Configurer un switch HP Procurve

Configuration HP Procurve

Cette documentation sur les switchs HP Procurve explique la configuration en ligne de commande avec PuTTy ainsi que le paramétrage des ACL.

Les modèles concernés sont les HP Procurve 2920 et 2530.

Configuration de base sur Switch HP

Connexion physique au port console des switchs

Utiliser un câble COM et un adaptateur COM/USB si besoin (connecter le câble COM sur le port Management du switch)

Procurve adptateurcom.jpgProcurve mgmtport.jpg

Connexion au switch avec PuTTy

Ouvrir une connexion serial en utilisant le port COM de connexion au switch

Putty1.png Putty2.png

Une fois la connexion établie

Putty3.png

Taper 2 fois sur la touche entrée pour faire apparaitre la fenêtre de menu, ou de connexion (seulement si la 1ère configuration a été faite)

Putty4.png

Putty5.png

Configuration par défaut : 1ère connexion au switch

Pour entrer en mode CLI, taper « config » Sinon taper « menu » pour accéder à l’écran suivant

Aller sur le menu 8

Putty6.png

Champs à modifier (idem 2920 et 2530):

  • System Name : selon référentiel
  • System Contact: Admin Etablissement
  • Password (une fois le password entré, le login sera manager)
  • Logon default: menu
  • Time Zone : 120
  • Default gateway: rien
  • Time sync: SNTP
  • SNTP Mode: Unicast vers <IP du serveur de temps>
  • IP config: manuel
  • IP et mask selon référentiel

Putty7.png

Ensuite validez.

Mise à jour des firmwares

Serveur TFTP

Téléchargez TFTPd32 sur le site de l’éditeur : http://tftpd32.jounin.net/tftpd32_download.html

Sur le poste de l’opérateur de mise à jour :

  • Mapper le serveur à l’interface locale: 127.0.0.1
  • Current directory = dossier dans lequel se trouvent des Firmware procurve téléchargés.

Tftpd32.png

Mise à jour

Putty8.png

Entrer l’ip du poste qui héberge un serveur TFTP et le nom du fichier de firmware

Ici dans notre cas, pour le déploiement: IP=172.16.100.100

Fichier de firmware : 2530.swi pour les 2530 et 2920.swi pour les 2920

Putty9.png

Faire « eXecute »

Ensuite redémarrer le switch pour l’implémentation de la MàJ

Configuration des ACL sur Switch HP

Présentation

HP, dans ses commutateurs Procurve, propose plusieurs manières d’implémenter les ACLs.

Ces différents méthodes sont au nombre de quatre et ont chacune un objectif différent :

  • RACL (Routed ACL) : Filtre le trafic entrant ou sortant de l’interface (nécessite l’activation du routage sur le commutateur)
  • VACL (VLAN ACL) : Filtrage du trafic dans un VLAN et à destination du même VLAN
  • Static Port ACL : Filtrage du trafic entrant sur l’interface pour des flux commutés, routés ou à destination du commutateur
  • Radius ACL : Filtrage défini sur l’interface par un serveur Radius en fonction de l’identité du client

Ensuite, dans chacune de ces quatre implémentations, les listes d’accès IPv4 peuvent être de deux types :

  • Standard ACL : le filtrage ne s’effectue que sur l’adresse source
  • Extended ACL : le filtrage s’effectue sur les adresses source et destination ainsi que sur les options

Enfin, une ACE (Access Control Entry) correspond à une entrée de l’ACL.

Étant donné le besoin de filtrage sur un cœur de réseau de niveau 2/3, la méthode la plus adaptée sera l’utilisation des RACL en mode Extended (pour un filtrage plus fin du flux).

Paramétrage des ACL

Connexion en mode config

  • Accès telnet au switch (Putty)
  • Commande Line CLI (Choix 5)
  • Passer en mode config : config

Voir le nom des ACL et si elles sont appliquées :

show access-list

Voir la liste de toutes les ACL avec leurs ACE :

show access-list config

Voir le liste d’une ACL en détail avec ses ACE :

show access-list <Nom de l’ACL> (Ex. show access-list VLAN11-ADMINISTRATION)

Créer une ACL

Pour créer une ACL (qui sera vide) :

ip access-list extended <Nom de l’ACL> (Ex. ip access-list extended VLAN11-ADMINISTRATION)

exit

Vérifier la config :

show access-list config

Appliquer (activer) une ACL

Entrer dans le vlan voulu :

ip access-group <Nom de l’ACL> vlan (Ex. ip access-group VLAN11-ADMINISTRATION vlan)

Puis appliquer l’ACL sur l’interface VLAN :

interface <N° du vlan> ip access-group <Nom de l’ACL> (Ex. interface vlan 11 ip access-group VLAN11-ADMINISTRATION)

Ajout d’une ACE dans une ACL

Rentrer dans l’ACL :

ip access-list extended <Nom de l’ACL>

Puis <Numéro de l’ACE> permit / deny <Protocole> <Source> <Masque de sous-réseau> <Destination> <Masque de sous-réseau>

Exemple (autoriser toutes les IP du vlan 11 à accéder à l’IP 192.168.10.36) :

ip access-list extended « VLAN11-ADMINISTRATION »
10 permit ip 192.168.11.0 0.0.0.255 192.168.10.36 0.0.0.0

Ensuite, se connecter sur l’interface VLAN sur laquelle l’ACL doit être appliqué :

vlan <N° du vlan> (Ex. vlan 11)

ip access-group <Nom de l’ACL> vlan (Ex. ip access-group VLAN11-ADMINISTRATION vlan)

ATTENTION : Tout ce qui n’est pas explicitement autorisé est refusé. Pour une communication entre deux VLAN ayant des ACLs configurées, il faut autoriser le flux de part et d’autre. Pour une communication au sein d’un même VLAN (même sous-réseau), le flux doit aussi être explicitement autorisé, sinon il est refusé (à condition que les flux d’un même sous-réseau transitent par les cœurs ou sur le commutateur sur lequel sont configurées les ACLs).

Suppression d’une ACE

Si l’on souhaite uniquement supprimer une ACE, il faut rentrer dans l’ACL :

ip access-list extended <Nom de l’ACL> (Ex. ip access-list extended VLAN11-ADMINISTRATION)

Puis supprimer l’ACE désirée en ne saisissant que son ID :

no <N° de l’ACE> (Ex. no 10)

Supprimer toutes les ACE d’une ACL

Avec cette commande, l’ACL devient vide :

no ip access-list extended <Nom de l’ACL> (Ex. no ip access-list extended VLAN11-ADMINISTRATION)

Supprimer une ACL

La suppression est à faire sur l’interface VLAN dans laquelle la politique est utilisée :

vlan <N° du vlan> (Ex. vlan 11)

no ip access-group <Nom de l’ACL> vlan (Ex. no ip access-group VLAN11-ADMINISTRATION vlan)

Ensuite, une fois la politique désactivée, elle peut être supprimée définitivement du commutateur par la commande :

no ip access-list extended <Nom de l’ACL> (Ex. no ip access-list extended VLAN11-ADMINISTRATION)

Sauvegarder les modifications

write memory