Table of Contents
Configuration de base des commutateurs comware
Cette fiche présentela configuration de base d'un commutateur HPE/comware hors boîte. On peut ajouter de nouveaux commutateurs HPE Comware à votre réseau de centre de données sans avoir besoin de beaucoup de configuraton
Monter le commutateur dans le rack, connecter l'alimentation et l'interface de Management au réseau OOB.
Se connecter au port console du nouveau commutateur avec un câble USB vers console.
Sysname
Après le démarrage du commutateur, appuyer sur CTRL + D ou CTRL + C pour quitter la configuration automatique.
Passer en mode de configuration avec la vue système. Configurer le nom d'hôte avec la commande sysname. Il est préférable de définir les fichiers de configuration de démarrage / sauvegarde avec le même nom que le commutateur et non le nom par défaut: startup.cfg. Dans le cas où on a un serveur de sauvegarde centralisé, il est préférable d'avoir toutes les sauvegardes avec des noms différents. Appuyer sur Enregistrer suivi du nom du fichier (ne pas oublier pas l'extension .cfg). Idem pour le fichier de configuration de sauvegarde: enregistrer la sauvegarde. Avec la commande de démarrage d'affichage, on peut vérifier les fichiers de configuration de démarrage et de sauvegarde.
Charte LAN ormes de commutation_V3.1: Afin de pouvoir localiser et identifier précisément les équipements, leur nom comprend:
- le type de commutateur;
- le 4e octet de l’adresse IP d’administration (ou le N° de séquence pour les équipements non administrables);
- le type d’équipement (ou 'Hors' pour les équipements achetés hors marché);
- le code site.
Port de Management
Le port de management est configuré par défaut pour récupérer son adresse en DHCP, s'assurer que l'interface n'est pas shutdown
[sw009_5510_013009B]int M-GigabitEthernet0/0/0 [sw009_5510_013009B-M-GigabitEthernet0/0/0]dis th # interface M-GigabitEthernet0/0/0 ip address dhcp-alloc ipv6 address auto ipv6 address dhcp-alloc
Configuration Zero Provisioning: Avec la technologie Zero Provisioning, on peut pousser automatiquement la configuration de base vers le commutateur en connectant le port de gestion au réseau hors bande.
Activer DHCP sur le commutateur OOB. Spécifier le pool DHCP, la passerelle, le masque de réseau/sous-réseau, le serveur TFTP. L'option 671) est le nom du fichier de configuration qui se trouve sur le serveur TFT. Avec la liaison statique, on peut configurer une adresse IP spécifique par adresse MAC (interface de gestion).
dhcp enable
dhcp server ip-pool DHCP_OOB
gateway-list 10.0.0.254
network 10.0.0.0 mask 255.255.255.0
address range 10.0.0.1 10.0.0.100
option 67 ascii hpe_oob.cfg
static-bind ip-address 10.0.0.1 mask 255.255.255.0 hardware-address 40b9-3ad3-8888
tftp-server ip-address 10.0.0.101
Vérifier l'allocation DHCP avec la commande suivante:
[HPE-OOB]display dhcp client interface M-GigabitEthernet 0/0/0
M-GigabitEthernet0/0/0 DHCP client information:
Current state: BOUND
Allocated IP: 10.0.0.1 255.255.255.0
Allocated lease: 86400 seconds, T1: 41221 seconds, T2: 75600 seconds
DHCP server: 10.0.0.150
Placer le fichier de configuration dans le dossier du serveur TFTP. Dans le fichier txt, ajouter nom d'utilisateur/mot de passe, configuration VTY/SSH. Une fois que le commutateur aura extrait le fichier de configuration, on peut se connecter au commutateur avec SSH via l'interface de gestion.
Clés RSA/DSA
Les clés de 1024 bits sont devenues crackables entre 2006 et 2010 et ces clés de 2048 bits sont suffisantes jusqu'en 2030. Le National Institute of Standards (NIST) recommande des clés de 2048 bits pour RSA.
LLDP, STP
Link Layer Discovery Protocol (LLDP) est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux.
LLDP n'est pas activé par défaut. Il n'y a aucun moyen d'activer LLDP sur des ports spécifiques sans l'activer globalement. Le Spanning n'est pas non plus activé par défaut, il faut donc l'activer avec la commande stp global enable.
Instance VPN (VRF-Lite): Dans le cas où le périphérique HPE prend en charge la fonction d'instance VPN, il est recommandé de configurer l'instance VPN sur l'interface de gestion (table de routage complètement séparée pour la gestion). En outre, les routes statiques, les configurations NTP, SNMP, Syslog et TACACS fonctionneront avec la fonction d'instance VPN.
La commande ip vpn-instance mgmt créera une instance VPN nommée mgmt. Ensuite, il faut lier l'interface de gestion (cela supprimera l'adresse IP si il y en a une).
int M-GigabitEthernet 0/0/0
ip binding vpn-instance mgmt
description HPE-TEST
ip address 10.0.0.1 24
Bannière de connexion
Pour configurer la bannière qui s'affiche lorsque l'utilisateur se connecte à un commutateur HPE, il faut utiliser la commande header login. Utiliser “%” au début de la bannière et à la fin.
header login % ************************************ * Your Banner Here * ************************************ %
Mot de passe de la console
Par défaut, il n'y a pas de mot de passe sur le port de console. Pour configurer la console afin d'exiger une authentification, utiliser les commandes suivantes:
line aux 0 authentication-mode password user-role network-admin set authentication password simple 123456 idle-timeout 5 0
SSH
Pour la connexion SSH, créer un administrateur d'utilisateur local avec le protocole entrant SSH uniquement:
local-user admin class manage password simple 123456 service-type ssh authorization-attribute user-role network-admin # line vty 0 63 authentication-mode scheme user-role network-admin protocol inbound ssh idle-timeout 15 0 # ssh server enable ssh server authentication-retries 5 ssh server authentication-timeout 30
Durcissement
Désactiver les informations de copyright, le port USB et les services inutilisés.
usb disable undo copyright-info enable
Charte LAN Normes de commutation_V3.1: désactiver le serveur web de gestion du commutateur, que ce soit en version sécurisée (HTTPS) ou non (HTTP). En effet, la présence d’un serveur web augmente la surface d’attaque de l’équipement et peut nuire à ses performances
Désactiver Telnet.
undo ip http enable undo ip https enable undo telnet server enable undo dhcp enable
La version 1 du protocole SSH présente des problèmes irrémédiables et de multiples vulnérabilités. Fortement recommandé pour désactiver la compatibilité ssh v1:
undo ssh server compatible-ssh1x
La vérification peut être effectuée avec la commande display ssh server status.
Pour vérifier les ports ouverts TCP/UDP, utiliser display tcp et display udp:
Activer la protection BPDU
Sur un réseau de couche 2, les commutateurs exécutant STP, RSTP, MSTP ou VBST échangent des BPDU pour calculer un spanning tree et découper le réseau en anneau en une topologie d'arborescence sans boucle.
Lorsque certains ports des périphériques de la couche d'accès sont directement connectés à des PC ou des serveurs de fichiers, qui ne peuvent pas générer de BPDU, On peut définir ces ports comme ports de périphérie (edged port) pour obtenir une transition rapide pour ces ports.
HP recommande d'activer la fonction de protection BPDU en conjonction avec la fonction de port bordé pour éviter les changements de topologie du réseau lorsque les ports périphériques reçoivent des BPDU de configuration.
Tous les ports d'accès sont configurés en tant que ports de périphérie (portfast). Tous les ports inutilisés doivent être déplacés vers un VLAN inutilisé et doivent être arrêtés. Par exemple, si on a 10 serveurs connectés aux 10 premiers ports:
vlan 666 description Null name Null
Tous les ports inutilisés seront configurés dans le VLAN 666.
Toujours mettre le nom et la description après la création des VLAN.
int range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/10 stp edged-port
Activer la protection BPDU:
stp bpdu-protection