HP Procurve - Configuration et ACL

De Wiki des Responsables Techniques du 85
(Redirigé depuis Reseau:HP Procurve)
Aller à : navigation, rechercher

HP Procurve

Hp-procurve-network.png

Cette documentation sur les switchs HP Procurve explique la connexion a la console en ligne de commande avec PuTTy ainsi que le paramétrage des ACL.

Les modèles concernés sont les HP Procurve 2920 et 2530

Configuration de base sur Switch HP

Connexion Physique au port console des Switchs

Utiliser un câble COM et un adaptateur COM/USB si besoin

Procurve adptateurcom.jpg

Connecter le câble COM sur le port Management du switch

Procurve mgmtport.jpg

Connexion au switch avec PuTTy

Ouvrir une connexion serial en utilisant le port COM de connexion au switch

Putty1.png Putty2.png

Une fois la connexion établie

Putty3.png

Taper 2 fois sur la touche entrée pour faire apparaitre la fenêtre de menu ou de connexion Seulement si la 1ère config a été faite

Putty4.png

Putty5.png

Configuration par défaut : 1ère connexion au switch

Pour entrer en mode CLI, taper « config » Sinon taper « menu » pour accéder à l’écran suivant

Aller sur le menu 8

Putty6.png

Champs à modifier (idem 2920 et 2530):

  • System Name : selon référentiel
  • System Contact: Admin Etablissement
  • Password (une fois le password entré, le login sera manager)
  • Logon default: menu
  • Time Zone : 120
  • Default gateway: rien
  • Time sync: SNTP
  • SNTP Mode: Unicast vers 192.168.10.50
  • IP config: manuel
  • IP et mask selon référentiel

Putty7.png

Ensuite validez.

Mise à jour des firmwares

Serveur TFTP

Téléchargez TFTPd32 sur le site de l'éditeur :

http://tftpd32.jounin.net/tftpd32_download.html

Sur le poste de l'opérateur de mise à jour :

  • Mapper le serveur à l'interface locale: 127.0.0.1
  • Current directory = dossier dans lequel se trouvent des Firmware procurve téléchargés.

Tftpd32.png

Mise à jour

Putty8.png

Entrer l'ip du poste qui hébèrge un serveur TFTP et le nom du fichier de firmware

Ici dans notre cas, pour le déploiement: IP=172.16.100.100

Fichier de firmware: 2530.swi pour les 2530 et 2920.swi pour les 2920

Putty9.png

Faire « eXecute »

Ensuite rebooter le switch pour l'implémentation de la MàJ

Configuration des ACL sur Switch HP

Présentation

HP, dans ses commutateurs Procurve, propose plusieurs manières d’implémenter les ACLs.

Ces différents méthodes sont au nombre de quatre et ont chacune un objectif différent :

  • RACL (Routed ACL) : Filtre le trafic entrant ou sortant de l’interface (nécessite l’activation du routage sur le commutateur)
  • VACL (VLAN ACL) : Filtrage du trafic dans un VLAN et à destination du même VLAN
  • Static Port ACL : Filtrage du trafic entrant sur l’interface pour des flux commutés, routés ou à destination du commutateur
  • Radius ACL : Filtrage défini sur l’interface par un serveur Radius en fonction de l’identité du client

Ensuite, dans chacune de ces quatre implémentations, les listes d’accès IPv4 peuvent être de deux types :

  • Standard ACL : le filtrage ne s’effectue que sur l’adresse source
  • Extended ACL : le filtrage s’effectue sur les adresses source et destination ainsi que sur les options

Enfin, une ACE (Access Control Entry) correspond à une entrée de l’ACL.

Etant donné le besoin de filtrage sur un cœur de réseau de niveau 2/3, la méthode la plus adaptée sera l’utilisation des RACL en mode Extended (pour un filtrage plus fin du flux).

Paramétrage des ACL

Connexion en mode config

  • Accès telnet au switch (Putty)
  • Commande Line CLI (Choix 5)
  • Passer en mode config : taper « config »

Paramétrage des ACL

Voir le nom des ACL et si elles sont appliquées

show access-list

Voir le détail des ACL

show acces-list config

Créer une ACL

Créer une ACL (ex VLAN5-ARTS)

ip access-list extended VLAN5-ARTS
exit

Verifier la config

show access-list config

Appliquer une ACL

Entrer dans le vlan voulu

 
(config) # vlan 5) => (vlan-5) #
ip access-group VLAN5-ARTS vlan (= ip access-group <nom-du-vlan> vlan)

Supprimer les ACE d'une ACL

Avec cette commande, l'ACL devient vide

 
no ip access-list extended <Nom de l’ACL>

Sauvegarder les modifications

 
write memory

Ajout d'une ACL

Se connecter dans le menu configuration terminal, puis :

 
ip access-list extended <Nom de l’ACL>
<Numéro de l’ACE> permit / deny <Protocole> <Source> <Destination>

Ensuite, se connecter sur l’interface VLAN sur laquelle l’ACL doit être appliqué :

vlan <numéro du VLAN>
ip access-group <Nom de l’ACL> vlan

Exemple

Filtrage du sous-réseau 10.0.2.0/24 (appartenant au VLAN 2) vers l’adresse 192.168.1.1.

ip access-list extended TEST
1 permit ip 10.0.2.0/24 host 192.168.1.1

Puis appliquer l’ACL sur l’interface VLAN :

interface vlan 2 ip access-group TEST

Suppression d’une ACL

La suppression est à faire sur l’interface VLAN dans laquelle la politique est utilisée :

vlan <Numéro de VLAN>
no ip access-group <Nom de l’ACL> vlan

Ensuite, une fois la politique désactivée, elle peut être supprimée définitivement du commutateur par la commande :

no ip access-list extended <Nom de l’ACL>

Suppression d’une ACE

Si l’on souhaite uniquement supprimer une ACE, il faut rentrer dans l’ACL :

ip access-list extended <Nom de l’ACL>

Puis supprimer l’ACE désirée en ne saisissant que son ID :

no  <Nom de l’ACL>


Affichage des ACLs

L’affichage peut se faire selon plusieurs critères.

Tout d’abord, les ACLs peuvent être affichées en mode configuration (commandes saisies) :

show access-list config

Ensuite, il est possible de les afficher par VLAN.

Ceci permet de connaitre rapidement quelles ACLs sont utilisées dans un VLAN particulier :

show access-list vlan <Numéro de VLAN>