine la file d'attente à laquelle ce paquet doit être affecté :
•
Si les valeurs DSCP internes sont différentes de celles utilisées dans les paquets
entrants, mappez les valeurs externes sur des valeurs internes via la page Nouveau
marquage DSCP hors profil. Cette opération ouvre alors la page Nouveau marquage
DSCP.
2. Créez des ACL, comme le décrit la section Flux de travail de création d'une ACL.
3. Si des ACL ont été définies, créez des mappages de classes et associez-leur ces ACL via la
page Mappage de classes.
4. Créez une stratégie dans la page Table des stratégies puis associez cette stratégie à un ou
plusieurs mappages de classe dans la page Mappages de classe de stratégies. Vous pouvez
également spécifier la QoS, si nécessaire, en affectant un gestionnaire de stratégie à un
mappage de classe lors de l'opération d'affectation de ce mappage à la stratégie.
•
Gestionnaire de stratégie individuelle : créez une stratégie pour associer un mappage
de classe à un gestionnaire de stratégie individuelle, sur la page Table des stratégies et
la page Mappage de classes. Dans la stratégie, définissez le gestionnaire de stratégie
individuelle.
•
Gestionnaire de stratégie d'agrégats : créez une action de QoS pour chaque flux afin
d'envoyer toutes les trames concordantes au même gestionnaire de stratégie
(d'agrégats), via la page Gestionnaire de stratégie d'agrégats. Créez une stratégie pour
associer un mappage de classe à ce gestionnaire de stratégie d'agrégats, via la page Table
des stratégies.
5. Liez la stratégie à une interface via la page Liaison de stratégies.
470
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de QoS avancé
Paramètres globaux
La page Paramètres globaux contient des informations concernant l'activation du mode de
confiance sur le périphérique. Les paquets entrant dans un domaine QoS sont classifiés à la
bordure du domaine QoS.
Pour définir la configuration de mode de confiance :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Paramètres globaux.
ÉTAPE 2 Sélectionnez le Mode de confiance à appliquer lorsque le périphérique est en mode Avancé.
Si le niveau de CoS et la balise DSCP d'un paquet sont mappés sur des files d'attente
distinctes, le mode de confiance détermine la file d'attente à laquelle ce paquet doit être
affecté :
•
CoS/802.1p : le trafic est mappé sur des files d'attente en fonction du champ VPT de la
balise VLAN, ou en fonction de la valeur par défaut CoS/802.1p définie pour chaque
port (si le paquet entrant ne comporte aucune balise VLAN). Configurez le mappage
VPT vers la file d'attente réelle sur la page CoS/802.1p vers la file d'attente.
•
DSCP : tout le trafic IP est mappé sur des files d'attente en fonction du champ DSCP de
l'en-tête IP. Vous pouvez configurer le mappage DSCP vers file d'attente sur la page
DSCP vers file d'attente. Si le trafic n'est pas de type IP, il est mappé sur la file d'attente
de meilleur effort.
•
CoS/802.1p-DSCP : sélectionnez cette option pour utiliser le mode CoS de confiance
pour le trafic non IP et DSCP de confiance pour le trafic IP.
ÉTAPE 3 Sélectionnez le mode de confiance Mode avancé de QoS par défaut (validé ou non validé)
pour les interfaces dans le champ État du mode par défaut. Vous bénéficiez ainsi de la
fonction QoS de base pour le QoS avancé, afin d'approuver CoS/DSCP sur le QoS avancé par
défaut (sans devoir créer de stratégie).
En Mode de QoS avancé, si l'état du mode par défaut est défini sur Non validé, les valeurs
CoS par défaut configurées sur l'interface sont ignorées et l'ensemble du trafic est dirigé vers la
file d'attente 1. Pour plus d'informations, reportez-vous à la page Qualité de service > Mode de
QoS avancé > Paramètres globaux.
Si vous disposez d'une stratégie sur une interface, le mode par défaut ne s'applique pas.
L'action s'effectue en fonction de la configuration de stratégie et le trafic sans correspondance
est éliminé.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
471
23
Qualité de service
Mode de QoS avancé
ÉTAPE 4 Sélectionnez Remplacer DSCP d'entrée pour remplacer les valeurs DSCP d'origine des
paquets entrants par d'autres, d'après la table de substitution DSCP. Lorsque la fonction
Remplacer DSCP d'entrée est activée, l'appareil utilise les nouvelles valeurs DSCP pour la
mise en file d'attente des données en sortie. Il remplace également les valeurs DSCP d'origine
figurant dans les paquets par les nouvelles valeurs DSCP.
REMARQUE La trame est mappée sur une file d'attente en sortie à l'aide de la nouvelle
valeur réécrite et non de la valeur DSCP d'origine.
ÉTAPE 5 Si vous avez activé l'option Remplacer DSCP d'entrée, cliquez sur Table de substitution
DSCP pour reconfigurer le DSCP.
Table de substitution DSCP
ÉTAPE 1 Renseignez les champs suivants :
•
DSCP en entrée : affiche la valeur DSCP du paquet entrant qui doit être marquée à
nouveau à l'aide d'une autre valeur.
•
DSCP en sortie : sélectionnez la valeur DSCP en sortie pour indiquer que la valeur
sortante est mappée.
ÉTAPE 2 Cliquez sur Appliquer.
Nouveau marquage du DSCP hors profil
Lorsque vous associez un gestionnaire de stratégie à un mappage de classe (flux), vous pouvez
définir l'action à exécuter lorsque la quantité de trafic de ce flux dépasse les limites définies
par la QoS. On appelle paquets hors profil la portion du trafic qui provoque ce dépassement de
la limite de QoS du flux.
Si l'action appliquée en cas de dépassement/violation est DSCP hors profil, l'appareil mappe à
nouveau la valeur DSCP d'origine des paquets IP hors profil à une nouvelle valeur, sur la base
de la table Nouveau marquage du DSCP hors profil. Le périphérique emploie les nouvelles
valeurs pour affecter des ressources et des files d'attente de sortie à ces paquets. Il remplace
aussi physiquement la valeur DSCP d'origine figurant dans les paquets hors profil par la
nouvelle valeur DSCP.
Pour utiliser l'action de dépassement DSCP hors profil, remappez la valeur DSCP dans la table
Nouveau marquage du DSCP hors profil. Sinon, l'action est Null, car la valeur DSCP de la
table remappe le paquet sur lui-même, selon les valeurs par défaut définies en usine.
472
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de QoS avancé
Cette fonction modifie les balises DSCP du trafic entrant commuté entre des domaines de QoS
de confiance. En modifiant les valeurs DSCP utilisées dans un domaine, vous définissez la
priorité de ce type de trafic sur la valeur DSCP utilisée dans l'autre domaine pour identifier le
même type de trafic.
Ces paramètres sont actifs lorsque le système fonctionne en mode avancé de QoS. Une fois
activés, ils s'appliquent à l'échelle globale.
Par exemple, supposez qu'il existe trois niveaux de service : Argent, Or et Platine et que les
valeurs DSCP entrantes utilisées pour marquer ces niveaux soient respectivement 10, 20 et 30.
Si ce trafic est transféré vers un autre fournisseur de services offrant les mêmes niveaux de
service, mais que ce fournisseur emploie les valeurs DSCP 16, 24 et 48, le nouveau
marquage du DSCP hors profil remplace les valeurs entrantes au fur et à mesure qu'elles
sont mappées sur les valeurs sortantes.
Pour mapper des valeurs DSCP :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Nouveau marquage du DSCP
hors profil. Cette page permet de définir la valeur DSCP du trafic qui entre sur l'appareil ou le
quitte.
DSCP en entrée affiche la valeur DSCP du paquet entrant qui doit à nouveau être marqué
d'une autre valeur.
ÉTAPE 2 Sélectionnez la valeur DSCP en sortie correspondant à l'endroit sur lequel la valeur entrante
est mappée.
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour avec la nouvelle
table Nouveau marquage DSCP.
ÉTAPE 4 Cliquez sur Restaurer déf. pour rétablir le paramètre de CoS par défaut défini en usine pour
cette interface.
Mappage de classes
Un mappage de classes définit un flux de trafic doté d'ACL (listes de contrôle d'accès). Vous
pouvez combiner une ACL MAC, une ACL IP et une ACL IPv6 en un même mappage de
classe. Les mappages de classe sont configurés de façon à correspondre à un critère ou à tous
les critères parmi un ensemble de critères de paquet. La correspondance est établie avec les
paquets selon la méthode du « premier qui convient » : l'action associée au premier mappage
de classe reconnu comme correspondant aux critères est appliquée par le système. Les paquets
correspondant au même mappage de classe sont considérés comme appartenant au même flux.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
473
23
Qualité de service
Mode de QoS avancé
REMARQUE
La définition de mappages de classe n'a aucun effet sur la QoS ; il s'agit d'une étape
intermédiaire nécessaire pour que les mappages de classe puissent être utilisés ultérieurement.
Si vous avez besoin d'ensembles de règles plus complexes, vous pouvez regrouper plusieurs
mappages de classe en un grand groupe, appelé stratégie (reportez-vous à la section Table des
stratégies).
REMARQUE
Dans le même mappage de classe, une ACL MAC ne peut pas être utilisée avec une ACE IPv6
dont l'adresse IPv6 de destination est définie comme condition de filtrage.
La page Mappage de classes affiche la liste des mappages de classe définis et des ACL qui les
constituent ; elle vous permet aussi d'ajouter/de supprimer des mappages de classe.
Pour définir un mappage de classes :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Mappage de classes.
Pour chaque mappage de classe, les ACL définies sont affichées, de même que les relations
qu'elles entretiennent les unes avec les autres. Vous pouvez afficher jusqu'à 3 ACL et leur
correspondance, qui peut être Et ou Ou. Ces valeurs indiquent la relation entre les ACL. Le
mappage de classe correspond au résultat des trois ACL combinées avec Et ou Ou.
ÉTAPE 2 Cliquez sur Add.
Vous ajoutez un nouveau mappage de classe en sélectionnant une ou plusieurs ACL et en
attribuant un nom au mappage de classe. Si un mappage de classe inclut deux ACL, vous
pouvez spécifier que les trames doivent correspondre à ces deux ACL ou bien demander
qu'elles correspondent à au moins une des deux ACL sélectionnées.
ÉTAPE 3 Saisissez les paramètres.
474
•
Class Map Name : saisissez le nom du nouveau mappage de classe.
•
Match ACL Type : critères qu'un paquet doit satisfaire pour être considéré comme
appartenant au flux défini dans le mappage de classe. Les options sont les suivantes :
-
IP : un paquet doit correspondre à l'une des ACL IP du mappage de classe.
-
MAC : un paquet doit correspondre à l'ACL MAC du mappage de classe.
-
IP et MAC : un paquet doit correspondre à la fois à l'ACL IP et à l'ACL MAC du
mappage de classe.
-
IP or MAC : un paquet doit correspondre soit à l'ACL IP, soit à l'ACL MAC du
mappage de classe.
•
IP : sélectionnez l'ACL IPv4 ou IPv6 pour ce mappage de classe.
•
MAC : sélectionnez l'ACL MAC pour ce mappage de classe.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de QoS avancé
•
ACL préférée : indiquez si les paquets sont d'abord comparés à une ACL IP ou à une
ACL MAC.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Gestion de stratégie d'agrégats
Vous pouvez mesurer le débit de trafic qui correspond à un ensemble prédéfini de règles et
mettre en place des limites. Par exemple, vous pouvez limiter le débit de trafic de transfert de
fichiers autorisé sur un port.
Pour ce faire, vous utilisez les ACL du ou des mappages de classe pour faire correspondre le
trafic voulu. Vous utilisez ensuite un gestionnaire de stratégie pour faire fonctionner la QoS
sur le trafic concordant.
Un gestionnaire de stratégie est configuré avec une spécification de QoS. Il existe deux types
de gestionnaire de stratégie :
•
Gestionnaire de stratégie individuelle (standard) : le gestionnaire de stratégie
individuelle applique la QoS à un seul mappage de classe et à un seul flux, sur la base
de la spécification de QoS qu'il contient. Lorsqu'un mappage de classe utilisant un
gestionnaire de stratégie individuelle est lié à plusieurs ports, chaque port possède sa
propre instance de gestionnaire de stratégie individuelle ; chacune applique la QoS du
mappage de classe (flux) à des ports qui sont normalement indépendants les uns des
autres. Vous pouvez créer un gestionnaire de stratégie individuelle sur la page Table
des stratégies.
•
Gestionnaire de stratégie d'agrégats : le gestionnaire de stratégie d'agrégats applique
la QoS à un ou plusieurs mappages de classe ainsi qu'à un ou plusieurs flux. Un
gestionnaire de stratégie d'agrégats peut prendre en charge des mappages de classe
issus de plusieurs stratégies. Un gestionnaire de stratégie d'agrégats applique la QoS à
tous les flux, de façon agrégée, sans tenir compte des stratégies ni des ports. Vous
pouvez créer un gestionnaire de stratégie d'agrégats sur la page Gestionnaire de
stratégie d'agrégats.
Vous créez un gestionnaire de stratégie d'agrégats si vous prévoyez de la partager entre
plusieurs classes. Les gestionnaires de stratégie sur un port ne peuvent pas être
partagés avec d'autres gestionnaires de stratégie dans un autre périphérique.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
475
23
Qualité de service
Mode de QoS avancé
Chaque gestionnaire de stratégie est défini avec sa propre spécification de QoS, par
combinaison des paramètres suivants :
•
Débit maximal autorisé, appelé CIR (Committed Information Rate, débit minimal
garanti), mesuré en kbit/s.
•
Quantité de trafic, mesurée en octets, appelée CBS (Committed Burst Size, taille de
rafale garantie). Il s'agit du trafic autorisé à transiter sous forme de rafale temporaire,
même s'il dépasse le débit maximal défini.
•
Action à appliquer aux trames qui dépassent les limites (appelées trafic hors profil), à
savoir s'il faut transmettre ces trames telles quelles, les éliminer ou les transmettre,
mais en les remappant sur une valeur DSCP qui les marque comme trames de priorité
faible pour tous les traitements suivants sur le périphérique.
•
Configure le maintien de l'ordre du trafic en fonction des débits spécifiés et des actions
facultatives. Saisissez le CIR ainsi que les valeurs et les actions facultatives.
Vous affectez un gestionnaire de stratégie à un mappage de classe lorsque vous ajoutez ce
mappage à une stratégie. Si vous choisissez un gestionnaire de stratégie d'agrégats, vous devez
le créer sur la page Gestionnaire de stratégie d'agrégats.
Pour définir un gestionnaire de stratégie d'agrégats :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Gestionnaire de stratégie
d'agrégats.
Cette page affiche les gestionnaires de stratégie d'agrégats existants.
ÉTAPE 2 Cliquez sur Add.
ÉTAPE 3 Saisissez les paramètres.
476
•
Nom du gestionnaire de stratégie d'agrégats : saisissez le nom du gestionnaire de
stratégie d'agrégats.
•
Ingress Committed Information Rate (CIR) : saisissez la bande passante maximale
autorisée, en bits par seconde. Reportez-vous à la description disponible sur la page
Bande passante.
•
Taille de rafale garantie en entrée (CBS) : saisissez la taille maximale de rafale
(même si elle dépasse la valeur CIR), en octets. Reportez-vous à la description
disponible sur la page Bande passante.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de QoS avancé
•
Action si dépassement : sélectionnez l'action à appliquer aux paquets entrants qui
dépassent le seuil CIR. Les valeurs possibles sont les suivantes :
-
Drop : les paquets qui dépassent la limite CIR définie sont éliminés.
-
DSCP hors profil : les valeurs DSCP des paquets qui dépassent la limite CIR définie
sont remappées sur d'autres, d'après la table Nouveau marquage du DSCP hors profil.
ÉTAPE 4 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Table des stratégies
La page Table des stratégies affiche la liste des stratégies de QoS avancées définies sur le
système. Cette page vous permet également de créer et de supprimer des stratégies. Seules les
stratégies liées à une interface sont actives (reportez-vous à la page Liaison de stratégies).
Chaque stratégie est constituée des éléments suivants :
•
Un ou plusieurs mappages de classe d'ACL, qui définissent les flux de trafic dans la
stratégie.
•
Un ou plusieurs agrégats qui appliquent la QoS aux flux de trafic dans la stratégie.
Une fois qu'une stratégie a été ajoutée, vous pouvez ajouter des mappages de classe via la page
Table des stratégies.
Pour ajouter une stratégie de QoS :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Table des stratégies.
Cette page affiche la liste des stratégies définies.
ÉTAPE 2 Cliquez sur Policy Class Map Table pour afficher la page Policy Class Maps.
- ou
Cliquez sur Ajouter pour ouvrir la page Ajouter une table de stratégies.
ÉTAPE 3 Saisissez le nom de la nouvelle stratégie dans le champ Nom de la nouvelle stratégie.
ÉTAPE 4 Cliquez sur Appliquer. Le profil de stratégie QoS est ajouté et le fichier de Configuration
d'exécution est mis à jour.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
477
23
Qualité de service
Mode de QoS avancé
Mappages de classe de stratégies
Vous pouvez ajouter un ou plusieurs mappages de classe à une stratégie. Un mappage de classe
définit le type des paquets qui sont considérés comme appartenant au même flux de trafic.
Pour ajouter un mappage de classe à une stratégie :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Mappages de classe de stratégies.
ÉTAPE 2 Sélectionnez une stratégie dans le filtre et cliquez sur OK. Tous les mappages de classe de
cette stratégie sont affichés.
ÉTAPE 3 Pour ajouter un nouveau mappage de classe, cliquez sur Ajouter.
ÉTAPE 4 Saisissez les paramètres.
•
Policy Name : indique la stratégie à laquelle vous ajoutez le mappage de classe.
•
Class Map Name : sélectionnez le mappage de classe existant à associer à la stratégie.
Vous pouvez créer les mappages de classes sur la page Mappage de classes.
•
Type d'action : sélectionnez l'action à appliquer concernant la valeur CoS/802.1p et/ou
DSCP d'entrée de tous les paquets concordants.
-
Utiliser le mode de confiance par défaut : si cette option est sélectionnée, l'état du
mode par défaut est utilisé en mode Confiance globale. Si l'état du mode par défaut
est défini sur « Non validé », ignorez la valeur DSCP et/ou CoS/802.1p en entrée ;
les paquets correspondants sont alors envoyés en mode Meilleur effort (Best effort).
-
Toujours faire confiance : si cette option est sélectionnée, le périphérique valide le
paquet correspondant en fonction du mode Confiance globale (sélectionné sur la
page Paramètres globaux). Il ignore l'état Mode par défaut (sélectionné sur la page
Paramètres globaux).
-
Définir : si vous sélectionnez cette option, le système utilise le contenu saisi dans le
champ Nouvelle valeur afin de déterminer la file d'attente de sortie des paquets
concordants comme suit :
Si la nouvelle valeur (0..7) est une priorité CoS/802.1p, utilisez la valeur de priorité
ainsi que le contenu de la table CoS/802.1p vers file d'attente afin de déterminer la
file d'attente de sortie de tous les paquets concordants.
Si la nouvelle valeur (0..63) est une valeur DSCP, utilisez la nouvelle valeur DSCP
ainsi que le contenu de la table DSCP vers file d'attente afin de déterminer la file
d'attente de sortie des paquets IP concordants.
Sinon, le système utilise la nouvelle valeur (1..8) comme numéro de file d'attente de
sortie pour tous les paquets concordants.
478
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Mode de QoS avancé
•
Police Type : sélectionnez le type de gestionnaire de stratégie pour la stratégie. Les
options sont les suivantes :
-
None : aucune stratégie n'est utilisée.
-
Single : la stratégie est associée à un gestionnaire de stratégie individuelle.
-
Aggregate : la stratégie est associée à un gestionnaire de stratégie d'agrégats.
ÉTAPE 5 Si vous définissez Police Type (Type de gest. de stratégie) sur Aggregate (Agrégat), définissez
le paramètre Aggregate Policer (Gestionnaire de stratégies d'agrégats).
ÉTAPE 6 Si Type de gest. de stratégie indique individuelle, saisissez les paramètres de QoS suivants :
•
Débit minimal garanti en entrée (CIR) : saisissez la valeur CIR, en kilobits par
seconde. Reportez-vous à la description disponible sur la page Bande passante.
•
Taille de rafale garantie en entrée (CBS) : saisissez la valeur CBS, en octets.
Reportez-vous à la description disponible sur la page Bande passante.
•
Action si dépassement : sélectionnez l'action affectée aux paquets entrants qui
dépassent le seuil CIR. Les options sont les suivantes :
-
Drop : les paquets qui dépassent la limite CIR définie sont éliminés.
-
DSCP hors profil : les paquets IP qui dépassent la limite CIR définie sont transférés
avec une nouvelle valeur DSCP, extraite de la table Nouveau marquage du DSCP
hors profil.
ÉTAPE 7 Cliquez sur Appliquer.
Liaison de stratégies
La page Liaison de stratégies indique le profil de stratégie lié à chaque port. Une stratégie peut
être liée à une interface en tant que stratégie en entrée ou que stratégie en sortie. Lorsqu'un
profil de stratégie est lié à un port spécifique, il est actif sur ce port. Vous ne pouvez configurer
qu'un seul profil de stratégie par port et par direction, mais il est possible de lier un même
profil à plusieurs ports.
Lorsque vous liez une stratégie à un port, ce dernier filtre et applique la QoS au trafic qui
correspond aux flux définis au sein de cette stratégie.
Pour modifier une stratégie, vous devez d'abord la supprimer (annuler la liaison) de tous les
ports auxquels elle est liée.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
479
23
Qualité de service
Mode de QoS avancé
REMARQUE
Il est possible de lier un port à une stratégie ou à une ACL, mais il est impossible de lier les
deux.
Pour définir une association de stratégie :
ÉTAPE 1 Cliquez sur Qualité de service > Mode de QoS avancé > Liaison de stratégies.
ÉTAPE 2 Sélectionnez un Type d'interface si nécessaire.
ÉTAPE 3 Cliquez sur Go. Les stratégies de cette interface s'affichent.
ÉTAPE 4 Cliquez sur Modifier.
ÉTAPE 5 Sélectionnez les options suivantes pour la stratégie/l'interface d'entrée :
•
Liaison de stratégies d'entrée : sélectionnez cette option pour lier la stratégie d'entrée
à l'interface.
•
Nom de la stratégie : sélectionnez le nom de la stratégie d'entrée à lier.
•
Action par défaut : sélectionnez une action à effectuer si un paquet correspond à une
stratégie :
-
Tout refuser : sélectionnez cette option pour réacheminer des paquets sur l'interface
s'ils correspondent à une stratégie.
-
Tout autoriser : sélectionnez cette option pour transférer des paquets sur l'interface
s'ils ne correspondent à aucune stratégie.
REMARQUE L'option Tout autoriser ne peut être définie que si la protection de la
source IP n'est pas activée sur l'interface.
ÉTAPE 6 Sélectionnez les options suivantes pour la stratégie/l'interface de sortie :
•
Liaison de stratégies de sortie : sélectionnez cette option pour lier la stratégie de sortie
à l'interface.
•
Nom de la stratégie : sélectionnez le nom de la stratégie de sortie à lier.
•
Action par défaut : sélectionnez une action à effectuer si un paquet correspond à une
stratégie :
-
Tout refuser : sélectionnez cette option pour réacheminer des paquets sur l'interface
s'ils correspondent à une stratégie.
-
Tout autoriser : sélectionnez cette option pour transférer des paquets sur l'interface
s'ils ne correspondent à aucune stratégie.
REMARQUE L'option Tout autoriser ne peut être définie que si la protection de la
source IP n'est pas activée sur l'interface.
480
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Statistiques de QoS
ÉTAPE 7 Cliquez sur Appliquer. La liaison de stratégie QoS est définie et le fichier de Configuration
d'exécution est mis à jour.
Statistiques de QoS
Sur ces pages, vous pouvez gérer le gestionnaire de stratégie individuelle, le gestionnaire de
stratégie d'agrégats et afficher les statistiques des files d'attente.
Statistiques du gestionnaire de stratégie
Un gestionnaire de stratégie individuelle est lié à un mappage de classe issu d'une seule
stratégie. Un gestionnaire de stratégie d'agrégats est lié à un ou plusieurs mappages de classe,
issus d'une ou plusieurs stratégies.
Affichage des statistiques d'un gestionnaire de stratégie individuelle
La page Statistiques de politique individuelle indique le nombre de paquets hors profil ou
conformes au profil reçus depuis une interface, qui répondent aux conditions définies dans le
mappage de classe d'une stratégie.
REMARQUE
Cette page n'est pas disponible lorsque le périphérique fonctionne en mode Couche 3.
Pour afficher les statistiques du gestionnaire de stratégie :
ÉTAPE 1 Cliquez sur Qualité de service > Statistiques de QoS > Statistiques de gestionnaire de
stratégie individuelle.
Cette page affiche les champs suivants :
•
Interface : interface à laquelle correspondent les statistiques affichées.
•
Stratégie : stratégie à laquelle correspondent les statistiques affichées.
•
Mappage de classe : mappage de classe auquel correspondent les statistiques affichées.
•
Octets dans le profil : nombre d'octets conformes au profil reçus.
•
Octets hors profil : nombre d'octets hors profil reçus.
ÉTAPE 2 Cliquez sur Ajouter.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
481
23
Qualité de service
Statistiques de QoS
ÉTAPE 3 Saisissez les paramètres.
•
Interface : sélectionnez l'interface pour laquelle cumuler les statistiques.
•
Nom de la stratégie : sélectionnez le nom de la stratégie.
•
Nom du mappage de classe : sélectionnez le nom du mappage de classe.
ÉTAPE 4 Cliquez sur Appliquer. Une demande de statistiques supplémentaire est créée et le fichier de
configuration d'exécution est mis à jour.
Affichage des statistiques d'un gestionnaire de stratégie d'agrégats
Pour afficher les statistiques d'un gestionnaire de stratégie d'agrégats :
ÉTAPE 1 Cliquez sur Qualité de service > Statistiques de QoS > Statistiques de gestionnaire de
stratégie d'agrégats.
Cette page affiche les champs suivants :
•
Nom du gestionnaire de strat. d'agrégats : gestionnaire de stratégie sur lequel les
statistiques sont fondées.
•
Octets dans le profil : nombre de paquets conformes au profil reçus.
•
Octets hors profil : nombre de paquets hors profil reçus.
ÉTAPE 2 Cliquez sur Add.
ÉTAPE 3 Sélectionnez un nom de gestionnaire de stratégie d'agrégats, parmi les gestionnaires de
stratégie précédemment créés, afin d'afficher les statistiques correspondantes.
ÉTAPE 4 Cliquez sur Appliquer. Une demande de statistiques supplémentaire est créée et le fichier de
Configuration d'exécution est mis à jour.
482
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
23
Qualité de service
Statistiques de QoS
Statistiques des files d'attente
La page Statistiques des files d'attente affiche les statistiques concernant les files d'attente,
dont le nombre de paquets transférés et éliminés, ceci sur la base de l'interface, de la file
d'attente et de la priorité d'élimination.
Pour consulter les statistiques des files d'attente et définir celles à afficher (ensemble de
compteurs), procédez comme suit :
ÉTAPE 1 Cliquez sur Qualité de service > Statistiques de QoS > Statistiques des files d'attente.
Cette page affiche les champs suivants :
•
Taux d'actualisation : sélectionnez la durée qui s'écoule avant l'actualisation des
statistiques Ethernet de l'interface. Les options disponibles sont les suivantes :
-
No Refresh : les statistiques ne sont pas actualisées.
-
15 s : les statistiques sont actualisées toutes les 15 secondes.
-
30 s : les statistiques sont actualisées toutes les 30 secondes.
-
60 s : les statistiques sont actualisées toutes les 60 secondes.
Pour afficher une unité et une interface spécifiques, sélectionnez l'unité/interface dans le filtre
et cliquez ensuite sur Ok.
Pour afficher une interface spécifique, sélectionnez-la dans le filtre et cliquez ensuite sur Ok.
La table Statistiques des files d'attente contient les champs suivants pour chaque file d'attente :
•
File d'attente : file d'attente d'où proviennent les paquets transférés ou éliminés, la file
étant pleine (tail drop).
•
Paquets transmis : nombre de paquets ayant été transmis.
•
Paquets éliminés : pourcentage de paquets éliminés, la file étant pleine (tail drop).
•
Octets transmis : nombre d'octets ayant été transmis.
•
Octets éliminés : pourcentage d'octets éliminés, la file étant pleine (tail drop).
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
483
24
SNMP
Cette section décrit la fonctionnalité SNMP (Simple Network Management Protocol), qui
fournit une méthode de gestion des unités de réseau.
Elle couvre les sujets suivants :
•
Vue d'ensemble
•
ID de moteur
•
Vues
•
Groupes
•
Utilisateurs
•
Communautés
•
Paramètres de filtre
•
Destinataires de notifications
•
Filtre de notification
Vue d'ensemble
Versions et flux de travail SNMP
Le périphérique fonctionne comme un agent SNMP et prend en charge SNMPv1, v2 et v3. Il
crée également des rapports sur les événements système pour les destinataires des
interceptions, à l'aide des interceptions définies dans la base MIB prise en charge.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
484
24
SNMP
Vue d'ensemble
SNMPv1 et v2
Pour contrôler l'accès au système, une liste d'entrées de communauté est définie. Chaque
entrée de communauté est constituée d'une chaîne de communauté et de son privilège d'accès.
Le système répond uniquement aux messages SNMP spécifiant la communauté qui dispose
des autorisations correctes et de l'opération correcte.
Les agents SNMP conservent une liste de variables utilisées pour gérer le périphérique. Ces
variables sont définies dans une base d'informations de gestion (MIB, Management
Information Base).
REMARQUE
En raison des vulnérabilités en matière de sécurité détectées dans les autres versions, il est
recommandé d'utiliser SNMPv3.
SNMPv3
En plus de la fonctionnalité fournie par SNMPv1 et v2, SNMPv3 applique un contrôle d'accès
et de nouveaux mécanismes d'interceptions aux PDU SNMPv1 et SNMPv2. SNMPv3 définit
également un modèle de sécurité utilisateur (USM, User Security Model) qui inclut :
•
Authentification : fournit une intégrité des données et une authentification de leur
origine.
•
Confidentialité : fournit une protection contre la divulgation du contenu des
messages. Cipher Block-Chaining (CBC-DES) est utilisé pour le cryptage. Sur un
message SNMP, vous pouvez activer soit l'authentification seule, soit l'authentification
et la confidentialité. Cependant, la confidentialité ne peut pas être activée sans
authentification.
•
Actualité : fournit une protection contre les retards de messages ou les attaques de
lecture. L'agent SNMP compare l'horodatage du message entrant par rapport à l'heure
d'arrivée du message.
Flux de travail SNMP
REMARQUE
Pour des raisons de sécurité, SNMP est désactivé par défaut. Avant de pouvoir gérer le
périphérique via SNMP, vous devez activer SNMP sur la page Services TCP/UDP.
Ci-dessous figure une série d'actions recommandées pour la configuration de SNMP :
Si vous décidez d'utiliser SNMPv1 ou v2 :
ÉTAPE 1 Accédez à la page Communautés, puis cliquez sur Add (Ajouter). La communauté peut être
associée à des droits d'accès et à un affichage en mode De base ou à un groupe en mode
Avancé. Il existe deux méthodes pour définir les droits d'accès d'une communauté :
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
485
24
SNMP
Vue d'ensemble
•
Mode De base : les droits d'accès d'une communauté peuvent être définis en Lecture
seule, Lecture/écriture ou Admin SNMP. Vous pouvez en outre restreindre l'accès à la
communauté à certains objets MIB uniquement, en sélectionnant une vue (définie sur la
page Vues).
•
Advanced Mode (Mode Avancé) : les droits d'accès à une communauté sont définis par
un groupe (défini sur la page Groupes). Vous pouvez configurer le groupe avec un
modèle de sécurité spécifique. Les groupes disposent des droits d'accès de lecture,
d'écriture et de notification.
ÉTAPE 2 Indiquez si vous souhaitez restreindre la station de gestion SNMP à une seule adresse ou
autoriser la gestion SNMP à partir de toutes les adresses. Si vous choisissez de restreindre la
gestion SNMP à une seule adresse, saisissez l'adresse de votre ordinateur de gestion SNMP
dans le champ Adresse IP.
ÉTAPE 3 Saisissez la chaîne de communauté unique dans le champ Chaîne de communauté.
ÉTAPE 4 (Facultatif) Activez les filtres via la page Paramètres de filtre.
ÉTAPE 5 Vous pouvez éventuellement définir un ou plusieurs filtres de notification sur la page Filtre de
notification.
ÉTAPE 6 Configurez les destinataires des notifications sur les pages Destinataires de notifications
SNMPv1.2.
Si vous décidez d'utiliser SNMPv3 :
ÉTAPE 1 Définissez le moteur SNMP sur la page ID de moteur. Vous pouvez soit créer un ID de moteur
unique, soit utiliser l'ID de moteur par défaut. L'application d'une configuration d'ID de
moteur efface la base de données SNMP.
ÉTAPE 2 Vous pouvez éventuellement définir une ou plusieurs vues SNMP à l'aide de la page Vues.
Vous limitez ainsi la plage des ID d'objet (OID) disponibles pour une communauté ou un
groupe.
ÉTAPE 3 Définissez des groupes sur la page Groupes.
ÉTAPE 4 Définissez des utilisateurs sur la page Utilisateurs, à partir de laquelle ils peuvent être associés
à un groupe. Si l'ID de moteur SNMP n'est pas défini, il se peut que vous ne puissiez pas créer
d'utilisateurs.
ÉTAPE 5 (Facultatif) Activez ou désactivez les filtres via la page Paramètres de filtre.
486
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Vue d'ensemble
ÉTAPE 6 Vous pouvez éventuellement définir un ou plusieurs filtres de notification sur la page Filtre de
notification.
ÉTAPE 7 Définissez un ou plusieurs destinataires de notification sur la page Destinataires de
notifications SNMPv3.
Bases MIB prises en charge
Pour obtenir la liste des bases MIB prises en charge, visitez l'URL suivante et accédez à la
zone de téléchargement nommée Cisco MIBS :
www.cisco.com/cisco/software/navigator.html
ID d'objet du modèle
Vous trouverez, ci-dessous, les ID d'objet pour la gamme 250.
Nom de la
référence
Description
ID de l'objet
système
F250-24
SF250-24 - Commutateur intelligent 10/100 à
24 ports
9.6.1.98.24.1
SF250-24P
SF250-24P - Commutateur intelligent PoE 10/
100 à 24 ports
9.6.1.98.24.5
SF250-48
SF250-48 - Commutateur intelligent 10/100 à
48 ports
9.6.1.98.24.1
SF250-48HP
SF250-48HP - Commutateur intelligent PoE
10/100 à 48 ports
9.6.1.98.24.4
SG250-08
SG250-08 - Commutateur intelligent 8 ports
Gigabit
9.6.1.97.8.3
SG250-08HP
SG250-08HP - Commutateur intelligent PoE
8 ports Gigabit
9.6.1.97.8.4S
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
487
24
SNMP
Vue d'ensemble
Nom de la
référence
Description
ID de l'objet
système
SG250-10P
SG250-10P - Commutateur intelligent PoE
10 ports Gigabit
9.6.1.97.10.5
SG250-18
SG250-18 - Commutateur intelligent 18 ports
Gigabit
9.6.1.97.18.1
SG250-26
SG250-26 - Commutateur intelligent 26 ports
Gigabit
9.6.1.97.26.1
SG250-26HP
SG250-26HP - Commutateur intelligent PoE
Gigabit à 26 ports
9.6.1.97.26.4
SG250-26P
SG250-26P - Commutateur intelligent PoE
Gigabit à 26 ports
9.6.1.97.26.5
SG250-50
SG250-50 - Commutateur intelligent 50 ports
Gigabit
9.6.1.97.50.1
SG250-50HP
SG250-50HP - Commutateur intelligent PoE
50 ports Gigabit
9.6.1.97.50.4
SG250-50P
SG250-50P - Commutateur intelligent PoE
50 ports Gigabit
9.6.1.97.50.5
SG250X-24
SG250X-24 - Commutateur intelligent à
24 ports Gigabit, avec 4 ports 10 Gigabit
9.6.1.99.24.1
SG250X-24P
Commutateur intelligent SG250X-24P à
24 ports PoE Gigabit, avec 4 ports 10 Gigabit
9.6.1.99.24.5
SG250X-48
SG250X-48 - Commutateur intelligent à
48 ports Gigabit, avec 4 ports 10 Gigabit
9.6.1.99.48.1
SG250X-48P
Commutateur intelligent SG250X-48P à
48 ports PoE Gigabit, avec 4 ports 10 Gigabit
9.6.1.99.48.5
Les ID d'objet privés sont placés sous :
enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1).switch001(101).
488
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
ID de moteur
ID de moteur
L'ID de moteur est utilisé par des entités SNMPv3 afin de les identifier de façon unique. Un
agent SNMP est considéré comme un moteur SNMP faisant autorité. Cela signifie que l'agent
répond aux messages entrants (Get, GetNext, GetBulk, Set) et qu'il envoie des interceptions à
un gestionnaire. Les informations locales de l'agent sont encapsulées dans des champs au sein
du message.
Chaque agent SNMP conserve des informations locales utilisées dans des échanges de
messages SNMPv3. L'ID de moteur SNMP par défaut est constitué du numéro d'entreprise et
de l'adresse MAC par défaut. Cet ID de moteur doit être unique pour le domaine
d'administration afin que deux unités dans un réseau ne possèdent pas le même ID de moteur.
Les informations locales sont stockées dans quatre variables MIB en lecture seule
(snmpEngineId, snmpEngineBoots, snmpEngineTime et snmpEngineMaxMessageSize).
!
PRÉCAUTION
Lorsque l'ID de moteur est modifié, tous les utilisateurs et groupes configurés sont effacés.
Pour définir l'ID de moteur SNMP :
ÉTAPE 1 Cliquez sur SNMP > ID de moteur.
ÉTAPE 2 Choisissez l'option souhaitée pour ID du moteur local.
•
Valeurs par défaut : sélectionnez cette option pour utiliser l'ID de moteur généré par
le périphérique. L'ID de moteur par défaut utilise l'adresse MAC du périphérique et est
défini de façon standard comme suit :
-
4 premiers octets : premier bit = 1, le reste correspond au numéro d'entreprise
IANA.
-
Cinquième octet : défini à l'aide de la valeur 3 pour indiquer l'adresse MAC qui suit.
-
6 derniers octets : adresse MAC du périphérique.
•
Aucun : aucun ID de moteur n'est utilisé.
•
Défini par l'utilisateur : saisissez l'ID de moteur de périphérique local. La valeur du
champ est une chaîne hexadécimale (plage : 10 à 64). Chaque octet dans les chaînes de
caractères hexadécimales est représenté par deux chiffres hexadécimaux.
Tous les ID de moteur distant et leurs adresses IP sont affichés dans la table ID de moteur
distant.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
489
24
SNMP
Vues
ÉTAPE 3 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
La table ID de moteur distant affiche le mappage entre les adresses IP du moteur et l'ID de
moteur.
Pour ajouter l'adresse IP d'un ID de moteur :
ÉTAPE 4 Cliquez sur Ajouter. Renseignez les champs suivants :
•
Server Definition : indiquez si vous souhaitez spécifier le serveur d'ID de moteur par
son adresse IP ou son nom.
•
Version IP : sélectionnez le format IP pris en charge.
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : sélectionnez dans la liste l'interface de liaison locale (si la
liaison locale du type d'adresse IPv6 est sélectionnée).
•
Adresse IP du serveur/Nom : saisissez l'adresse IP ou le nom de domaine du serveur
de journalisation.
•
ID de moteur : saisissez l'ID de moteur.
ÉTAPE 5 Cliquez sur Appliquer. Le fichier de configuration d'exécution est mis à jour.
Vues
Une vue est une étiquette définie par l'utilisateur pour une collecte de sousarborescences MIB. Chaque ID de sous-arborescence est défini par l'ID d'objet (OID) de la
racine des sous-arborescences concernées. Des noms célèbres peuvent être utilisés pour
spécifier la racine de la sous-arborescence souhaitée ou un ID d'objet peut être saisi (voir ID
d'objet du modèle).
Chaque sous-arborescence est soit incluse, soit exclue dans la vue en cours de définition.
490
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Vues
La page Vues permet de créer et de modifier des vues SNMP. Les vues par défaut (Default,
DefaultSuper) ne peuvent pas être modifiées.
Vous pouvez joindre des vues à des groupes via la page Groupes ou à une communauté qui
utilise le mode d'accès de base via la page Communautés.
Pour définir des vues SNMP :
ÉTAPE 1 Cliquez sur SNMP > Vues.
Les champs suivants sont affichés pour chaque vue :
•
Sous-arborescence d'ID d'objet : sélectionnez le nœud dans l'arborescence MIB, qui
est inclus ou exclu dans la vue.
•
Vue de sous-arborescence d'ID d'objet : indique si le nœud est inclus ou exclu.
ÉTAPE 2 Cliquez sur Ajouter pour définir de nouvelles vues.
ÉTAPE 3 Saisissez les paramètres.
•
Nom de la vue : saisissez un nom de vue qui ne comporte pas plus de 30 caractères.
•
Sous-arborescence d'ID d'objet : sélectionnez le nœud dans l'arborescence MIB, qui
est inclus ou exclu dans la vue SNMP. Les options de sélection de l'objet sont les
suivantes :
-
Sélectionner dans la liste : vous permet de parcourir l'arborescence MIB. Appuyez
sur la touche Haut pour accéder au niveau du parent et des frères du nœud
sélectionné ; appuyez sur la touche Bas pour descendre au niveau des enfants du
nœud sélectionné. Cliquez sur les nœuds dans la vue pour passer d'un nœud à son
frère. Utilisez la barre de défilement pour faire apparaître les frères dans la vue.
-
Défini par l'utilisateur : saisissez un ID d'objet qui n'est pas proposé dans l'option
Sélectionner dans la liste.
ÉTAPE 4 Sélectionnez ou désélectionnez Inclure dans la vue. Si cette option est sélectionnée, les
bases MIB sélectionnées sont incluses dans la vue ; sinon, elles sont exclues.
ÉTAPE 5 Cliquez sur Appliquer.
ÉTAPE 6 Afin de vérifier votre configuration des vues, sélectionnez les vues définies par l'utilisateur
dans la liste Filtre : Nom de la vue. Les vues suivantes existent par défaut :
•
Par défaut : vue SNMP par défaut pour les vues en lecture et en lecture/écriture.
•
DefaultSuper : vue SNMP par défaut pour les vues d'administrateur.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
491
24
SNMP
Groupes
Groupes
Dans SNMPv1 et SNMPv2, une chaîne de communauté est envoyée accompagnée des trames
SNMP. La chaîne de communauté agit en tant que mot de passe pour accéder à un agent
SNMP. Cependant, ni les trames, ni la chaîne de communauté ne sont cryptées. Par
conséquent, SNMPv1 et SNMPv2 ne sont pas sécurisés.
Dans SNMPv3, les mécanismes de sécurité suivants peuvent être configurés.
•
Authentification : le périphérique vérifie que l'utilisateur SNMP est un administrateur
système autorisé. Cette opération est effectuée pour chaque trame.
•
Confidentialité : les trames SNMP peuvent accueillir des données cryptées.
Ainsi, dans SNMPv3, il existe trois niveaux de sécurité :
•
Pas de sécurité (Aucune authentification et aucune confidentialité)
•
Authentification (Authentification et aucune confidentialité)
•
Authentification et confidentialité
SNMPv3 permet de contrôler le contenu que chaque utilisateur peut lire ou écrire, ainsi que les
notifications qu'il reçoit. Un groupe définit des privilèges de lecture/écriture et un niveau de
sécurité. Il devient opérationnel lorsqu'il est associé à un utilisateur ou une
communauté SNMP.
REMARQUE
Pour associer à un groupe une vue autre que celle par défaut, créez d'abord la vue sur la page
Vues.
Pour créer un groupe SNMP :
ÉTAPE 1 Cliquez sur SNMP > Groupes.
Cette page contient les groupes SNMP existants ainsi que leurs niveaux de sécurité.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
492
•
Nom de groupe : saisissez le nom du nouveau groupe.
•
Modèle de sécurité : sélectionnez la version SNMP qui est jointe au groupe, à savoir
SNMPv1, v2 ou v3.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Groupes
Il est possible de définir trois types de vues avec différents niveaux de sécurité. Pour chaque
niveau de sécurité, sélectionnez les vues correspondant aux privilèges Lecture, Écriture et
Notifier en saisissant les champs suivants :
•
Activer : sélectionnez ce champ pour activer le niveau de sécurité.
•
Niveau de sécurité : définissez le niveau de sécurité joint au groupe. SNMPv1 et
SNMPv2 ne prennent pas en charge l'authentification, ni la confidentialité. Si SNMPv3
est sélectionné, choisissez l'une des options suivantes :
•
-
Aucune authentification et aucune confidentialité : les niveaux de sécurité
Authentification ou Confidentialité ne sont pas affectés au groupe.
-
Authentification et aucune confidentialité : authentifie les messages SNMP et
s'assure que l'origine du message SNMP est authentifiée, mais ne les crypte pas.
-
Authentification et confidentialité : authentifie les messages SNMP et les crypte.
Afficher : sélectionnez cette option pour associer une vue avec les privilèges d'accès
Lire, Écrire et/ou Notifier du groupe afin de limiter l'étendue de l'arborescence MIB à
laquelle le groupe a un accès Lire, Écrire et Notifier.
-
Read : l'accès est en lecture seule pour la vue sélectionnée. Sinon, un utilisateur ou
une communauté associés à ce groupe peuvent lire toutes les bases MIB, à
l'exception de celles qui contrôlent le SNMP lui-même.
-
Write : l'accès à la gestion est en écriture pour la vue sélectionnée. Sinon, un
utilisateur ou une communauté associés à ce groupe peuvent écrire dans toutes les
bases MIB, à l'exception de celles qui contrôlent le SNMP lui-même.
-
Notifier : limite le contenu disponible des interceptions à ceux inclus dans la vue
sélectionnée. Sinon, il n'existe aucune restriction sur le contenu des filtres. Cette
option peut être sélectionnée pour SNMPv3.
ÉTAPE 4 Cliquez sur Appliquer. Le groupe SNMP est enregistré dans le fichier Configuration
d'exécution.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
493
24
SNMP
Utilisateurs
Utilisateurs
Un utilisateur SNMP est défini par les informations de connexion (nom d'utilisateur, mots de
passe et méthode d'authentification), ainsi que par le contexte et l'étendue de son
fonctionnement en association avec un groupe et un ID de moteur.
L'utilisateur configuré a les attributs de son groupe et dispose des privilèges d'accès définis
dans la vue associée.
Les groupes permettent aux gestionnaires de réseaux d'affecter des droits d'accès à un groupe
d'utilisateurs plutôt qu'à un utilisateur unique.
Un utilisateur peut être membre d'un seul groupe.
Pour créer un utilisateur SNMPv3, les éléments ci-dessous doivent exister au préalable :
•
Un ID de moteur doit d'abord être configuré sur le périphérique. Cela s'effectue sur la
page ID de moteur.
•
Un groupe SNMPv3 doit être disponible. Vous pouvez définir un groupe SNMPv3 sur
la page Groupes.
Pour afficher des utilisateurs SNMP et en définir de nouveaux :
ÉTAPE 1 Cliquez sur SNMP > Utilisateurs.
Cette page affiche les utilisateurs existants. Les champs de cette page sont décrits sur la page
Ajouter, sauf le champ suivant :
•
Adresse IP : affiche l'adresse IP du moteur.
ÉTAPE 2 Cliquez sur Ajouter.
Cette page fournit des informations quant à l'affectation de privilèges de contrôle d'accès
SNMP à des utilisateurs SNMP.
ÉTAPE 3 Saisissez les paramètres.
•
User Name : saisissez un nom d'utilisateur.
•
ID du moteur : sélectionnez l'entité SNMP locale ou distante à laquelle l'utilisateur est
connecté. La modification ou la suppression de l'ID de moteur SNMP local supprime la
base de données d'utilisateurs SNMPv3. Pour recevoir des messages d'information et
demander des informations, vous devez définir un utilisateur local et un utilisateur
distant.
-
494
Local : l'utilisateur est connecté au périphérique local.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Utilisateurs
-
Adresse IP distante : l'utilisateur est connecté à une autre entité SNMP, en plus du
périphérique local. Si un ID de moteur distant est défini, les unités distantes
reçoivent des messages d'information, mais ne peuvent effectuer de demandes
d'information.
Saisissez l'ID de moteur distant.
•
Nom du groupe : sélectionnez le groupe SNMP auquel appartient l'utilisateur SNMP.
Vous pouvez définir les groupes SNMP sur la page Ajouter un groupe.
REMARQUE Les utilisateurs appartenant à des groupes qui ont été supprimés sont
conservés, mais sont inactifs.
•
Méthode d'authentification : sélectionnez la méthode d'authentification qui varie en
fonction du Nom de groupe qui a été attribué. Si le groupe ne requiert pas
d'authentification, alors l'utilisateur ne peut configurer aucune authentification. Les
options sont les suivantes :
-
None : aucune authentification d'utilisateur n'est utilisée.
-
MD5 : mot de passe utilisé pour la génération d'une clé par la méthode
d'authentification MD5.
-
SHA : mot de passe utilisé pour la génération d'une clé par la méthode
d'authentification SHA (Secure Hash Algorithm).
•
Mot de passe d'authentification : si l'authentification est effectuée via un mot de passe
MD5 ou SHA, saisissez le mot de passe de l'utilisateur local en mode Chiffré ou Texte
en clair. Les mots de passe d'utilisateur local sont comparés à la base de données locale
et peuvent contenir jusqu'à 32 caractères ASCII.
•
Méthode de confidentialité : sélectionnez l'une des options suivantes :
•
-
Aucune : le mot de passe de confidentialité n'est pas crypté.
-
DES : le mot de passe de confidentialité est crypté conformément à la norme de
cryptage de données (DES, Data Encryption Standard).
Mot de passe de confidentialité : 16 octets sont requis (clé de cryptage DES) si la
méthode de confidentialité DES a été sélectionnée. Ce champ doit contenir exactement
32 caractères hexadécimaux. Vous pouvez sélectionner le mode Chiffré ou Texte en
clair.
ÉTAPE 4 Cliquez sur Appliquer pour enregistrer les paramètres.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
495
24
SNMP
Communautés
Communautés
Vous pouvez gérer les droits d'accès dans SNMPv1 et SNMPv2 en définissant des
communautés sur la page Communautés. Le nom de la communauté correspond à un type de
mot de passe partagé entre la station de gestion SNMP et l'unité. Il sert à authentifier la station
de gestion SNMP.
Les communautés sont uniquement définies dans SNMPv1 et v2, car SNMPv3 fonctionne
avec des utilisateurs et non avec des communautés. Les utilisateurs appartiennent à des
groupes qui disposent de droits d'accès qui leur sont affectés.
La page Communauté associe des communautés à des droits d'accès, soit directement (mode
de base), soit via des groupes (mode avancé) :
•
Mode De base : les droits d'accès d'une communauté peuvent être définis en Lecture
seule, Lecture/écriture ou Admin SNMP. Vous pouvez en outre restreindre l'accès à la
communauté à certains objets MIB uniquement, en sélectionnant une vue (définie sur
la page Vues).
•
Advanced Mode (Mode Avancé) : les droits d'accès à une communauté sont définis
par un groupe (défini sur la page Groupes). Vous pouvez configurer le groupe avec un
modèle de sécurité spécifique. Les groupes disposent des droits d'accès de lecture,
d'écriture et de notification.
Pour définir des communautés SNMP :
ÉTAPE 1 Cliquez sur SNMP > Communautés.
Cette page contient une table des communautés SNMP configurées et de leurs propriétés. Les
champs de cette page sont décrits sur la page Ajouter, sauf le champ suivant :
•
Type de communauté : affiche le mode de la communauté (De base ou Avancé).
ÉTAPE 2 Cliquez sur Ajouter.
Cette page permet aux gestionnaires de réseaux de définir et de configurer de nouvelles
communautés SNMP.
ÉTAPE 3 Station de gestion SNMP : cliquez sur Défini par l'utilisateur pour saisir l'adresse IP de la
station de gestion pouvant accéder à la communauté SNMP. Cliquez sur Toutes pour indiquer
que n'importe quel périphérique IP peut accéder à la communauté SNMP.
•
496
Version IP : sélectionnez IPv4 ou IPv6.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Communautés
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 pris en charge, en cas
d'utilisation d'IPv6. Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie de manière exclusive les hôtes sur une
liaison de réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne
peut pas être routée et ne peut être utilisée pour la communication que sur le réseau
local. Une seule adresse locale de liaison est possible. S'il existe une adresse locale
de liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, spécifiez si la
réception s'effectue via VLAN ou ISATAP.
•
Adresse IP : saisissez l'adresse IP de la station de gestion SNMP.
•
Chaîne de communauté : saisissez le nom de la communauté permettant d'authentifier
la station de gestion sur le périphérique.
•
(Type de communauté) De base : avec ce type, aucune connexion n'est établie avec
quelque groupe que ce soit. Vous pouvez uniquement choisir le niveau d'accès de la
communauté (Lecture seule, Lecture/écriture ou Admin SNMP) et, facultativement, le
faire davantage correspondre à une vue. Par défaut, cela s'applique à la totalité d'une
base MIB. Si cette option est sélectionnée, saisissez les champs suivants :
-
Mode d'accès : sélectionnez les droits d'accès de la communauté. Les options sont
les suivantes :
Lecture seule : l'accès à la gestion se fait en lecture seule uniquement. Aucune
modification ne peut être apportée à la communauté.
Lecture/écriture : l'accès à la gestion se fait en lecture et écriture. Des modifications
ne peuvent être apportées qu'à la configuration d'unité, pas à la communauté.
Admin SNMP : l'utilisateur dispose d'un accès à toutes les options de configuration
d'unité ainsi qu'aux autorisations de modification de la communauté. Admin SNMP
équivaut à Lecture/écriture pour toutes les bases MIB, à l'exception des bases
MIB SNMP. Admin SNMP est requis pour l'accès aux bases MIB SNMP.
•
Nom de la vue : sélectionnez une vue SNMP (collection de sous-arborescences de
bases MIB auxquelles un accès est accordé).
(Type de communauté) Avancé : sélectionnez ce type pour une communauté
spécifique.
-
Nom du groupe : sélectionnez un groupe SNMP qui détermine les droits d'accès.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
497
24
SNMP
Paramètres de filtre
ÉTAPE 4 Cliquez sur Appliquer. La communauté SNMP est définie et le fichier de Configuration
d'exécution est mis à jour.
Paramètres de filtre
La page Paramètres de filtre permet de spécifier si les notifications SNMP doivent être
envoyées à partir du périphérique, et à quelles conditions. Les destinataires des notifications
SNMP peuvent être configurés via la page Destinataires de notifications SNMPv1.2 ou la page
Destinataires de notifications SNMPv3.
Pour définir des paramètres d'interception :
ÉTAPE 1 Cliquez sur SNMP > Paramètres de filtre.
ÉTAPE 2 Sélectionnez Activer pour Notifications SNMP et indiquez que le périphérique peut envoyer
des notifications SNMP.
ÉTAPE 3 Sélectionnez Activer pour Notifications d'authentification pour activer la notification
d'échec d'authentification SNMP.
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres de filtre SNMP sont écrits dans le fichier de
Configuration d'exécution.
Destinataires de notifications
Des messages de filtre sont générés pour faire état des événements système, comme défini
dans la spécification RFC 1215. Le système peut générer des filtres définis dans la base MIB
qu'il prend en charge.
Les récepteurs de filtre (connus sous le nom de destinataires de notifications) sont des nœuds
réseau auxquels des messages de filtre sont envoyés par le périphérique. Une liste de
destinataires de notifications peut être définie.
Une entrée de destination de l'interception contient l'adresse IP du nœud et les informations
SNMP qui correspondent à la version qui doit être incluse dans l'interception. Lorsqu'un
événement nécessite l'envoi d'un message d'interception, ce dernier est envoyé vers chaque
nœud répertorié dans la Table des destinataires de notifications.
498
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Destinataires de notifications
La page Destinataires de notifications SNMPv1.2 et la page Destinataires de notifications
SNMPv3 permettent la configuration de la destination d'envoi de notifications SNMP, ainsi
que les types des notifications SNMP qui sont envoyés vers chaque destination (filtres ou
informations). Les messages contextuels Ajouter/Modifier permettent la configuration des
attributs des notifications.
Une notification SNMP est un message envoyé depuis le périphérique vers la station de
gestion SNMP, qui indique qu'un événement spécifique s'est produit, tel que l'activation ou la
désactivation d'une liaison.
Vous pouvez également filtrer certaines notifications. Pour ce faire, vous devez créer un filtre
sur la page Filtre de notification et le joindre à un destinataire de notification SNMP. Le filtre
de notification permet le filtrage du type des notifications SNMP envoyées à la station de
gestion, en fonction de l'ID d'objet de la notification sur le point d'être envoyée.
Destinataires de notifications SNMPv1.2
Pour définir un destinataire dans SNMPv1.2 :
ÉTAPE 1 Cliquez sur SNMP > Destinataires de notifications SNMPv1.2.
Cette page affiche les destinataires pour SNMPv1.2.
ÉTAPE 2 Renseignez les champs suivants :
•
Informe l'interface IPv4 source : sélectionnez l'interface source dont l'adresse IPv4
sera utilisée comme adresse IPv4 source dans les messages d'information utilisés dans
les communications avec les serveurs SNMP IPv4.
•
Déroute l'interface IPv4 source : sélectionnez l'interface source dont l'adresse IPv6
sera utilisée comme adresse IPv6 source dans les interceptions utilisés dans les
communications avec les serveurs SNMP IPv6.
•
Informe l'interface IPv6 source : sélectionnez l'interface source dont l'adresse IPv6
sera utilisée comme adresse IPv6 source dans les messages d'information utilisés dans
les communications avec les serveurs SNMP IPv6.
•
Déroute l'interface IPv6 source : sélectionnez l'interface source dont l'adresse IPv6
sera utilisée comme adresse IPv6 source dans les interceptions utilisés dans les
communications avec les serveurs SNMP IPv6.
REMARQUE Si l'option Auto est sélectionnée, le système récupère l'adresse IP source
de l'adresse IP définie dans l'interface sortante.
ÉTAPE 3 Cliquez sur Ajouter.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
499
24
SNMP
Destinataires de notifications
ÉTAPE 4 Saisissez les paramètres.
500
•
Définition de serveur : indiquez si vous souhaitez spécifier le serveur de journalisation
distant par son adresse IP ou son nom.
•
Version IP : sélectionnez IPv4 ou IPv6.
•
Type d'adresse IPv6 : sélectionnez soit Liaison locale, soit Global.
-
Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : si le type d'adresse IPv6 est Liaison locale, spécifiez si la
réception s'effectue via VLAN ou ISATAP.
•
Adresse IP/Nom du destinataire : saisissez l'adresse IP ou le nom du serveur où les
interceptions sont envoyées.
•
UDP Port : saisissez le port UDP utilisé pour les notifications sur l'unité du
destinataire.
•
Type de notification : indiquez le type de données à envoyer (interceptions ou
informations). Si les deux sont nécessaires, deux destinataires doivent être créés.
•
Délai : saisissez la durée en secondes pendant laquelle le périphérique doit attendre
avant de renvoyer des informations.
•
Tentatives : saisissez le nombre de fois que le périphérique peut renvoyer une demande
d'information.
•
Chaîne de communauté : dans le menu déroulant, saisissez la chaîne de communauté
du gestionnaire de filtres. Les noms de chaîne de communauté sont générés à partir de
ceux répertoriés sur la page Communautés.
•
Version de notification : sélectionnez la version SNMP du filtre. Vous pouvez utiliser
SNMPv1 ou SNMPv2 comme version des filtres, mais une seule version peut être
activée à la fois.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Destinataires de notifications
•
Filtre de notification : sélectionnez cette option pour activer le filtrage du type des
notifications SNMP transmises à la station de gestion. Les filtres sont créés via la page
Filtre de notification.
•
Nom du filtre : sélectionnez le filtre SNMP qui définit les informations contenues lors
du filtrage (définies sur la page Filtre de notification).
ÉTAPE 5 Cliquez sur Appliquer. Les paramètres de destinataire de notification SNMP sont écrits dans
le fichier de Configuration d'exécution.
Destinataires de notifications SNMPv3
Pour définir un destinataire dans SNMPv3 :
ÉTAPE 1 Cliquez sur SNMP > Destinataires de notifications SNMPv3.
Cette page affiche les destinataires pour SNMPv3.
•
Informe l'interface IPv4 source : sélectionnez l'interface source dont l'adresse IPv4
sera utilisée comme adresse IPv4 source dans les messages d'information utilisés dans
les communications avec les serveurs SNMP IPv4.
•
Déroute l'interface IPv4 source : sélectionnez l'interface source dont l'adresse IPv6
sera utilisée comme adresse IPv6 source dans les interceptions utilisés dans les
communications avec les serveurs SNMP IPv6.
•
Informe l'interface IPv6 source : sélectionnez l'interface source dont l'adresse IPv6
sera utilisée comme adresse IPv6 source dans les messages d'information utilisés dans
les communications avec les serveurs SNMP IPv6.
•
Déroute l'interface IPv6 source : sélectionnez l'interface source dont l'adresse IPv6
sera utilisée comme adresse IPv6 source dans les interceptions utilisés dans les
communications avec les serveurs SNMP IPv6.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Définition de serveur : indiquez si vous souhaitez spécifier le serveur de journalisation
distant par son adresse IP ou son nom.
•
Version IP : sélectionnez IPv4 ou IPv6.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
501
24
SNMP
Destinataires de notifications
•
Type d'adresse IPv6 : sélectionnez le type d'adresse IPv6 (en cas d'utilisation d'IPv6).
Les options sont les suivantes :
-
Liaison locale : l'adresse IPv6 identifie uniquement des hôtes sur une liaison de
réseau unique. Une adresse de liaison locale possède le préfixe FE80, ne peut pas
être routée et ne peut être utilisée pour la communication que sur le réseau local.
Une seule adresse locale de liaison est possible. S'il existe une adresse locale de
liaison sur l'interface, cette saisie remplacera l'adresse dans la configuration.
-
Global : l'adresse IPv6 est de type monodiffusion globale IPV6, visible et joignable
à partir d'autres réseaux.
•
Interface de liaison locale : sélectionnez l'interface de liaison locale dans la liste
déroulante (si la liaison locale du type d'adresse IPv6 est sélectionnée).
•
Adresse IP/Nom du destinataire : saisissez l'adresse IP ou le nom du serveur où les
interceptions sont envoyées.
•
Port UDP : saisissez le port UDP utilisé pour les notifications sur l'unité du destinataire.
•
Type de notification : indiquez le type de données à envoyer (interceptions ou
informations). Si les deux sont nécessaires, deux destinataires doivent être créés.
•
Délai : saisissez la durée (en secondes) pendant laquelle le périphérique attend avant de
renvoyer des informations/filtres. Expiration : plage de 1 à 300, 15 par défaut.
•
Tentatives : saisissez le nombre de fois que le périphérique peut renvoyer une demande
d'information. Tentatives : plage de 1 à 255, 3 par défaut.
•
Nom d'utilisateur : dans la liste déroulante, sélectionnez l'utilisateur auquel les
notifications SNMP sont envoyées. Pour recevoir les notifications, cet utilisateur doit
être défini sur la page Utilisateurs, et son ID de moteur doit être distant.
•
Niveau de sécurité : sélectionnez le niveau d'authentification appliqué au paquet.
REMARQUE Le niveau de sécurité dépend du nom d'utilisateur qui a été sélectionné. Si
le paramètre Aucune authentification a été défini pour ce nom d'utilisateur, le niveau de
sécurité est uniquement Aucune authentification. Cependant, si le paramètre
Authentication and Privacy (Authentification et confidentialité) a été défini pour ce nom
d'utilisateur sur la page Utilisateurs, le niveau de sécurité sur cet écran peut être No
Authentication (Aucune authentification), Authentication Only (Authentification) ou
Authentication and Privacy (Authentification et confidentialité).
502
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
24
SNMP
Filtre de notification
Les options sont les suivantes :
-
Aucune authentification : indique que le paquet n'est pas authentifié ni crypté.
-
Authentification : indique que le paquet est authentifié, mais pas crypté.
-
Confidentialité : indique que le paquet est à la fois authentifié et crypté.
•
Filtre de notification : sélectionnez cette option pour activer le filtrage du type des
notifications SNMP transmises à la station de gestion. Les filtres sont créés via la page
Filtre de notification.
•
Nom du filtre : sélectionnez le filtre SNMP qui définit les informations contenues lors
du filtrage (définies sur la page Filtre de notification).
ÉTAPE 4 Cliquez sur Appliquer. Les paramètres de destinataire de notification SNMP sont écrits dans
le fichier de Configuration d'exécution.
Filtre de notification
La page Filtre de notification permet de configurer des filtres de notification SNMP et des ID
d'objet (OID) soumis à vérification. Après la création d'un filtre de notification, il est possible
de le joindre à un destinataire de notification via la page Destinataires de notifications
SNMPv1.2 et via la page Destinataires de notifications SNMPv3.
Le filtre de notification permet le filtrage du type des notifications SNMP envoyées à la station
de gestion, en fonction de l'ID d'objet de la notification à envoyer.
Pour définir un filtre de notification :
ÉTAPE 1 Cliquez sur SNMP > Filtre de notification.
La page Filtre de notification contient les informations de notification relatives à chaque filtre.
Ce tableau peut filtrer des entrées de notification par nom de filtre.
ÉTAPE 2 Cliquez sur Ajouter.
ÉTAPE 3 Saisissez les paramètres.
•
Nom du filtre : saisissez un nom qui ne comporte pas plus de 30 caractères.
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
503
24
SNMP
Filtre de notification
•
Sous-arborescence d'ID d'objet : sélectionnez le nœud dans l'arborescence MIB, qui
est inclus dans le filtre SNMP sélectionné ou exclu de celui-ci. Les options de sélection
de l'objet sont les suivantes :
-
Sélectionner dans la liste : vous permet de parcourir l'arborescence MIB. Appuyez
sur la touche Haut pour accéder au niveau du parent et des frères du nœud
sélectionné ; appuyez sur la touche Bas pour descendre au niveau des enfants du
nœud sélectionné. Cliquez sur les nœuds dans la vue pour passer d'un nœud à son
frère. Utilisez la barre de défilement pour faire apparaître les frères dans la vue.
-
Si vous utilisez l'ID d'objet, l'identificateur d'objet saisi est inclus dans la vue si
l'option Inclure dans le filtre est sélectionnée.
ÉTAPE 4 Sélectionnez ou désélectionnez Inclure dans le filtre. Si cette option est sélectionnée, les
bases MIB sélectionnées sont incluses dans le filtre ; sinon, elles sont exclues.
ÉTAPE 5 Cliquez sur Appliquer. Les vues SNMP sont définies et le fichier de Configuration
d'exécution est mis à jour.
504
Commutateurs administrables Cisco Sx250, microprogramme 2.4.x, version 0.3
Cisco et le logo Cisco sont des marques commerciales ou des marques commerciales déposées de Cisco Systems et/ou de ses
filiales aux États-Unis et dans d'autres pays. Pour consulter la liste des marques commerciales Cisco, accédez à l'adresse :
www.cisco.com/go/trademarks. Les autres marques commerciales mentionnées sont la propriété de leurs détenteurs respectifs.
L'utilisation du terme « partenaire » n'implique pas une relation de partenariat entre Cisco et une autre entreprise. (1110R)
© 2017 Cisco Systems, Inc. Tous droits réservés.
">