File - Portfolio H.Anousith
Transcription
File - Portfolio H.Anousith
SNCF DSIT-TS Bâtiment Innovia 14, rue H. Barbusse 92110 CLICHY D.S.I.T. – TS. DIRECTION DES SYSTEMES D’INFORMATION ET DES TELECOMMUNICATIONS Département Technologies et Services Version 1.3 SNCF DSIT-TSP/PCIR Manuel de configuration Du commutateur H3C s3610 sur les LAN de vidéosurveillance Ile de France Programme 2009 DSIT-TSR/PCIR/ Procédure de paramétrage S3610 Vidéo-IDF-progr2009-v1.3-041011.doc 04/10/2011 FICHE D'EMARGEMENT Version Date Auteur V1.0 Février 2009 R.Stankiewicz V1.1 Décembre 2009 H. SAGE V1.2 Septembre 2010 H. SAGE V1.3 Octobre 2011 H. SAGE Commentaires Adaptation du document de paramétrage S3610 d’E.Ellouzi à la vidéosurveillance Mise à jour suite à nouvelle version de firmware et passage en IGMPv3 Ajout du protocole LLDP, adaptation présentation du document Ajout “snmp-agent community read DPRPR16” dans le paragraphe SNMP §3.16 Vérification Version Nom Service Fonction V1.2 Guy Ronxin DSIT-TSP Responsable Réseaux Groupe Expertise V1.3 Patrick Richaud DSIT-TSP Responsable Réseaux Groupe Expertise DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 Visa 04/10/2011 Page 2/38 SOMMAIRE 1. INTRODUCTION .......................................................................... 5 2. GENERALITES ............................................................................ 5 2.1. APERÇU DES OPERATIONS A REALISER ................................................................................... 5 2.2. CONFIGURATION DE REFERENCE ............................................................................................ 6 2.3. ORDONNANCEMENT............................................................................................................... 6 3. PRISE EN MAIN DE L’EQUIPEMENT ......................................... 6 3.1. CARACTERISTIQUES DE LA GAMME ......................................................................................... 6 3.2. CONNEXION CONSOLE ........................................................................................................... 7 3.2.1. Port série ........................................................................................................................ 7 3.3. ARBORESCENCE DES MENU ................................................................................................... 8 3.4. 1ERE CONNEXION SUR L’EQUIPEMENT..................................................................................... 9 3.4.1. Invite de commande....................................................................................................... 9 3.5. FERMETURE DE LA CONNEXION .............................................................................................. 9 3.6. LES FONCTIONNALTES EN COMMANDES EN LIGNES ................................................................ 10 3.6.1. Utilisation de raccourcis de mots ................................................................................. 10 3.6.2. Saisie automatique de la commande .......................................................................... 10 3.6.3. Affichage des mots correspondants à un raccourci..................................................... 10 3.6.4. Aide syntaxique............................................................................................................ 11 3.6.5. Historique des commandes ......................................................................................... 11 3.7. NOMENCLATURE DES PORTS ................................................................................................ 12 3.7.1. Ports individuels ........................................................................................................... 12 3.8. REDEMARRAGE EN CONFIGURATION PAR DEFAUT .................................................................. 13 3.9. PARAMETRAGE IP ............................................................................................................... 13 3.9.1. Configuration IP ........................................................................................................... 13 3.9.2. Vérification du paramétrage IP .................................................................................... 14 3.10. MISE A NIVEAU LOGICIELLE................................................................................................... 15 3.10.1. Vérification de la version du firmware du commutateur............................................... 15 3.10.2. Mise à jour du firmware du commutateur .................................................................... 15 3.11. GESTION DES FICHIERS SUR LA MEMOIRE FLASH ................................................................... 18 3.12. CONFIGURATION DES PARAMETRES ...................................................................................... 19 3.12.1. Identification de l’équipement ...................................................................................... 19 3.12.2. Invite de commande..................................................................................................... 19 3.12.3. Message d’accueil ....................................................................................................... 20 3.12.4. Heure système ............................................................................................................. 20 DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 3/38 3.13. DESACTIVATION SPANNING TREE SUR L’EQUIPEMENT ............................................................ 23 3.13.1. Vérifier si Spanning-Tree est actif................................................................................ 23 3.13.2. Désactiver Spanning-Tree ........................................................................................... 23 3.14. GESTION DES COMPTES UTILISATEURS ................................................................................. 23 3.14.1. Compte utilisateurs ...................................................................................................... 23 3.14.2. Créer un compte utilisateur .......................................................................................... 24 3.14.3. Visualisation des comptes créés ................................................................................. 25 3.15. LES MODES D’ACCES A L’EQUIPEMENT .................................................................................. 25 3.16. LA MISE EN PLACE DU PROTOCOLE SNMP............................................................................ 26 3.17. LOGS ET REMONTEES D’ALARMES ........................................................................................ 27 3.17.1. Configuration du serveur Syslog.................................................................................. 27 3.17.2. Message Trap SNMP .................................................................................................. 28 3.18. 4. ACTIVATION DU PROTOCOLE LLDP....................................................................................... 28 SYNTHESE POUR LA CONFIGURATION DES PORTS ........... 29 4.1. CONFIGURATION D’UN PORT UTILISATEUR ............................................................................. 29 4.1.1. Désactivation et l’activation d’un port .......................................................................... 29 4.1.2. Description d’un port physique .................................................................................... 30 4.1.3. La négociation des ports .............................................................................................. 30 4.1.4. Configuration manuelle d’un port : ............................................................................... 31 4.1.5. Utilisation des compteurs d’interface ........................................................................... 31 4.1.6. La fonctionnalité NDP .................................................................................................. 31 4.2. AGREGATION DE LIEN (LACP)................................................................................................ 33 4.2.1. Mise en place des ports dans l’agrégation de liens ..................................................... 33 4.2.2. Suppression de l’agrégat ............................................................................................. 34 5. MULTICAST .............................................................................. 35 5.1. ACTIVATION D’IGMP SNOOPING........................................................................................... 35 5.1.1. Première étape - Activation de manière globale .......................................................... 35 5.1.2. Deuxième étape – Activation sur le VLAN 1 ................................................................ 35 5.2. VERIFIER LE BON FONCTIONNEMENT D’IGMP SNOOPING ....................................................... 35 6. LA SAUVEGARDE DE LA CONFIGURATION .......................... 37 7. ANNEXES .................................................................................. 37 7.1. PARAMETRAGE DES PORTS DES EQUIPEMENTS VIDEO SUR LES COMMUTATEURS..................... 37 GARE DDGE ...................................................................................................................................... 38 GARE TRANSILIEN............................................................................................................................... 38 GARE SNCF PROXIMITES ................................................................................................................... 38 DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 4/38 1. INTRODUCTION Les commutateurs H3C s3610 sont des équipements de niveau 2 répondant à des besoins de connectiques et de fonctionnalités liés à des réseaux types VidéoSurveillance / Téléaffichage. De façon à garantir la qualité de la supervision de ces réseaux, tous les commutateurs H3C s3610 doivent partager une version logicielle et une configuration de base identique. Le présent manuel propose une méthode de paramétrage des ces équipements à destination des intervenants techniques locaux qui ont à leur charge la configuration et l’exploitation des équipements. 2. GENERALITES 2.1. APERÇU DES OPERATIONS A REALISER Le paramétrage des commutateurs H3C s3610 présente quatre étapes : • • • • Paramétrage IP (adresse IP, masque de sous réseau et passerelle par défaut), Mise à jour de la version des logiciels (firmware) tournant sur l’équipement, Réinitialisation de la configuration en configuration usine, Configuration des paramètres de l’équipement. Les paramètres à modifier sont, par rapport à leur configuration par défaut, les suivants (ces paramètres peuvent être de temps à autre soumis à modification en fonction de la version. • • • • • • • • • • • • • Le nom du matériel et sa localisation géographique (sysname/sysinfo), Son invite de commande (nom du commutateur), Le message d’accueil, Son heure système (basée sur l’heure de la passerelle du site), Création d’un compte administrateur , Les noms de communauté en lecture et lecture/écriture utilisés pour l’accès et les modalités d’accès au commutateur. L’activation du client syslog, L’activation du fichier log local, L’adresse de la console de supervision locale pour la remontée de message d’erreur La configuration Spanning Tree de l’équipement (désactivation), La configuration des agrégations de liens, La configuration de la négociation des ports à forcer, La configuration d’IGMP Snooping. • DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 5/38 2.2. CONFIGURATION DE REFERENCE En raison du grand nombre de paramètres modifiables sur les commutateurs (VLAN, Spanning Tree, configuration de la vitesse/duplex des ports, etc.), nous prenons pour configuration de référence la configuration par défaut (configuration usine) du commutateur et ne spécifions que les paramètres devant être modifiés par rapport à leur valeur par défaut. Par exemple, après une remise à zéro logicielle, le nom système d’un commutateur H3C s3610 aura la valeur par défaut suivante : H3C De façon à garantir la conformité du paramétrage d’un commutateur, celui-ci sera réinitialisé avant toute configuration. Cette méthode permet de partir d’une configuration de référence sûre et complètement déterminée. 2.3. ORDONNANCEMENT • La valeur par défaut d’un paramètre peut dépendre de la version logicielle (firmware) installée sur l’équipement. Afin d’éviter les erreurs de configuration liées à ces évolutions de paramètres par défaut, la méthode de paramétrage proposée dans ce manuel consiste à réaliser dans l’ordre les opérations suivantes : • 1- Réinitialisation des paramètres 2- Mise à jour du firmware de l’équipement 3- Configuration des paramètres 4- Sauvegarde de configuration • 3. PRISE EN MAIN DE L’EQUIPEMENT 3.1. CARACTERISTIQUES DE LA GAMME La gamme s3610 a été sélectionnée pour des besoins identifiés VidéoSurveillance / Téléaffichage : connectique cuivre (FastEthernet) ou fibre 100BaseFX (forte densité jusqu’à 24 ports 100Fx par commutateur) ainsi que des fonctionnalités avancées de gestion des flux multicast (IGMP snooping). Il n’y a qu’une seule référence à l’Annexe1 du contrat cadre LAN (modèle 100Fx) mais il existe d’autres références avec une connectique cuivre (24/48ports) à l’Annexe 1bis. Aucune référence de la gamme s3610 du catalogue SNCF n’intègre la fonctionnalité PoE La référence actuelle de la gamme en Annexe 1 du contrat cadre LAN est : Réf. catalogue BT/SNCF SF0235A22F Descriptif H3C S3610-28F, 24 p 100BASE-X SFP (SFP 100FX non incluses), 2 ports 1000BASE-X SFP et 2 ports 10/100/1000 Ethernet Attention le modèle s3610-28F n’est pas livré avec les interfaces SFP 100Base-FX (sur fibre multimode). Il faut donc les commander, la référence est SF3CFP81. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 6/38 3.2. CONNEXION CONSOLE • L’interface « console » du commutateur H3C s3610 permet d’accéder à sa configuration sous forme d’un environnement en ligne de commande. Il est possible d’obtenir cette interface : • • Soit localement, en se connectant au port série situé sur la face avant droit de l’équipement, • Soit à distance, en ouvrant une session « terminal » vers l’équipement au travers du réseau, à condition que les paramètres IP aient déjà été configurés (la première connexion s’effectue dès lors directement via le port série). • 3.2.1.Port série Une liaison doit être réalisée entre le port série du commutateur (connecteur RJ45 repéré « Console » en face avant) et d’un adaptateur pour le PC utilisé afin de paramétrer l’équipement. Elle s’effectue au moyen d’un câble RJ45-DB-9, fourni avec l’équipement. Le programme HYPERTERMINAL fourni en standard dans les environnements Windows permet de gérer la liaison. Il est généralement situé dans le menu Démarrer/Programmes/Accessoires/Communications. Les paramètres de connexion par « Hyperterminal » sont présentés ci-dessous : • Sélectionner 9600 • Sélectionner Aucun DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 7/38 Note : Plusieurs pressions sur la touche ENTRÉE peuvent être nécessaires pour établir la connexion et obtenir l’invite d’authentification. 3.3. ARBORESCENCE DES MENU L’OS sur les équipements 3COM est appelé : ComWare. Il y a actuellement deux trains de versions majeures, la v3 et la v5, cette dernière étant pour les équipements utilisant des fonctionnalités avancée de routage, sécurité et QoS La gamme H3C s3610 utilise la version ComWare 5 Il existe une arborescence dans l’OS, lorsque l’on se connecte sur l’équipement on entre le mode user-view qui va permettre : • • • l’accès à toutes les commandes d’affichage d’accéder au mode debuuging de se connecter à un équipement (telnet, ssh…). Le mode system-view permettra quant à lui de : • • l’accès à toutes les commandes d’affichage configurer l’équipement. Le mode user-view et le mode system-view sont protégés par mot de passe. Afin d’obtenir les logins/mots de passe pour les équipements LAN Vidéosurveillance IDF, contacter CSC-TI. Ci-dessous une illustration de l’arborescence de l’OS 3COM. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 8/38 3.4. 1ERE CONNEXION SUR L’EQUIPEMENT Contrairement aux équipements 3COM (gammes 4210, 5500, 5500G) le s3610 ne dispose pas de fichier par défaut pré-configuré. Ainsi lorsque l’on se connecte pour la première fois sur le port console de l’équipement (interface terminal), on a directement le prompt (invite de commande) qui s’affiche : . <H3C> 3.4.1.Invite de commande • La configuration du commutateur H3C s3610 s’effectue au moyen d’un langage de commande. Une commande est constituée d’une succession de mots séparés par des espaces, la commande est validée par la touche ENTRÉE. Chaque ligne ne contient qu’une seule action. • • La flèche droite ainsi que celle gauche permettent de se déplacer sur la ligne. • 3.5. FERMETURE DE LA CONNEXION • Une fois le paramétrage effectué, vous pouvez fermer HYPERTERMINAL ou SSH directement : il n’est pas nécessaire de demander la clôture de session au moyen de la commande « quit » lorsque l’on se trouve dans la vue utilisateur (user view). DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 9/38 • 3.6. LES FONCTIONNALTES EN COMMANDES EN LIGNES 3.6.1.Utilisation de raccourcis de mots • De façon à simplifier la saisie des commandes, le commutateur H3C s3610 accepte la saisie des premières lettres de chaque mot (raccourci) plutôt que le mot complet. Il est par exemple possible de taper : • [H3C]dis int eth 1/0/1 pour display interface Ethernet 1/0/1 • • • Le nombre de lettres entrées pour chaque mot n’est pas imposé. Dans la mesure où ces lettres suffisent à clairement identifier le mot correspondant de manière unique. Il est ainsi possible d’utiliser les raccourcis « dis », « disp » ou « displa » pour signifier le mot « display ». • Dans le cas, où les premières lettres ne suffisent pas à clairement identifier le mot correspondant de manière unique, l’utilisation du raccourci n’est pas autorisée. • • [H3C]display cl • ^ • % Ambiguous command found at '^' position. • [H3C] • 3.6.2.Saisie automatique de la commande • La touche TABULATION permet de demander à l’équipement de compléter automatiquement un mot entré sous forme de raccourci. Le mot complet s’affiche alors sur la ligne de commande suivante. Par exemple : • <H3C>te <H3C>terminal <H3C>telnet en tapant plusieurs fois sur la touche tabulation les différents choix apparaissent. 3.6.3.Affichage des mots correspondants à un raccourci • • La touche « ? » permet d’obtenir la liste des mots correspondant à un raccourci entré sur la ligne de commande. Par exemple : • • DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 10/38 • • • • [H3C]dis cl? clipboard clock cluster [H3C]dis cl • • • • • Saisie de cl puis ? • L’équipement affiche les mots commençant par cl… • …puis recopie le raccourci initial sur la ligne suivante. • • • La touche « ? » doit être utilisée immédiatement après le raccourci, sans espace. Elle a une autre fonction lorsqu’elle est utilisée en début de mot. • • Cette touche permet de savoir si le commutateur attend d’autre paramètre après chaque mot clé. Exemple : • • [H3C]sysname ? • STRING<1-30> System name (1 to 30 characters) 3.6.4.Aide syntaxique • L’utilisation de la touche « ? » en début de mot permet d’obtenir la liste des mots possibles ou le type de données attendu pour la suite de la commande ainsi qu’un descriptif. • • Un espace doit séparer le « ? » du dernier mot de la commande. Dans le cas contraire, la liste des mots correspondant à la dernière suite de lettres saisie sera affichée. • • L’utilisation de la touche« ? » directement au début de la ligne permet en particulier d’obtenir la liste de toutes les commandes acceptées par l’équipement. • 3.6.5.Historique des commandes • Les flèches HAUT et BAS permettent respectivement de monter et descendre dans l’historique des commandes déjà tapées. Une pression sur la touche HAUT permettra de recopier sur la ligne actuelle la dernière commande, deux pressions l’avant-dernière… • • Par exemple: • [H3C]display • • • • Un appui sur la flèche HAUT permet de retaper automatiquement la commande pour reprendre l’erreur sans devoir ressaisir la ligne. DSIT-TSR/PCIR/ 04/10/2011 Vidéosurveillance 2009 Page 11/38 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 • • De plus l’utilisateur peut obtenir l’historique des commandes en tapant la commande suivante : [H3C]display history-command dis int Ethe 1/0/1 system-view quit system-view [H3C] • 3.7. NOMENCLATURE DES PORTS 3.7.1.Ports individuels • Certains paramétrages, comme l’activation ou la désactivation de l’auto négociation, sont contrôlables ports par port. Il est nécessaire de mentionner les ports concernés dans la commande correspondante. • • Dans l’environnement des commandes en lignes, les ports sont repérés selon la nomenclature : • AAAA • • • • • • • Numéro de l’unité x/y/z • Numéro module du • Numéro du port sur le module • Où : • - AAAA représente le type de médium, qui est GigabitEthernet pour les ports Gigabit, - x est le numéro de l’unité - y est le numéro du module - z est le numéro du port sur la carte considéré, • • Par exemple, le 1er port cuivre FastEthernet en partant de la gauche sera référencé : • • interface Ethernet 1/0/1 Important : Les ports Gigabit (cuivre ou optique) du s3610 font partis du module n°1. Ainsi pour la configuration et l’affichage les interfaces correspondantes sont : interface GigabitEthernet 1/1/X ( X valeur de 0 à 4) DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 12/38 3.8. REDEMARRAGE EN CONFIGURATION PAR DEFAUT • • La remise à zéro des paramètres est une étape essentielle permettant de redémarrer sur une configuration saine et parfaitement connue (configuration d’usine). Elle s’effectue via la commande suivante, en mode « vue utilisateur » : <H3C>reset saved-configuration The saved configuration file will be erased. Are you sure? [Y/N]:y Configuration file in flash is being cleared. Please wait ... Taper “Y” Configuration file does not exist! <H3C>reboot Start to check configuration with next startup configuration file, please wait.........DONE! This command will reboot the device. Current configuration may be lost in next startup if you continue. Continue? [Y/N]:y Taper “Y” 3.9. PARAMETRAGE IP 3.9.1.Configuration IP • Le paramétrage IP de l’équipement s’effectue au moyen des commandes suivantes. Pour permettre la mise en place du Vlan d’administration, il est nécessaire de le créer et d’y associer l’adresse IP du commutateur • Création du Vlan d’administration <H3C>system-view Configuration dans le mode system view System View: return to User View with Ctrl+Z. Affectation d’une adresse IP Configuration de l’interface vlan 1 [H3C] interface Vlan-interface 1 Configuration d’une IP adresse et masque de sous réseau associé [H3C-Vlan-interface1]ip address A.B.C.D .255.255.255.0 Retour au menu général [H3C-Vlan-interface1]quit Mise en place de route par défaut (elle correspond à l’adresse IP de la passerelle du réseau, celle du CLM) [H3C]ip route-static 0.0.0.0 0.0.0.0 Q.S.F.W • Q.S.F.W représente l’adresse de la passerelle par défaut • DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 13/38 • 3.9.2.Vérification du paramétrage IP • Afin de s’assurer que les commandes entrées au paragraphe précédent sont correctes et ont bien été prises en compte, nous allons afficher la configuration actuelle de l’équipement au moyen des commandes suivantes : • • Vérification de l’adresse IP • • <H3C>display interface Vlan-interface 1 • Vlan-interface1 current state: UP L’interface est active • Line protocol current state: UP • Description: Vlan-interface1 Interface • The Maximum Transmit Unit is 1500 Internet Address is A.B.C.D /24 Primary réseau associé L’adresse du commutateur et le masque de sous • • IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e25d-ee82 • IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e25d-ee82 • • • Remarque : pour que le vlan soit UP, il faut au minimum qu’un port physique appartenant au vlan soit actif (UP) • • • Vérification de la « Gateway » • <H3C>display ip routing-table • Routing Table: public net • Destination/Mask Protocol Pre Cost • 0.0.0.0/0 STATIC 60 0 • Q.S.F.0/22 DIRECT 0 0 interface1 • A.B.C.D /32 DIRECT 0 0 InLoopBack0 • 127.0.0.0/8 DIRECT 0 0 • 127.0.0.1/32 DIRECT 0 0 • <H3C> Nexthop Q.S.F.W A.B.C.D Interface Vlan-interface1 Vlan- 127.0.0.1 127.0.0.1 127.0.0.1 InLoopBack0 InLoopBack0 La ligne en bleu indique celle qui est utilisée par défaut. L’adresse IP est celle de la passerelle par défaut. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 14/38 3.10.MISE A NIVEAU LOGICIELLE 3.10.1.Vérification de la version du firmware du commutateur • A l’heure actuelle (décembre 2009), la version préconisée par la DSIT TSR pour la vidéosurveillance est V5.20 r5309P02. Afin de vérifier que la version du firmware commutateur, la commande suivante doit être utilisée : • <H3C >display version H3C Comware Platform Software Comware Software, Version 5.20, Feature 5309P02 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C S3610-28F uptime is 1 week, 6 days, 6 hours, 59 minutes H3C S3610-28F 128M bytes DRAM 32M bytes Flash Memory Config Register points to FLASH Hardware Version is REV.C CPLD Version is CPLD 002 Bootrom Version is 206 [SubSlot 0] 24FE Hardware Version is REV.C [SubSlot 1] 4GE Hardware Version is REV.C Si la version du firmware ne correspond pas à la préconisation de la DSIT TSR, le téléchargement de celle-ci doit être effectué Attention, le fichier BootRom (extension .btm) est important. Avant tout upgrade logiciel il faudra s’assurer que la version BootRom existante est bien compatible (pré-requis) avec le nouveau firmware. Ces informations seront communiquées sur le site WEB de la DSIT TSR. Dans le cas de vidéosurveillance, la BootRom nécessaire pour le firmware préconisé est la Version 206. 3.10.2.Mise à jour du firmware du commutateur 3.10.2.1.Préparation • La mise à niveau du firmware nécessite qu’un serveur TFTP soit accessible au commutateur depuis le réseau. Par exemple, le programme « serveur TFTP » peut être lancé sur le PC utilisé pour configurer le commutateur. Ce PC doit être raccordé à la face avant du commutateur par un câble réseau. Notons que le téléchargement ne peut pas s’effectuer à travers le port série éventuellement utilisé pour paramétrer l’équipement. Une connexion Ethernet est nécessaire. Aucun serveur TFTP n’est fourni en standard dans les environnements Windows. Nous vous proposons d’utiliser le freeware TFTPD32 de P. Jounin disponible à l’URL suivante, http://reseauip.dsit.sncf.fr/lan/telechargement/tftpd32.zip. • • La version V5.20 r5309P02 à télécharger sur les commutateurs est disponible à l’URL suivante: DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 15/38 • • http://reseauip.dsit.sncf.fr/lan/equipements/3COM/Firmware/ • Tous les commutateurs H3C doivent avoir la même version logicielle. Cette version doit être copiée sur le PC sur lequel est lancé le serveur TFTP. Le serveur TFTP doit par ailleurs être paramétré pour que la racine des fichiers du serveur soit le répertoire dans lequel se trouve la version à télécharger. • • • 3.10.2.2.Téléchargement du firmware • • Le lancement du téléchargement des fichiers firmware s’effectue en saisissant les commandes suivantes sur l’interface console de l’équipement : • Téléchargement du fichier bin <H3C> tftp R5309P02.bin A.B.C.D get S3610_5510-CMW520-R5309P02.bin S3610_5510-CMW520- Où A.B.C.D est l’adresse IP du serveur TFTP • Téléchargement du fichier bootrom <H3C> tftp A.B.C.D get S3610_5510-BOOTROM-V206.btm S3610_5510-BOOTROM-V206.btm Où A.B.C.D est l’adresse IP du serveur TFTP Bien entendu au préalable il est nécessaire de configurer une adresse IP sur le commutateur. • Pour la commande suivante permet de visualiser les fichiers dans la mémoire flash • • <H3C>dir • Directory of flash:/ • • 0 -rw- 8687980 Jan 11 2010 17:34:44 S3610_5510-CMW520-R5309P02 • 1 -rw- 1769 Jan 11 2010 14:06:51 startup.cfg • DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 16/38 • 30861 KB total (22370 KB free) • En remarque : la mémoire flash du s3610 a une capacité de 32Mo, il est ainsi possible d’y stocker au moins 2 fichiers firmware (.bin) • • Afin que le commutateur prenne en compte la nouvelle version téléchargée, il faut passer la commande suivante (en vue utilisateur). • <H3C>boot-loader file flash:/S3610_5510-CMW520-R5309P02.bin • • • Contrairement au H3C s5500-EI, il n’est pas possible de préciser un firmware de boot primaire (main) et un autre secondaire (backup). • • Upgrader le micro-code BootRom (en vue utilisateur) • • <H3C>bootrom update file flash:/S3610_5510-BOOTROM-V206.btm • • Pour vérifier que la commande a été prise en compte, on utilisera la commande ci-dessous qui renvoie le fichier de boot actuel et celui au prochain redémarrage : • • [H3C]display boot-loader • The current boot app is: flash:/S3610_5510-CMW520-F5305P02.bin • The app that will boot upon reboot is: flash:/S3610_5510-CMW520-R5309P02.bin • • Après avoir sauvegardé la configuration (commande save cf §6), on procédera au redémarrage de l’équipement à l’aide de la commande « reboot » (mode user view). • <H3C>reboot Start to check configuration with next startup configuration file, please wait.........Checking is finished! This will reboot device. Continue? [Y/N] y Taper la touche “Y” #Apr 2 01:03:59:945 2000 H3C COMMONSY/5/REBOOT:- 1 Reboot device by command. <H3C> %Apr 2 01:04:03:992 2000 H3C DEV/5/DEV_LOG:- 1 Switch is rebooting... • • • Dans le cas d’une connexion à distance, la connexion est perdue et devient indisponible pendant environ 30 secondes. • • • Remarque : il est possible de planifier un reboot de l’équipement, la commande suivante (en vue utilisateur) peut être utile lorsque l’on implémente une commande délicate avec risque de perdre la main sur l’équipement. Ainsi l’équipement redémarra avec sa dernière configuration sauvegardée • • <H3C>schedule reboot ? • at Specify the exact time Précision de l’heure exacte • delay Specify the time interval Précision du délai exact DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 17/38 • • • 3.11.GESTION DES FICHIERS SUR LA MEMOIRE FLASH Les commandes pour la gestion des fichiers sont équivalentes à celles du monde UNIX (dir, rmdir, delete…). >Visualisation des fichiers dans la mémoire <H3C>dir • <CREIL_H3C_EXTREM2>dir • Directory of flash:/ • • 0 -rw- 422068 Apr 26 2000 13:42:02 s3610_5510-bootrom-v202.btm • 1 -rw- 2097 Apr 26 2000 14:08:50 startup.cfg • 2 -rw- 8687980 Apr 26 2000 13:43:37 s3610_5510-cmw520-f5305p02.bin • 3 -rw- 1425 Apr 26 2000 13:24:13 startup.cfg • • 30861 KB total (21954 KB free) 6 -rw- 2305 Sep 30 2008 11:35:01 test2.cfg La commande « delete » permet de supprimer des fichiers dans la mémoire flash <H3C>delete XXX.cfg Delete flash:/test2.cfg?[Y/N]:y . %Delete file flash:/test2.cfg...Done. <H3C>dir I : Directory of flash:/ 0 1 2 Effacement du fichier Taper Y Retaper la commande « dir » pour vérifier que le fichier a été effacé -rw- 422068 Apr 26 2000 13:42:02 s3610_5510-bootrom-v202.btm -rw2097 Apr 26 2000 14:08:50 startup.cfg -rw- 8687980 Apr 26 2000 13:43:37 s3610_5510-cmw520-f5305p02.bin 30861 KB total (21954 KB free) <H3C> • • En remarque, il est possible de visualiser le contenu d’un fichier à l’aide de la commande clé : • • <H3C >more ? • STRING [drive][path][file name] • flash: Device name • • Cette commande sera plutôt utiliser pour étudier un fichier de configuration (extension .cfg). DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 18/38 3.12.CONFIGURATION DES PARAMETRES 3.12.1.Identification de l’équipement Les trois paramètres suivants permettent de stocker des informations factuelles relatives à l’équipement : - Sysname : le nom du commutateur, choisi suivant une règle de nommage local ou national (Détaillé au paragraphe suivant) - Contact : normalement, le nom de l’entité/personne en charge d’administrer l’équipement mais il est préférable de préciser le numéro de téléphone de la personne à contacter. - Location : nom du site et emplacement géographique du commutateur, BIR, CLD, BV ouest… • • Il est nécessaire d’activer au préalable l’agent SNMP : • [H3C]snmp-agent • • Les commandes suivantes permettent de renseigner les informations : • • Pour saisir le numéro et la fonction du responsable (au maximum 200 caractères) • [H3C]snmp-agent sys-info contact « Nom de la personne » • Pour saisir l’emplacement géographique de l’équipement (au maximum 200 caractères) • [H3C]snmp-agent sys-info location « Nom du lieu » • • • La vérification des paramètres configurés sur le commutateur s’effectue par les commandes : [H3C]display snmp-agent sys-info The contact person for this managed node: « Nom de la persone » La commande suivante permet obtenir les renseignements suivants The physical location of this node: « Nom du lieu » SNMP version running in the system: Cette commande permet aussi SNMPv3 voir les versions SNMP autorisées sur l’équipement (la version par défaut est v3) 3.12.2.Invite de commande • L’invite de commande répétée au début de chaque ligne de commande peut être utilisée pour identifier aisément le commutateur sur lequel la session console est ouverte. Pour se faire, il faut remplacer sa valeur par défaut, «H3C », par le nom de l’équipement. Utiliser la commande « sysname» comme suit : • [H3C]sysname « Nom_du commutateur » (maximum 30 caractères) DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 19/38 Il est impératif de paramétrer l’invite de commande avec le nom du commutateur (règle de nommage vidéosurveillance IDF). Rappel : Le nom des équipements doit permettre d’identifier rapidement le site, la fonction de l’équipement et doit permettre d’associer rapidement l’équipement à son IP. Il doit tenir sur 8 caractères de la manière suivante: [Code du site sur 1 à 3 caractères fourni par CSCTI]–[Position dans le LAN sur 2 caractères (FD ou EX)]–[Numéro du commutateur sur 1 à 2 caractères] Exemple : A Creil 1 commutateur fédérateur et 2 commutateurs d’extrémité sont installés. Voici les noms des équipements suivant la règle de nommage énoncée précédemment, le code transmis pour le site est « CL » : - CL-FD1 - CL-EX1 - CL-EX2 3.12.3.Message d’accueil Lorsque l’on se connecte au commutateur H3C en mode « Commande En Ligne » (CLI), l’utilisateur doit être averti qu’il se connecte à un équipement actif du réseau et que toute connexion est tracée. Ce message d’accueil peut être modifié comme suit : [H3C] header login $XXXXXXX$ Le texte du message d’accueil doit être compris entre les signe $ (les espaces sont autorisés). 3.12.4.Heure système Les commutateurs H3C tiennent à jour la date et l’heure courantes. Ces informations permettent entre autres de dater les événements tracés dans le journal de l’équipement et de faciliter le diagnostic des problèmes. A configurer en mode user-view. • <H3C >clock datetime HH:MM:SS MM/DD/YYYY • • Heure Date au format américain. • • Où: • - MM/JJ/AAAA est la date actuelle au format mois, jour, année ; attention, la position du mois et du jour sont inversés par rapport au format français JJ/MM/AAAA; l’année est sur 4 chiffres. - HH:MM:SS est l’heure actuelle au format heures, minutes, secondes, • • Pour effectuer la vérification, la commande suivante est utilisée • • <H3C >display clock • 10:57:09 UTC Wed 10/29/2008 Affichage de l’heure GMT • Time Zone : add 00:00:00 • <H3C > DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 20/38 • • 3.12.4.1.Mise en place de gestion du passage à l’heure d’été Afin que le commutateur soit toujours à la bonne heure malgré le passage entre l’heure d’été et d’hiver, la fonction « summer-time » doit être activée par les commandes suivantes : • [H3C]clock timezone paris add 1 • [H3C]clock summer-time PARIS repeating 02:00:00 2008 March last Sunday 03:00:00 • 2008 October last Sunday 01:00:00 • Pour effectuer la vérification, la commande suivante est utilisée <H3C>display clock 12:03:34 paris Wed 10/29/2008 Time Zone : paris add 01:00:00 Summer-Time : PARIS repeating 02:00:00 2008 March last Sunday 03:00:00 2008 October last Sunday 01:00:00 Paramétrage de l’heure d’été <H3C> Les lignes de commandes passées pour régler l’heure n’apparaissent pas dans le fichier de la configuration courante (display current-configuration) 3.12.4.2.Gestion des serveurs de temps • • Si le site dispose d’un serveur de temps, il est intéressant pour des raisons de correction de faire pointer le commutateur H3C vers ce serveur. Ainsi, tous les équipements d’un même site disposent d’un référentiel de temps identique. Le serveur de temps d’un site vidéosurveillance correspond à l’adresse LAN du routeur (CLM) de celui-ci. Par exemple sur Creil l’adresse LAN du CLM est 10.243.175.1. Ce sera l’adresse utilisée lors du paramétrage du serveur de temps : • • • • • Adresse IP du serveur de temps principal qui est la gateway du LAN de la gare [H3C]ntp-service unicast-server X.X.X.X priority • • • • • Pour vérifier la configuration des serveurs de temps, les commandes suivantes sont utilisées DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 21/38 • • [H3C]display ntp-service status • Clock status: synchronized Le commutateur est synchronisé • Clock stratum: 5 • Reference clock ID: 10.243.175.1 • Nominal frequency: 100.0000 Hz • Actual frequency: 100.0000 Hz • Clock precision: 2^18 • Clock offset: 0.0000 ms • Root delay: 35.18 ms • Root dispersion: 0.43 ms • Peer dispersion: 51.22 ms • Reference time: 09:45:32.126 UTC Feb 18 2009(CD46573C.2060DCB9) • • [H3C]display ntp-service sessions • source reference stra reach poll now offset delay disper • ************************************************************************* ******* • [12345]10.243.175.1 10.243.252.162 4 1 64 30 2.1 12.8 0.0 • note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured • Total associations : 1 • [H3C] • • L’adresse 10.243.252.162 correspond au serveur de temps vidéosurveillance utilisé. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 22/38 3.13.DESACTIVATION SPANNING TREE SUR L’EQUIPEMENT Le protocole Spanning Tree permet aux commutateurs de résoudre les situations de boucles dans le réseau. Sur les LAN du réseau de vidéosurveillance, ce protocole n’est pas requis. Il faut donc le désactiver. 3.13.1. Vérifier si Spanning-Tree est actif Par défaut, le Spanning Tree n’est pas activé. Toutefois il faut s’en assurer : [H3C]display stp Protocol Status :disabled Protocol Std. :IEEE 802.1s Version :3 CIST Bridge-Prio. :32768 MAC address :000f-e281-e620 Max age(s) :20 Forward delay(s) :15 Hello time(s) :2 Max hops :20 Spanning-tree est bien désactivé 3.13.2.Désactiver Spanning-Tree Si Spanning-Tree est actif, la commande suivante le désactivera : [H3C]stp disable Désactivation du Spanning Tree 3.14.GESTION DES COMPTES UTILISATEURS 3.14.1.Compte utilisateurs Il existe 4 niveaux de privilège (level) sur tous les équipements 3COM/H3C, allant de 0 à 3 : — Visit (level 0) Accès aux commandes de diagnostic réseau comme le telnet, ping & traceroute pour effectuer des tests — Monitor (level 1) Inclus en plus des commandes d’affichage (display) et des commandes de debug (debugging), niveau utilisé pour des personnes de la maintenance — Configuration (level 2) Inclus en plus toutes les commandes de configuration orientées service (routage, ports…), mais pas les commandes d’administration de l’équipement (modification des passwords, utilisateurs…) — Administrator (level 3) DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 23/38 Inclus en plus les commandes de gestion fichiers du système (FTP, TFTP, gestion des utilisateurs, modification des niveaux de privilèges de commandes… Chaque commande possède un niveau de privilège minimum requis, ainsi un utilisateur ayant un accès de niveau 2 par exemple aura accès aux commandes de niveau 0, 1 et 2. Ce niveau peut être modifié par l’administrateur de l’équipement (level 3) Nous avons vu précédemment que l’accès à l’interface console n’était pas protégé par des noms d’utilisateur et mots de passe pré-configurés. • 3.14.2.Créer un compte utilisateur • • Un compte administrateur avec un privilège égal à 3 doit être créé. • • Tout d’abord, il est nécessaire de configurer l’interface gérant les accès à distances • Configuration de l’accès à distance du commutateur <H3C>system-view Passage en mode System-view Configuration de l’interface gérant les connexions à distantes (telnet, ssh) [H3C]user-interface vty 0 4 Configuration du mode d’authentification (scheme=base locale) pour ces connexions [H3C-ui-vty0-4]authentication-mode scheme Configuration du mode d’authentification (base locale) pour l’interface console [H3C]user-interface aux 0 [H3C-ui-aux0]authentication-mode scheme [H3C-ui-aux0] • • • Nom du nouveau compte YYY • Pour créer un compte utilisateur, les commandes suivantes : • [H3C]local-user YYY Création d’un nouveau compte New local user added. [H3C-luser-YYY]password cipher XXX Définition du mot de passe [H3C-luser-YYY]service-type telnet terminal ssh Définition des services [H3C-luser-YYY]level X Définition du niveau de privilège (niveau 0, 1, 2 ou 3) Pour des raisons de sureté, l’accès des équipements réseaux doit être sécurisé. Il est préconisé de configurer : • Un temps maximum d’inactivité avant déconnexion automatique (par exemple 5 minutes). Déconnexion des utilisateurs en mode console au bout de 5 min d’inactivité DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 24/38 [H3C]user-interface aux 0 [H3C -ui-aux0]idle-timeout 5 Déconnexion des utilisateurs en mode distant (connexion Telnet ou SSH) au bout de 2 min d’inactivité [H3C -ui-aux0]user-interface vty 0 4 [H3C -ui-vty0-4]idle-timeout 2 3.14.3.Visualisation des comptes créés La commande suivante permet de visualiser les utilisateurs configurés sur l’équipement : [H3C]display local-user The contents of local user admin: State: Active ServiceType: ssh/telnet/terminal Access-limit: Disable Current AccessNum: 1 User-group: system Bind attributes: Authorization attributes: User Privilege: 3 Total 1 local user(s) matched. Remarque 1 : il est possible de définir sur le commutateur (dans le sous menu de l’utilisateur créé) le niveau de complexité souhaité pour le mot de passe (nombre minimum de caractères, caractères spéciaux, durée de validité du mot de passe) • • Remarque 2: Un utilisateur de niveau 2 peut créer d’autres utilisateurs, ceux-ci pourront avoir au maximum un niveau de privilège égal, c'est-à-dire 2. • • 3.15.LES MODES D’ACCES A L’EQUIPEMENT Afin de sécuriser le réseau SNCF de vidéosurveillance, les modes d’accès à l’administration des commutateurs doivent être limités. Ainsi, les modes d’administration autorisés sont SNMP V1, Telnet et SSH. Les commandes suivantes doivent dès lors être passées afin de n’utiliser que ces derniers : >Activation/Désactivation du serveur Telnet Sur les équipements H3C le serveur Telnet n’est pas actif par défaut. [H3C]telnet server enable % Telnet server has been started Pour le désactiver on utilisera la commande : undo telnet server enable Remarque: L’administration par l’interface WEB (http et https) est déconseillée par DSITTSR/CCIR. En effet, cette dernière ne permet pas d’accéder à toutes les fonctionnalités et peut dans certains cas amener l’administrateur à commettre des erreurs. Le mode http est actif par défaut sur l’équipement (non valable pour le https), par conséquent on le stoppera : [H3C]undo ip http enable [H3C]display ip http Basic ACL: 0 DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 25/38 Operation status: Stopped >Activation de SSH [H3C]ssh server enable Activation du serveur SSH Info: Enable SSH server. [H3C]public-key local create rsa Création de la clé RSA The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. On utilisera une clé de 1024 bits (par défaut) Press CTRL+C to abort. Input the bits of the modulus[default = 1024]: Generating Keys... ..................++++++ .................++++++ ...............++++++++ .........++++++++ ... Taper Entrée Remarque : par défaut, l’équipement est compatible SSH v1 et v2 (sur la capture ci-dessous on retrouve cette information dans v1.99). On peut forcer l’équipement à utiliser uniquement SSH v2 avec la commande : [H3C]undo ssh server compatible-ssh1x 3.16.LA MISE EN PLACE DU PROTOCOLE SNMP • • Le protocole SNMP V1 est utilisé actuellement pour la supervision des équipements LAN de vidéosurveillance et doit être configuré sur les équipements. La configuration de ce protocole au niveau du commutateur s’effectué via les commandes suivantes : • [H3C]snmp-agent [H3C]snmp-agent sys-info version v1 [H3C]snmp-agent group v1 8HGW1SQ write-view 8HGW1SQ [H3C]snmp-agent group v1 DPRPR16 read-view DPRPR16 [H3C]snmp-agent community read DPRPR16 > Dans la configuration globale, les lignes de commandes liées à SNMP apparaissent à la fin, on utilisera la commande raccourci suivante : [H3C]display current-configuration | begin snmp-agent > Pour s’assurer de la version paramétrée sur l’équipement : [H3C]display snmp-agent sys-info version SNMP version running in the system: SNMPv1 Dans le cas où une version de SNMP non voulue est activée (par exemple SNMPv3) : [H3C]undo snmp-agent sys-info version v3 DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 26/38 > Pour récupérer la valeur Engine-ID : [H3C]display snmp-agent local-engineid SNMP local EngineID: 800063A203000FE25DEE88 3.17.LOGS ET REMONTEES D’ALARMES Les logs peuvent être enregistrés dans un buffer en local sur le commutateur. Ces logs peuvent être consultés par la commande suivante • • • • • • • • [H3C]display logbuffer Logging buffer configuration and contents:enabled Allowed max buffer size : 1024 Actual buffer size : 512 Channel number : 4 , Channel name : logbuffer Dropped messages : 0 Overwritten messages : 264 Current messages : 512 Taille du buffer Pour afficher les derniers événements, il est préférable d’utiliser l’option size. Exemple : display logbuffer size 10 pour les dix derniers événements. Pour visualiser les messages LOG commande terminal monitor. sur une session de connexion à distance, il faut utiliser la <H3C >terminal monitor % Current terminal monitor is on <H3C > 3.17.1.Configuration du serveur Syslog Il est conseillé d’activer l’envoi des informations Syslog. Ainsi l’administrateur du site dispose d’informations supplémentaires liées au bon fonctionnement de son réseau, à la sécurité de ce dernier, mais aussi au débogage des problèmes rencontrés. Divers niveaux d’avertissements peuvent être envoyés, un niveau de sévérité moyen est utilisé. [H3C]info-center enable % Information center is enabled [H3C]info-center loghost 10.151.156.87 [H3C] DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 27/38 3.17.2.Message Trap SNMP • Le commutateur peut remonter des alarmes après certains événements (chute d’un port, redémarrage, etc.) au serveur d’administration dont l’adresse IP doit être renseignée (plusieurs adresses de serveurs possibles). • Ces alarmes sont véhiculées sous forme de messages SNMP appelés TRAP. • • La configuration SNMP V1 est détaillée dans le paragraphe précédent. Pour permettre ces remontées d’alarme les lignes de commande suivantes doivent être configurées : • • [H3C]snmp-agent trap enable • [H3C]snmp-agent target-host trap address udp-domain 10.6.31.240 params securityname DPRPR16 v1 Attention : ne pas activer de trap linkup/down sur les ports utilisateurs, uniquement sur les ports d’interconnexion. 3.18.ACTIVATION DU PROTOCOLE LLDP LLDP est un protocole standardisé de découverte des équipements voisins. Pour l’activer, il faut configurer la ligne de commande suivante : • • [H3C] lldp enable DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 28/38 4. SYNTHESE POUR LA CONFIGURATION DES PORTS 4.1. CONFIGURATION D’UN PORT UTILISATEUR En rappel, tous les ports utilisateurs de la gamme s3610 sont de type Ethernet (100Mb max). Tous les ports doivent obligatoirement : Etre désactivés administrativement s’ils ne sont pas utilisés Avoir un ALIAS donnant la description du type de lien Désactivation des fonctionnalités NDP et NTDP sur les ports qui ne sont pas des ports d’interconnexion avec d’autres commutateurs. • • • 4.1.1.Désactivation et l’activation d’un port Pour activer un port qui ne semble pas l’être, la commande est la suivante : [H3C]interface Ethernet 1/0/X Configuration de l’interface [H3C-Ethernet1/0/X]undo shutdown Activation du port Pour désactiver un port, la commande est la suivante : [H3C]interface Ethernet 1/0/X Configuration de l’interface [H3C-Ethernet1/0/X]shutdown Désactivation du port Pour visualiser l’état de tous les ports physiques, utilisez la commande display brief interface [H3C]display brief interface The brief information of interface(s) under route mode: Interface Link Protocol-link Protocol type NULL0 UP UP(spoofing) Vlan1 UP UP Main IP NULL ETHERNET -10.243.175.11 The brief information of interface(s) under bridge mode: Interface Link Speed Duplex Link-type PVID Eth1/0/1 DOWN 100M full access 1 Eth1/0/2 DOWN 100M full access 1 DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 29/38 Eth1/0/3 DOWN Eth1/0/4 ADM DOWN Eth1/0/5 DOWN Eth1/0/6 DOWN 100M 100M full full 100M 100M access access full full 1 1 access access -> le port est désactivé 1 1 (…) Tous les ports non utilisés doivent être désactivés 4.1.2.Description d’un port physique Pour une compréhension plus rapide de configuration de l’équipement réseau, il est possible de mettre place une description sur les ports des commutateurs. Il est alors plus facile d’identifier quels sont les équipements connectés au commutateur. [H3C]interface Ethernet 1/0/Y [H3C-Ethernet1/0/Y]description vers enregistreur 1 port 1 4.1.3.La négociation des ports La commande suivante permet de visualiser la configuration de chaque port : [H3C] display interface GigabitEthernet 1/0/Y Permet l’affichage des informations sur l’interface GigabitEthernet1/1/Y current state: UP Le statut de l’interface IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e281-e64a Description: uplink vers Fédérateur1 Description de l’interface Loopback is not set Media type is twisted pair, Port hardware type is 1000_BASE_T 1000Mbps-speed mode, full-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation L’interface est configurée en auto négociation Flow-control is not enabled The Maximum Frame Length is 10240 Broadcast MAX-ratio: 100% PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1 Port priority: 0 Last 300 seconds input: 8 packets/sec 627 bytes/sec 0% Last 300 seconds output: 2928 packets/sec 4170257 bytes/sec 3% Input (total): - packets, - bytes - broadcasts, - multicasts Compteurs de l’interface Input (normal): 69112761 packets, 4851176926 bytes 1366218 broadcasts, 418809 multicasts Input: 0 input errors, 0 runts, 0 giants, - throttles 0 CRC, 0 frame, 0 overruns, 0 aborts - ignored, - parity errors DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 30/38 Output (total): - packets, - bytes - broadcasts, - multicasts, - pauses Output (normal): 3418771883 packets, 4876906583662 bytes 17468 broadcasts, 3279928914 multicasts, 0 pauses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions - lost carrier, - no carrier Par défaut, tous les ports sont configurés en auto négociation sur le commutateur. 4.1.4.Configuration manuelle d’un port : Dans le cas où la négociation d’un port doit être forcée, voici les commandes à exécuter sur l’interface: [H3C -GigabitEthernet1/0/6]speed X Ou X sera 10, 100 ou 1000 selon la vitesse de négociation désirée [H3C-GigabitEthernet1/0/6]duplex Y Ou Y sera Full ou Half selon le type de négociation désirée Pour vérifier le type de négociation à paramétrer pour le port d’un équipement, se référer aux annexes de ce document. 4.1.5.Utilisation des compteurs d’interface Pour remettre à zéro les compteurs sur une interface, la commande suivante est à exécuter en mode user-view <H3C> reset counters interface Ethernet 1/0/Y Il est possible de configurer le temps la durée de rafraichissement des statistiques de l’interface. [H3C-Ethernet1/0/Y]flow-interval X la durée de rafraichissement est fixé à X (valeur compris entre 5 et 300 s) 4.1.6.La fonctionnalité NDP NDP (Network Discovery Protocol) est un protocole de découverte qui permet d’obtenir des informations sur les équipements 3COM/H3C voisins (type d’équipement, version de firmware, ID de l’équipement, sysname, le port de connexion…). NTDP (Network Topology Discovery Protocol) est un protocole qui permet de créer une base informative sur la topologie du réseau en temps réel. NTDP collecte entre autres les informations sur les équipements qui peuvent être ajoutés aux différents clusters, il est basé sur le protocole NDP. Ces protocoles sont actifs par défaut (en global et sur tous les ports), ils sont équivalents au protocole de découverte propriétaire Cisco : CDP (Cisco Discovery Protocol). DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 31/38 Quand ces protocoles sont actifs ils broadcastent des paquets de découverte sur tous les ports en fonctionnement. Dans le cas de vidéosurveillance nous n’utiliserons NDP que sur les ports d’interconnexion entre les équipements réseau. [H3C]undo ndp enable interface Ethernet 1/0/1 to Ethernet 1/0/24 DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 32/38 4.2. AGREGATION DE LIEN (LACP) 4.2.1.Mise en place des ports dans l’agrégation de liens Pour la configuration des agrégations de liens, la configuration LACP mode dynamique est retenue. Définition du groupe de l’agrégation [H3C] interface Bridge-AggregationX (ou X est le numéro de l’agrégation) [H3C] link-aggregation mode dynamic [H3C] description Vers Federateur1 (ne pas oublier la description de l’agrégation) Intégration d’un port dans le groupe de l’agrégation [H3C]interface GigabitEthernet 1/1/A [H3C-GigabitEthernet1/1/Y]port link-aggregation group X Affectation du port au groupe d’agrégation X [H3C]quit [H3C]interface GigabitEthernet 1/1/B [H3C- GigabitEthernet1/1/X]port link-aggregation group X Affectation du port au groupe d’agrégation X Visualisation des liens agrégés Pour pouvoir vérifier la configuration, la commande suivante doit être exécutée [H3C]display link-aggregation verbose Visualisation des liens agrégés Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Flags: A -- LACP_Activity, B -- LACP_timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregation ID: 1, AggregationType: Static, Loadsharing Type: Shar Aggregation Description: System ID: 0x8000, 001c-c525-2f89 Port Status: S -- Selected, U -- Unselected Local: Port Status Priority Key Flag -------------------------------------------------------------------------------GE1/1/A S 32768 2 {ACDEF} Tous les drapeaux sont présents GE1/1/B S 32768 2 {ACDEF} Remote: Actor Partner Priority Key SystemID Flag -------------------------------------------------------------------------------GE1/0/A 7 128 32768 0x8000,0011-8861-c76e {ACDEF} GE1/0/B 9 128 32768 0x8000,0011-8861-c76e {ACDEF} [H3C] Afin de s’assurer que l’agrégation soit active la commande « display link-aggregation verbose » permet de vérifier les différents paramètres qui sont les suivants : Status Représente la configuration de l’agrégation de liens (Statique ou Dynamique) DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 33/38 Priority Key Flag Représente la priorité Représente la clé d’échange Représente l’état de l’agrégation (ACDEF doivent être présent) 4.2.2.Suppression de l’agrégat Pour la suppression d’un port dans une agrégation de liens [H3C]interface GigabitEthernet 1/1/A [H3C- GigabitEthernet 1/1/A]undo port link-aggregation group Retrait du port au groupe d’agrégation La suppression complète de l’agrégation de lien. Pour pouvoir supprimer un agrégat, il faut au préalable retirer tous les ports qui en font partis (cf commande ci-dessus). Ensuite, appliquer la ligne de commande ci-dessous. [H3C]undo link-aggregation group X Suppression de l’agrégat X DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 34/38 5. MULTICAST Le réseau de vidéosurveillance est un réseau fonctionnant essentiellement en mode de diffusion multicast. Dans cette optique des fonctionnalités sont à paramétrer sur les équipements réseau pour s’assurer du bon fonctionnement du multicast. 5.1. ACTIVATION D’IGMP SNOOPING Par défaut, un commutateur ne sait pas interpréter les flux multicast. S’il reçoit du trafic multicast, normalement destiné à un client derrière un seul de ses ports, le flux reçu sera renvoyé sur tous ses ports. Afin d’éviter ce phénomène, la fonctionnalité IGMP Snooping doit être activé sur les commutateurs LAN du réseau de vidéosurveillance. La version d’IGMP utilisée actuellement sur le réseau est la version 3. 5.1.1.Première étape - Activation de manière globale IGMP Snooping s’active tout d’abord globalement sur les commutateurs H3C : [H3C] igmp snooping Par défaut, Igmp-snooping est configuré en version 2. 5.1.2.Deuxième étape – Activation sur le VLAN 1 IGMP Snooping est ensuite activé sur le vlan dans lequel les ports concernés par le trafic multicast sont situés. Dans notre cas il s’agit du vlan 1. [H3C] vlan 1 [H3C-vlan1] igmp-snooping enable [H3C-vlan1] igmp-snooping drop-unknown [H3C-vlan1] igmp-snooping version 3 5.2. VERIFIER LE SNOOPING BON FONCTIONNEMENT D’IGMP Pour valider le bon fonctionnement du protocole IGMP Snooping voici deux commandes utiles : La première pour afficher les statistiques de fonctionnement IGMP snooping : [H3C] display igmp-snooping statistics Received IGMP general queries:0 Received IGMPv1 reports:0. Received IGMPv2 reports:0 Received IGMP leaves:0 Received IGMPv2 specific queries:0 Sent IGMPv2 specific queries:0 Received IGMPv3 reports:0. Received IGMPv3 reports with right and wrong records:0. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 35/38 Received IGMPv3 specific queries:50. Received IGMPv3 specific sg queries:180. Les statistiques indiquent qu’IGMPv2 est bien utilisé Sent IGMPv3 specific queries:0. Sent IGMPv3 specific sg queries:0. Received error IGMP messages:3685. La seconde pour afficher les groupes multicast appris par l’équipement : [H3C] display igmp-snooping group verbose Total 4 IP Group(s). 4 groupes multicast ont été appris Total 4 IP Source(s). Total 4 MAC Group(s). Port flags: D-Dynamic port, S-Static port, C-Copy port Subvlan flags: R-Real VLAN, C-Copy VLAN Vlan(id):1. Total 4 IP Group(s). Total 4 IP Source(s). Total 4 MAC Group(s). Router port(s):total 1 port. BAGG1 (D) ( 00:01:03 ) IP group(s):the following ip group(s) match to one mac group. IP group address:239.243.175.97 (0.0.0.0, 239.243.175.97): Attribute: Host Port Host port(s):total 1 port. Eth1/0/5 (D) ( 00:03:45 ) MAC group(s): MAC group address:0100-5e73-af61 Host port(s):total 1 port. Eth1/0/5 IP group(s):the following ip group(s) match to one mac group. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 36/38 6. LA SAUVEGARDE DE LA CONFIGURATION Toutes commandes validées par ENTRÉE sur le commutateur ont un effet immédiat et sont automatiquement sauvegardées dans la « running config ». Au prochain redémarrage, le commutateur, utilise la startup config donc toutes les modifications doivent être enregistrées dans ce fichier. Les commandes suivantes doit être réalisées Par défaut, la configuration est sauvegardée dans le fichier startup.cfg. [H3C]save Taper la commande Save The current configuration will be written to the device. Are you sure? [Y/N]:y Taper sur la Touche “Y” Please input the file name(*.cfg)[flash:/startup.cfg] (To leave the existing filename unchanged, press the enter key): Taper sur la Touche “Entrée” Validating file. Please wait... Now saving current configuration to the device. Saving configuration flash:/startup.cfg. Please wait... ........ Configuration is saved to flash successfully. [H3C] Pour modifier le fichier de configuration (.cfg) chargé au démarrage du commutateur (en mode user view): <H3C> startup saved-configuration Fichier.CFG__dans_la_mémoire_flash Si la commande « Save » n’est pas exécutée, les modifications apportées ne seront pas prises en compte au prochain démarrage. 7. ANNEXES 7.1. PARAMETRAGE DES PORTS DES EQUIPEMENTS VIDEO SUR LES COMMUTATEURS Attention, selon l’activité, DDGE, Transilien ou Proximités, le paramétrage des ports des équipements n’est pas le même. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 37/38 GARE DDGE Les besoins en interfaces sont indiqués dans le tableau ci-dessous. A partir de ces besoins et règles, un calcul est nécessaire pour dénombrer le nombre d’interfaces sur les équipements actifs LAN. Elément du système Besoins en interfaces Rx (écran quadra) Enregistreurs Serveur PO d'extraction PO de visualisation MPX (encodeur) Automate SNMP Onduleur Matrice Maintenance 1 port 100 Mb cuivre 2 ports Giga cuivre 1 port 100Mb cuivre 1 port Giga cuivre 1 port 100 Mb cuivre 1 port 100 Mb cuivre 1 port 100 Mb cuivre 1 port 100 Mb cuivre 1 port 100 Mb cuivre 1 port 100 Mb cuivre Configuration interface réseau 100Mb/s full duplex Agrégation de lien 2*1Gb/s full duplex 100Mb/s full duplex 1 Gb/s full duplex 100Mb/s full duplex 100Mb/s full duplex 100Mb/s Autoneg 100Mb/s Autoneg 100Mb/s Autoneg 100Mb/s full duplex GARE TRANSILIEN Elément du système Rx quadra) (écran Besoins en interfaces 1 port 100 Mb cuivre Configuration interfaces réseau 100Mb/s full duplex Enregistreurs 2 ports Giga cuivre Agrégation de lien 2*1Gb/s full duplex MPX (encodeur) 1 port 100 Mb cuivre 100Mb/s full duplex Automate SNMP 1 port 100 Mb cuivre 100Mb/s Autoneg Onduleur 1 port 100 Mb cuivre 100Mb/s Autoneg Maintenance 1 port 100Mb/s full duplex GARE SNCF PROXIMITES La MOE Générale doit spécifier l’interface de raccordement au réseau local en gare du système vidéo Proximité. De plus, la MOE Générale doit indiquer la règle de calcul du nombre d’interfaces requises en fonction du nombre de caméras. DSIT-TSR/PCIR/ Vidéosurveillance 2009 DSIT-TSP PCIR Paramétrage du commutateur H3C s3610 04/10/2011 Page 38/38