Migrer des bornes lourdes en bornes légères

Le réseau évolue, se complexifiant et se centralisant, aux moyens de contrôleurs. Le WiFi est une des premières technologies à avoir évoluer afin de centraliser son intelligence autour d’un contrôleur.

Chez CISCO on retrouve une gamme de contrôleurs WLC 55XX destinés à gérer un ensemble de bornes légères.

Dans ce tutoriel nous allons migrer des bornes WiFi 1242AG de 2006 en bornes légères et les relier à un contrôleur WLC 5500 (version 7) de 2013 Continuer à lire

Configurer 802.1X sur un port

Introduction

Il est de plus en plus courant dans le monde de l’entreprise d’utiliser du 802.1X afin de sécuriser son réseau et le dynamiser. Cela nécessite une légère augmentation de la bande passante et un serveur dédié avec un CPU robuste et des accès aux données rapides. Nous allons voir rapidement comment mettre en place du 802.1X sur un switch CISCO Continuer à lire

Management de stack CISCO

Introduction

Je vous propose ici d’apprendre les rudiments du stacking. Nous étudierons ici comment bien remplacer un switch dans un stack. Pour l’ajout et la suppression nous y reviendrons plus tard.

Un stack de switch consiste à mettre en cascade les switch via le connecteur dédié, situé à l’arrière de l’équipement. Il existe deux types de stack CISCO, le stackwise, présent sur les séries 3750, et le flexstack, présent sur les séries 2960. La techonologie stackwise permet d’intégrer jusqu’à 9 switches dans la pile tandis que flexstack n’en permet que 5. Continuer à lire

Port Mirroring

Un port miroir permet de dire à votre équipement réseau CISCO de dupliquer l'ensemble des paquets qui transitent depuis un port vers un autre port. Ceci est très utile dans le cas de monitoring réseau (IDS, netflow...).

Pour configurer un port miroir, tapez les commandes suivantes en mode privilégié :

conf t
monitor session 1 source interface gigabitEthernet 1/1
monitor session 1 destination interface gigabitEthernet 1/2

Vous pouvez également configurer le miroir d'un vlan complet

conf t
monitor session 1 source vlan 12
monitor session 1 destination interface gigabitEthernet 1/2

Basculer de Telnet vers SSHv2

Je vous propose dans ce tutoriel quelques explication pour passer de Telnet à SSH dans sa version 2

Pourquoi SSH version 2 ?

Les raisons qui motivent le passage à SSH v2 sont multiples :

  • Chiffrement des transactions (Telnet ne crypte rien, pas même vos mots de passe, un simple sniffeur sur le réseau et hop c'est gagné !)
  • Utilisation du cryptage RSA plutôt que DSA, permettant de gagner en fiabilité, surtout qu'il s'agit de vos routeurs
  • Symbiose naturelle entre les protocoles SSH de tous vos systèmes Unix, Linux et Cisco.

Comment faire ?

Pour passer à la version 2 de SSH c'est très simple. SSH v2 s'appuyant sur un système de clés client-serveur, il vous faut tout d'abord une clé RSA.

Passez en menu configuration terminal de votre équipement et tapez :

crypto key gen rsa

Le système va vous préciser qu'il va générer une clé, répondez yes, puis ensuite le nombres de bits codant la clé (de 256 à 4096).

Je vous suggère __4096___ afin que ce soit quasi inviolable, néanmoins cela ralentira légèrement votre vitesse de traitement en console.

Ensuite on active le serveur SSH :

ip ssh ver 2

Et voilà le tour est joué, vous avez désormais du SSH sur votre équipement.

Pour les plus malins d'entre vous, voici un petit script à utiliser pour faire la transition directement depuis le mode enable:

Router#conf t
Router(config)#crypto key gen rsa
yes
2048
Router(config)#ip ssh ver 2
Router(config)#exit

Pour terminer on désactive telnet sur toutes les consoles virtuelles:

Router#conf t
Router(config)#line vty 0 4
Router(config-line)#transport input ssh
Router(config-line)#end

Agrégat de Liens

L'agrégat de lien est une notion essentielle dans un environnement complexe nécessitant de très hauts débits et de la redondance.

Que permet-il ?

L'agrégat de liens, comme son nom l'indique, permet de regrouper plusieurs liens afin de les assembler virtuellement. Admettons que vous ayez un serveur avec 2 liaison gigabit mais qu'une seule soit utilisée. Vous perdez déjà 1 gbit, et parfois, notamment pour un serveur de fichiers, la bande passante sature ! L'agrégat de lien vous permettra de regrouper les 2 liens physiques en un seul et au résultat vous aurez une liaison 2 gbits sur une seule carte réseau virtuelle.

Comment le mettre en oeuvre ?

Au niveau de votre OS, il faut avoir plusieurs cartes réseau professionnelles comme des cartes Broadcom.

Chez Broadcom, utilisez leur manager dédié et créez une TEAM afin de faire l’agrégat de plusieurs cartes.

ATTENTION ! La première carte de la team donnera généralement son adresse MAC à l’agrégat, donc faites attention à vos logiciels sous licences qui contrôlent celle-ci !

Passons maintenant au niveau CISCO.

Pour créer un aggrégat de lien vous devez créer une entité virtuelle nommée le port-channel. Le nombre de port-channel est limité par votre switch ou coeur de réseau et ils ont un nombre limité de ports physiques qu'ils peuvent agréger. (en général 4 ou 8).

conf t
int port-channel 1

Vous voilà dans l'interface port-channel. Pour la configurer, tapez tout d'abord switchport afin d'activer le management de l’agrégat puis tapez vos commandes classiques de configuration (mode access, trunk... encapsulation, etc...).

Pour ajouter des ports physiques à l'aggrégat, allez dans votre lien physique et tapez

channel-group 1 mode active

Votre port est donc ajouté à l’agrégat. Pensez également à bien vérifier que la configuration d'accès des ports physiques et logiques sont identiques, sinon vous risquez d'avoir des conflits.

Afin de vérifier le statut de votre port-channel voici une commande très utile :

core#show etherchannel 1 detail
Group state = L2
Ports: 2   Maxports = 8
Port-channels: 1 Max Port-channels = 1
Protocol:    -
Minimum Links: 0
                Ports in the group:
                -------------------
Port: Gi3/6
------------

Port state    = Up Mstr In-Bndl
Channel group = 1           Mode = On              Gcchange = -
Port-channel  = Po1         GC   =   -             Pseudo port-channel = Po1
Port index    = 0           Load = 0x00            Protocol =    -

Age of the port in the current state: 94d:12h:58m:28s

Port: Gi4/6
------------

Port state    = Up Mstr In-Bndl
Channel group = 1           Mode = On              Gcchange = -
Port-channel  = Po1         GC   =   -             Pseudo port-channel = Po1
Port index    = 1           Load = 0x00            Protocol =    -

Age of the port in the current state: 94d:13h:12m:37s

                Port-channels in the group:
                ---------------------------

Port-channel: Po1
------------

Age of the Port-channel   = 94d:13h:13m:00s
Logical slot/port   = 11/1          Number of ports = 2
GC                  = 0x00000000
Port state          = Port-channel Ag-Inuse
Protocol            =    -
Port security       = Disabled

Ports in the Port-channel:

Index   Load   Port     EC state        No of bits
------+------+------+------------------+-----------
  0     00     Gi3/6    On                 0
  1     00     Gi4/6    On                 0

Time since last port bundled:    94d:12h:58m:31s    Gi3/6
Time since last port Un-bundled: 94d:12h:58m:38s    Gi3/6

Vous voyez ici les ports appartenant à l’agrégat, depuis combien de temps ils sont en ligne et leur statut.

Autre commande utile, le summary

core#sh etherch 1 sum
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

Number of channel-groups in use: 11
Number of aggregators:           11

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)          -        Gi3/6(P)    Gi4/6(P)

Ceci permet de voir l'état de l’agrégat. Ici tout se passe bien, le Po1 est en mode U, donc il est en ligne et fonctionnel.