HP Procurve - Configuration et ACL
Sommaire
HP Procurve
Cette documentation sur les switchs HP Procurve explique la connexion a la console en ligne de commande avec PuTTy ainsi que le paramétrage des ACL.
Les modèles concernés sont les HP Procurve 2920 et 2530
Configuration de base sur Switch HP
Connexion Physique au port console des Switchs
Utiliser un câble COM et un adaptateur COM/USB si besoin
Connecter le câble COM sur le port Management du switch
Connexion au switch avec PuTTy
Ouvrir une connexion serial en utilisant le port COM de connexion au switch
Une fois la connexion établie
Taper 2 fois sur la touche entrée pour faire apparaitre la fenêtre de menu ou de connexion Seulement si la 1ère config a été faite
Configuration par défaut : 1ère connexion au switch
Pour entrer en mode CLI, taper « config » Sinon taper « menu » pour accéder à l’écran suivant
Aller sur le menu 8
Champs à modifier (idem 2920 et 2530):
- System Name : selon référentiel
- System Contact: Admin Etablissement
- Password (une fois le password entré, le login sera manager)
- Logon default: menu
- Time Zone : 120
- Default gateway: rien
- Time sync: SNTP
- SNTP Mode: Unicast vers 192.168.10.50
- IP config: manuel
- IP et mask selon référentiel
Ensuite validez.
Mise à jour des firmwares
Serveur TFTP
Téléchargez TFTPd32 sur le site de l'éditeur :
http://tftpd32.jounin.net/tftpd32_download.html
Sur le poste de l'opérateur de mise à jour :
- Mapper le serveur à l'interface locale: 127.0.0.1
- Current directory = dossier dans lequel se trouvent des Firmware procurve téléchargés.
Mise à jour
Entrer l'ip du poste qui hébèrge un serveur TFTP et le nom du fichier de firmware
Ici dans notre cas, pour le déploiement: IP=172.16.100.100
Fichier de firmware: 2530.swi pour les 2530 et 2920.swi pour les 2920
Faire « eXecute »
Ensuite rebooter le switch pour l'implémentation de la MàJ
Configuration des ACL sur Switch HP
Présentation
HP, dans ses commutateurs Procurve, propose plusieurs manières d’implémenter les ACLs.
Ces différents méthodes sont au nombre de quatre et ont chacune un objectif différent :
- RACL (Routed ACL) : Filtre le trafic entrant ou sortant de l’interface (nécessite l’activation du routage sur le commutateur)
- VACL (VLAN ACL) : Filtrage du trafic dans un VLAN et à destination du même VLAN
- Static Port ACL : Filtrage du trafic entrant sur l’interface pour des flux commutés, routés ou à destination du commutateur
- Radius ACL : Filtrage défini sur l’interface par un serveur Radius en fonction de l’identité du client
Ensuite, dans chacune de ces quatre implémentations, les listes d’accès IPv4 peuvent être de deux types :
- Standard ACL : le filtrage ne s’effectue que sur l’adresse source
- Extended ACL : le filtrage s’effectue sur les adresses source et destination ainsi que sur les options
Enfin, une ACE (Access Control Entry) correspond à une entrée de l’ACL.
Etant donné le besoin de filtrage sur un cœur de réseau de niveau 2/3, la méthode la plus adaptée sera l’utilisation des RACL en mode Extended (pour un filtrage plus fin du flux).
Paramétrage des ACL
Connexion en mode config
- Accès telnet au switch (Putty)
- Commande Line CLI (Choix 5)
- Passer en mode config : taper « config »
Paramétrage des ACL
Voir le nom des ACL et si elles sont appliquées
show access-list
Voir le détail des ACL
show acces-list config
Créer une ACL
Créer une ACL (ex VLAN5-ARTS)
ip access-list extended VLAN5-ARTS
exit
Verifier la config
show access-list config
Appliquer une ACL
Entrer dans le vlan voulu
(config) # vlan 5) => (vlan-5) #
ip access-group VLAN5-ARTS vlan (= ip access-group <nom-du-vlan> vlan)
Supprimer les ACE d'une ACL
Avec cette commande, l'ACL devient vide
no ip access-list extended <Nom de l’ACL>
Sauvegarder les modifications
write memory
Ajout d'une ACL
Se connecter dans le menu configuration terminal, puis :
ip access-list extended <Nom de l’ACL>
<Numéro de l’ACE> permit / deny <Protocole> <Source> <Destination>
Ensuite, se connecter sur l’interface VLAN sur laquelle l’ACL doit être appliqué :
vlan <numéro du VLAN>
ip access-group <Nom de l’ACL> vlan
Exemple
Filtrage du sous-réseau 10.0.2.0/24 (appartenant au VLAN 2) vers l’adresse 192.168.1.1.
ip access-list extended TEST
1 permit ip 10.0.2.0/24 host 192.168.1.1
Puis appliquer l’ACL sur l’interface VLAN :
interface vlan 2 ip access-group TEST
Suppression d’une ACL
La suppression est à faire sur l’interface VLAN dans laquelle la politique est utilisée :
vlan <Numéro de VLAN>
no ip access-group <Nom de l’ACL> vlan
Ensuite, une fois la politique désactivée, elle peut être supprimée définitivement du commutateur par la commande :
no ip access-list extended <Nom de l’ACL>
Suppression d’une ACE
Si l’on souhaite uniquement supprimer une ACE, il faut rentrer dans l’ACL :
ip access-list extended <Nom de l’ACL>
Puis supprimer l’ACE désirée en ne saisissant que son ID :
no <Nom de l’ACL>
Affichage des ACLs
L’affichage peut se faire selon plusieurs critères.
Tout d’abord, les ACLs peuvent être affichées en mode configuration (commandes saisies) :
show access-list config
Ensuite, il est possible de les afficher par VLAN.
Ceci permet de connaitre rapidement quelles ACLs sont utilisées dans un VLAN particulier :
show access-list vlan <Numéro de VLAN>