ALLIED TELESYN AT-8648T-2SP User Manual [fr]

Guide d’installation rapide
Commutateurs L3+

Modèles :

Série Rapier™



AT-8624T/2M



AT-8624PoE



AT-8648T/2SP



AT-8724XL



AT-8748X



AT-8824



AT-8848



L

Guide d’installation rapide Commutateurs L3+
Version 3
Novembre 2005

© 2005 Allied Telesyn International SAS. Tous droits réservés.
La reproduction de tout ou partie de ce document est strictement interdite sans l’autorisation
écrite préalable d’Allied Telesyn International SAS.
Allied Telesyn International SAS se réserve le droit de modifier tout ou partie des spécifications
techniques, ou tout autre type d’informations figurant dans ce document, sans avertissement
préalable.
Les informations contenues dans ce document sont susceptibles de changer à tout instant. Allied
Telesyn International SAS ne saura être tenu pour responsable, en aucune circonstance, des
conséquences résultant de l’utilisation des informations contenues dans ce document.

Allied Telesyn International SAS | 12, avenue de Scandinavie | Parc Victoria | Immeuble “Le Toronto” | 91953 Courtaboeuf Cédex |
Les Ulis | France | T: +33 01 60 92 15 25 | F: F: +33 01 69 28 37 49

SAS au capital de 40 000 | Siret 383 521 598 0045 | Code APE 518 G | N° TVA : FR 823 835 21 598

www.alliedtelesyn.fr

Sommaire

1. INTRODUCTION ................................................................................................................................................................... 4

2. PREMIERS CONTACTS.......................................................................................................................................................... 4

2.1. INSTALLATION PHYSIQUE ............................................................................................................................................ 4

2.2. ALIMENTATION ................................................................................................................................................................ 5

2.3. INSTALLATION DES MODULES LAN OPTIONNELS............................................................................................... 5

2.4. INSERTION DES MODULES WAN OPTIONNEL ...................................................................................................... 5

2.5. CONFIGURATION USINE............................................................................................................................................... 6

2.6. CONNEXION PAR LE PORT CONSOLE .................................................................................................................... 7

2.7. AIDE EN LIGNE ................................................................................................................................................................10

2.8. CONFIGURATION IP .....................................................................................................................................................13

3. CONFIGURATION VIA L’INTERFACE WEB.................................................................................................................. 15

3.1. CONFIGURATION DES PORTS................................................................................................................................... 16

3.2. RECOPIE DE PORTS (PORT MIRRORING) ...............................................................................................................17

3.3. CONFIGURATION DES VLANS................................................................................................................................... 18

3.4. ROUTAGE INTER VLANS.............................................................................................................................................. 23

3.5. CONTRÔLE DES COMMUNICATIONS (ACL) ........................................................................................................26

3.5.1. CRÉATION DES CLASSIFIERS....................................................................................................................................... 26

3.5.2. CRÉATION DES ACTIONS ...........................................................................................................................................33

3.6. ROUTAGE STATIQUE.................................................................................................................................................... 39

3.7. GESTION DES UTILISATEURS...................................................................................................................................... 42

3.8. ENREGISTREMENT DE LA CONFIGURATION........................................................................................................ 45

4. RELAIS DHCP......................................................................................................................................................................... 47

5. AUTRES FONCTIONNALITÉS...........................................................................................................................................47

Page 3 sur 47

1. Introduction

Ce guide a pour objectif de faciliter l’installation d’un commutateur L3+ des gammes Rapier™,
AT-8600, AT-8700XL et AT-8800. Les modèles concernés sont : AT-RP24, AT-RP24i, AT-RP48,
AT-RP48i, AT-RP16F, AT-RP16Fi, AT-RPG6, AT-RPG6f, AT-8624T/2M, AT-8624PoE, AT­8648T/2SP, AT-8724XL, AT-8748XL, AT-8824, AT-8848.
Pour avoir un aperçu plus complet des fonctionnalités offertes par ces équipements, vous pouvez
vous référer aux Guides d’Utilisation (User’s Guide) disponibles pour chaque équipement sur
notre site Internet : http://www.alliedtelesyn.fr

Notre Assistance Technique se tient également à votre disposition pour tout renseignement
complémentaire ou difficulté de configuration. Elle est joignable de 9H à 17H30, du lundi au
vendredi, au :

00 39 05 15 88 78 30



email : alliedsupport_europe@alliedtelesyn.com



Après installation physique du commutateur dans son environnement, ce document vous guidera
pas-à-pas dans la mise en œuvre des fonctionnalités les plus c
l’intermédiaire de son interface de configuration Web (HTTP).
Pour de plus amples détails sur d’autres fonctionnalités, ainsi que sur les autres interfaces de
configuration disponibles, notamme

’Utilisation mentionné ci-dessus.

d

nt CLI (Ligne de Commandes), merci de vous référer au Guide

ourantes de cet équipement, par

. Premiers contacts

2

2.1. Installation Physique

e commutateur doit être installé dans des conditions environnementales adéquates.

L

Température d’utilisation : de 0° C à 40°C (0°C à 50°C pour la ga

umidité relative en utilisation : de 5% à 90% sans condensation

H

Dans certains locaux te

es plages d’utilisation.

c

chniques il peut être nécessaire d’installer une climatisation pour respecter

mme AT-8800)

Page 4 sur 47

2.2. Alimentation

Une alimentation 220 VAC 50Hz est nécessaire pour chaque commutateur. Prévoir un ampérage
suffisant pour alimenter tous les équipements branchés sur la même source. Pour plus
d’informations concernant les consommations électriques respectives de chacune de ces unités, se
reporter à leur guide d’installation. Néanmoins, une valeur moyenne de 100 Watts correspond à
ce qui est généralement constaté en utilisation.

Afin d’optimiser la disponibilité du réseau, Allied Telesyn préconise l’utilisation d’un onduleur
correctement dimensionné et d’une protection contre les surtensions.

L’utilisation d’une alimentation redondante est optionnelle. Celle-ci peut toutefois également
contribuer à l’amélioration de la disponibilité du réseau. En cas d’utilisation d’une alimentation
redondante, la consommation de celle-ci doit également être provisionnée lors du
dimensionnement de la source d’énergie et des équipements qui lui sont associés. L’installation ou
le retrait d’une alimentation redondante ne nécessite pas l’arrêt du commutateur.

2.3. Installation des modules LAN optionnels

Avant d’installer ou de retirer un module optionnel LAN (100FX ou Gigabit), il est nécessaire de
débrancher toutes les sources d’énergie. En cas d’insertion ou retrait lorsque l’unité est sous
tension, il peut en résulter des dommages irrémédiables sur le module et/ou le commutateur.

Les modules à base de connecteur GBIC (Gigabit Interface Converter) ou SFP (Small Factor
Plugin) peuvent s’insérer à chaud dans l’un des emplacements prévus, sans que cela ne nécessite la
mise hors tension de l’équipement ou son redémarrage.

2.4. Insertion des modules WAN optionnel

Les AT-RP24, AT-RP24i, AT-RP16F et AT-RP16Fi acceptent des modules WAN optionnels. En
premier lieu, il est nécessaire d’équiper le commutateur d’une baie AT-AR040 (module NSM).
Cette baie s’installe en face arrière et est à même de recevoir jusqu’à 4 cartes d’interface WAN.

Page 5 sur 47

Le module NSM peut être inséré ou extrait à chaud si la version du système d’exploitation est la

2.4.1 (et versions supérieures). Néanmoins, il est nécessaire de désactiver la baie WAN au
préalable. Ceci peut être réalisé en exerçant une pression sur le bouton « Hot Swap » à l’aide
d’une pointe de stylo. Après quelques secondes, le voyant « in use » doit s’éteindre et le voyant
« Swap » doit s’allumer. Vous pouvez alors insérer ou extraire le module NSM. Une fois
l’opération effectuée, une nouvelle pression sur le bouton « Hot Swap » permet de réactiver
l’utilisation de la baie WAN.

Aucune carte PIC (carte d’interface WAN) ne peut être installée ou extraite lorsque la baie WAN
est activée. Seules les cartes PIC AT-AR021 (accès de base RNIS) et AT-AR023 (interface
synchrone) peuvent être installées ou retirées sans débrancher le commutateur. Il est toutefois
nécessaire de désactiver la baie selon la méthode décrite ci-dessus. En d’autres termes, l’insertion
ou le retrait à chaud des cartes AT-AR021 et AT-AR023 ne peut se faire que lorsque le voyant
« Hot Swap » est allumé. Les autres cartes PIC nécessite de débrancher le commutateur pour
pouvoir être manipulées.

LE NON RESPECT DE CES PROCEDURES PEUT PROVOQUER DES DOMMAGES
IRREMEDIABLES AUX DIFFERENTS CONSTITUANTS.

En cas de doute, il est conseillé de débrancher le commutateur avant une manipulation sur la baie
WAN.

Tenir compte des limitations suivantes concernant l’utilisation des cartes PIC dans un module
NSM :

Nous déconseillons l’utilisation de la carte AT-AR026 (commutateur 4 ports de niveau 2)



dans le module NSM
Seules deux cartes AT-AR020 (carte RNIS PRI/E1/T1) peuvent être  utilisées dans un

module NSM. De plus, celles-ci ne doivent pas être alignées côte à côte.

2.5. Configuration usine

En sortie d’usine, le commutateur est livré avec une configuration dite « configuration d’usine ».
Dans les environnements les plus simples et lorsque une administration de l’unité au travers du
réseau n’est pas nécessaire, cette configuration peut être utilisée sans modificat

mmutateur se comporte alors comme un commutateur de niveau 2 non administrable.

co

Tous les ports sont dans le même VLAN (VLAN 1) et peuvent donc c



ensemble
Tous les ports sont en auto négoc



Tous les ports cuivre sont auto MDI/MDIX



Le Spannin



Après avoir été configuré, il est possible de rétablir la configuration usine via l’interface
d’administration.

g Tree n’est pas activé

iation pour la vitesse et/ou le mode duplex

ion. Le

ommuniquer

Page 6 sur 47

La configuration usine est enregistrée dans un fichier nommé boot.cfg. Pour pouvoir revenir en
configuration usine de la manière la plus simple, nous vous déconseillons d’enregistrer vos
con

figurations sous ce nom

2.6. Connexion par le port console

orsque le commutateur est en configuration usine, seule une connexion par le port console est

L
possible. C’est donc ce moyen qui doit être utilisé pour attribuer les paramètres IP au module
d’administration.

Utiliser le câble console fourni en le connectan

rmat RS232 ou RJ45 selon l’équipement) et d’autre part au port COM d’un PC. A l’aide d’un

fo
utilitaire d’émulation de terminal tel que HyperTerminal (livré avec Windows), créer une nouvelle
connexion ayant les cara

Contrôle de flux Aucun

Type d’émulation VT100

ctéristiques suivantes:

Paramètre Valeur

Vitesse De 1200 à 11520 ps (défaut 9600) 0 b

Bit de données 8

Parité Aucune

Bit de top 1

t d’une part au port console du commutateur (au

Donner un nom à la connexion et choisir une icône



Page 7 sur 47

Sélectionner le port Com à utiliser



Entrer les paramètres de la connexion



Page 8 sur 47

Modifier le mode d’émulation si besoin



Une fois cette connexion créée et activée, appuyer sur la touche « Entrée » deux fois pour faire

pparaître l’écran suivant : a

l ogin:

Entrer alors le nom d’utilisateur (login) puis le mot de passe (password). Lors de la première

onnexion sur un commutateur en sortie d’usine, utiliser les paramètres suivants : c

login : manager



password : friend



vous sera possible par laIl

fortement recommandé.

Une fois connecté au

login: manager
Password:

Manager >

suite de changer ce mot de passe. Pour des raisons de sécurité, ceci est

commutateur, le prompt se présente tel que ci-dessous :

Page 9 sur 47

2.7. Aide en ligne

Via une connexion par le port série, ces commutateurs se configurent par ligne de commandes
(CLI). Si l’on considère leur richesse fonctionnelle, c’est le système le plus efficace. Toutefois cela
nécessite quelques connaissances de la syntaxe AlliedWare™, notamment pour l’attribution des
paramètres IP dans le but d’y accéder par l’interface graphique. Il existe deux moyens d’obtenir de
l’aide :

En tapant ? au prompt, on obtient alors la liste des actions ou options possibles à ce stade



de la commande.

Manager >

Options: ACTivate ADD Connect CLear CREate COPy DEACTivate DELete
DESTroy DISable Disconnect DUMP EDit ENAble FINGer FLUsh Help LOAd
MAIL MODify PING PURge REName Reconnect RESET RESTART SET SHow SSH

Manager >

Manager > add ip ?

Options : ARP ASPATHlist COMmunitylist DNS EGP FILter HElper IGMP MVR

M

STARt STop TELnet TRAce UPLoad LOGIN LOGON LOgoff LOgout

Host INTerface RIP ROUte ROUTEMap SA TRusted

anager > add ip

Vous pouvez noter qu’une partie de la commande est notée en majuscule et l’autre partie
en minuscule. La partie en majuscule représente la notation abrégée et suffit pour entrer

es commandes.

l

En tapant help au prompt. On liste alors tous les modules configurables sur l’équipement.
En entrant help nom_d’un_module, la liste des options configurables dans ce module
apparaît. Si l’on entre help nom_d’un_module option, la syntaxe  complète ainsi que toutes les
options complémentaires et les valeurs admises apparaissent.

Page 10 sur 47

g

Manager > help

Rapier Series Switches HELP v2.6.2 Rev A, 23-Feb-2004

Help is available on the following topics:

HELP APPLETALK Appletalk commands
HELP ASYNCHRONOUS Async ports, TTY, & Asynchronous call control
HELP BGP BGP version 4 routing protocol commands
HELP BRIDGE Bridging commands
HELP BOOTP BootP relay commands
HELP CLASSIFIER Generic packet classifier commands
HELP DHCP DHCP server commands
HELP DHCP6 DHCP6 commands
HELP DS3 DS3 commands
HELP DVMRP Distance Vector Multicast Routing commands
HELP ENCO Encryption and Compression commands
HELP FIREWALL Firewall commands
HELP FR Frame Relay protocol commands
HELP GARP Generic Attribute Registration Protocol
HELP GRE Generic Routing Encapsulation (GRE) commands
HELP HELP More about this help
HELP HTTP HTTP Server and client commands
HELP IGMP Internet Group Management commands

--More-- (<space> = next page, <CR> = one line, C = continuous, Q = quit)

Manager > help ip

Rapier Series Switches HELP v2.6.2 Rev A, 23-Feb-2004

Help is available on the following IP topics:

HELP IP GENERAL General IP commands
HELP IP ARP IP ARP commands
HELP IP INTERFACE IP interface commands
HELP IP ROUTE IP route commands
HELP IP ROUTE FILTER IP route filter commands
HELP IP ROUTEMAP IP routemap commands
HELP IP ASPATH IP AS path and community commands
HELP IP HOST IP local host table commands
HELP IP RIP RIP protocol commands
HELP IP EGP EGP protocol commands
HELP IP DEBUG IP debugging commands
HELP IP SECURITY IP security commands
HELP IP HELPER IP helper commands
HELP IP FILTER IP traffic filter commands
HELP IP SA IP Security Association (VPN) commands
HELP IP POOL IP Pool commands
HELP IP ICMP ICMP commands
HELP IP OTHER Other IP commands

Mana

er >

Page 11 sur 47

Manager > help ip interface

Rapier Series Switches HELP v2.6.2 Rev A, 23-Feb-2004

IP Interface commands:

ADD IP INTERFACE=interface IPADDRESS={ipadd|DHCP} [BROADCAST={0|1}]
[DIRECTEDBROADCAST={FALSE|NO|OFF|ON|TRUE|YES}] [FILTER={0..99|
NONE}] [FRAGMENT={NO|OFF|ON|YES}] [GRATUITOUSARP={ON|OFF}]
[GRE={0..100|NONE}] [IGMPPROXY={OFF|UPSTREAM|DOWNSTREAM}]
[MASK=ipadd] [METRIC=1..16] [MULTICAST={BOTH|NO|OFF|ON|RECEIVE|
SEND|YES}] [OSPFMETRIC=1..65534] [POLICYFILTER={100..199|NONE}]
[PRIORITYFILTER={200..299|NONE}] [PROXYARP={FALSE|NO|OFF|ON|TRUE|
YES}] [RIPMETRIC=1..16] [SAMODE={BLOCK|PASSTHROUGH}] [VJC={FALSE|
NO|OFF|ON|TRUE|YES}]
DELETE IP INTERFACE=interface
SET IP INTERFACE=interface [BROADCAST={0|1}]
[DIRECTEDBROADCAST={FALSE|NO|OFF|ON|TRUE|YES}] [FILTER={0..99|
NONE}] [FRAGMENT={NO|OFF|ON|YES}] [GRATUITOUSARP={ON|OFF}]
[GRE={0..100|NONE}] [IGMPPROXY={OFF|UPSTREAM|DOWNSTREAM}]
[IPADDRESS=ipadd|DHCP] [MASK=ipadd] [METRIC=1..16]
[MULTICAST={BOTH|OFF|ON|RECEIVE|SEND}] [OSPFMETRIC=1..65534]
[POLICYFILTER={100..199|NONE}] [PRIORITYFILTER={200..299|NONE}]
[PROXYARP={FALSE|NO|OFF|ON|TRUE|YES}] [RIPMETRIC=1..16]
[SAMODE={BLOCK|PASSTHROUGH}] [VJC={FALSE|NO|OFF|ON|TRUE|YES}]
SHOW IP INTERFACE[=interface] [COUNTER[=MULTICAST]]
ENABLE IP INTERFACE=interface
DISABLE IP INTERFACE=interface
RESET IP INTERFACE=interface

Manager >

Si, lorsque vous utilisez la commande help, vous obtenez l’écran ci-dessous, cela indique que le
fichier d’aide n’est pas déclaré.

Manager > help

************************************
* No Help file is currently loaded *
************************************
Please obtain the latest help file from your distributor or reseller, load
the
file onto the switch using a TFTP server and set the help file on the
switch.

To load the help, use the command:
load file=<xxx.hlp> server=<ip address of TFTP server> dest=flash
Once the help file is loaded, it must be installed, using the command:
set help=<xxx.hlp>
Further information regarding the file system and load commands can be
found
in the "Operations" section of the Reference Manual.

Pour le déclarer, vérifiez dans un premier temps le nom du fichier d’aide présent en mémoire
flash à l’aide de la commande sh file=*.hlp:

Page 12 sur 47

Manager > sh file=*.hlp

Filename Device Size Created Locks

------------------------------------------------------------------------­rp-262a.hlp flash 196108 24-Mar-2004 19:13:53 0

-------------------------------------------------------------------------

Manager >

Dans le cas où plusieurs fichiers .hlp sont présents, noter le nom de celui qui est le plus récent
puis le déclarer à l’aide de la commande set help=nom.hlp

Manager > set help=rp-262a.hlp

Info (1034003): Operation successful.

Manager >

2.8. Configuration IP

Cette étape a pour but d’attribuer une adresse IP au commutateur afin de pouvoir y accéder au
travers du réseau.

Ces commutateurs sont des commutateurs de niveau 3 et plus. Les adresses IP sont donc
attribuées aux interfaces logiques VLANs. Au départ, le seul VLAN qui existe sur le commutateur
est le VLAN default qui porte l’identifiant 1. Cette interface est donc notée VLAN1. Il est possible
de lui attribuer une adresse IP en suivant l’exemple ci-dessous :

Manager > enable ip

Info (1005287): IP module has been enabled.

Manager > add ip interface=vlan1 ip=192.168.0.200 mask=255.255.255.0

Info (1005275): interface successfully added.

Manager >

La commande enable ip est nécessaire pour lancer la pile protocolaire TCP/IP



Si la valeur de masque correspond au masque par défaut de l’adresse ut



ilisée, il n’est pas

obligatoire de le mentionner. Le système l’ajoute alors automatiquement.

Page 13 sur 47

La commande sh ip int permet de vérifier la configuration réalisée:

Manager > sh ip int

Interface Type IP Address Bc Fr PArp Filt RIP Met. SAMode IPSc
Pri. Filt Pol.Filt Network Mask MTU VJC GRE OSPF Met. DBcast Mul.

-----------------------------------------------------------------------------­Local --- Not set - - - --- -- Pass --

--- --- Not set

vlan1 Static 192.168.0.200 1 n Off --- 01 Pass No

--- --- 255.255.255.0 1500 - --- 0000000001 No Rec

------------------------------------------------------------------------------

1500 - --- -- --- ---

A ce stade, le commutateur est accessible via le réseau. Toutefois la configuration n’est présente
qu’en mémoire vive (RAM) et serait effacée en cas de redémarrage du système. Il faut donc, d’une
part, sauvegarder cette configuration en mémoire flash, et d’autre part la désigner comme étant la
configuration de démarrage.

Manager > create conf=demo.cfg

Info (1049003): Operation successful.

Manager > set conf=demo.cfg

Info (1049003): Operation successful.

Manager >

Le nom doit faire 16 caractères au maximum et avoir l’extension .cfg.

L’ensemble de la configuration du commutateur peut être effectuée à travers ce système de
commandes en ligne. Toutefois, pour des raisons d’ergonomie, la méthode de configuration
décrite dans ce document s’appuie sur l’interface Web qui est utilisée par la suite.

Page 14 sur 47

3. Configuration via l’interface Web

La suite de la configuration du commutateur peut se faire, comme présenté ci-dessous, par
l’intermédiaire du serveur HTTP embarqué. Pour ce faire :

Lancer votre navigateur Internet,



Entrer l’adresse ht tp://<IP du commutateur> dans la barre d’adresses (ex :
http://192.168.0.200)

Une fenêtre apparaît vous demandant le login



et cliquer sur OK.

L’écran suivant apparaît :

et mot de passe associé. Renseigner ceux-ci

L’ensemble des paramètres est accessible via la barre de menus située à gauche. Le bouton
« Monitoring » permet de visualiser les paramètres, ainsi que certaines informations systèmes, sans
les modifier, tandis que le bouton « Configuration » permet de modifier l’ensemble de ces valeurs.
La section « Management » permet de gérer les fichiers et les utilisateurs et la section
« Diagnostics » fournit des statistiques et des informations classées par couche réseau.

Page 15 sur 47

3.1. Configuration des ports

Il est possible depuis l’écran ci-dessus de visualiser et configurer l’état des ports. Pour cela, cliquer
sur l’un des ports pour faire apparaître l’écran suivant :

Le bouton Stats permet de visualiser les statistiques relatives à ce port



Le bouton Config permet d’en faire la configuration :



Page 16 sur 47

3

1

2

Permet d’activer ou de désactiver le port. Activé par défaut.

1

Permet de forcer la vitesse et le mode duplex du port. Configuré par défaut en auto

2

négotiation.

3

Permet d’attribuer un nom au port afin d’en faciliter l’identification.

Les valeurs par défaut des autres paramètres conviennent le plus souvent. Pour plus d’information
sur ceux-ci, se référer au manuel de l’utilisateur au chapitre Switch.

3.2. Recopie de ports (port mirroring)

Il est possible, sur ces commutateurs, de créer une instance de recopie de ports. Le trafic entrant
et/ou sortant sur un ou plusieurs ports peut être recopié vers un autre port, afin d’en faire la
capture à des fins d’analyse.

Choisir le menu configuration/port/mirroring, afin d’obtenir l’écran suivant :

Page 17 sur 47

1

2

3

4

Activer la recopie de ports

1

Sélectionner le port vers lequel le(s) trafic(s) sera recopié

2

Sélectionner les ports dont le trafic sera recopié. Un premier click recopie

3

le trafic entrant par ce port (↓), un deuxième click le trafic sortant (↑), un
troisième click le trafic entrant et sortant (

↕) et un quatrième click annule la

recopie pour ce port.

4

Cliquer sur Apply pour activer la fonction.

3.3. Configuration des VLANs

Ces familles de commutateurs permettent de réaliser des VLAN par port et de transporter les
identifiants de VLAN par le biais du standard 802.1q (VLAN tagging).

Pour configurer des VLAN, sélectionner dans la barre de menu Configuration/Layer 2/VLANs.
L’écran suivant apparaît alors :

Page 18 sur 47

Cette fenêtre visualise la configuration actuelle des VLANs. En l’occurrence, seul un VLAN existe
(VLAN default) qui ne peut être détruit. A ce stade ce VLAN contient tous les ports.

L’exemple ci-dessous décrit la méthode pour créer deux nouveaux VLANs utilisant un port
commun pour remonter sur un équipement d’agrégation.

Page 19 sur 47

Les ports 1 à 8 appartiennent au VLAN admin (identifiant 2)



Les ports 17 à 24 appartiennent au VLAN prod (identifiant 3)



Le port 25 appartient au VLAN admin et au VLAN prod



Pour créer un nouveau VLAN, sélectionner Add depuis la fenêtre précédente :

1

4

5

2

3

1

Donner un nom au VLAN, en l’occurence admin.

2

Attribuer un identifiant (VID) au VLAN, dans cet exemple 2.

3

Cliquer une fois sur les p

ort 1 à 8. Un V apparaît alors sur le port indiquant son

association avec ce VLAN.

4

donc nécessaire de le « tagger ». Un V ba

Cliquer 2 fois sur le port 25. Ce port devant appartenir à plusieurs VL

rré d’un drapeau apparaît sur le port.

5

Cliquer sur Apply pour activer ce VLAN

AN, il est

Page 20 sur 47

Vous obtenez alors l’écran ci-dessous :

Le VLAN qui vient d’être créé apparaît dans la liste. Notez que les ports non taggés de ce VLAN
sortent automatiquement du VLAN d

efault et taggé dans le VLAN admin.

d

Note importante : l’adresse IP par laquelle l’on se connecte au commutateur est attribuée au
VLAN default (VID 1). Le port sur lequel est attaché la station avec laquelle vous vous connectez
sur le commutateu

avers du réseau.

tr

Réaliser la même opération pour le VLAN prod (VID 2). Ne pas oublier d’associe

LAN en le taggant. Après quoi, vous devez obtenir l’écran récapitulatif suivant :

V

r doit donc rester dans ce VLAN sous peine de ne plus pouvoir le joindre au

efault. Le port 25 quant à lui reste non taggé dans le VLAN

r le port 25 à ce

Page 21 sur 47

Suite à cela, vous avez donc trois VLANs (défault, admin, prod) qui ne peuvent communiquer
ensemble.

Page 22 sur 47

3.4. Routage inter VLANs

L’activation du routage inter VLANs se fait en attribuant une adresse IP aux interfaces logiques
VLAN. Pour cela, dans la barre de menu sélectionner Configuration/internet protocol/interfaces :

Seul l’interface VLAN1 possède une adresse IP ce qui est conforme à la configuration réalisée
jusqu’à présent. Pour attribuer une adresse aux autres interfaces, cliquer sur Add :

Page 23 sur 47

1

3

2

1

Sélectionner l’interface

2

Entrer les paramètres IP

Cliquer sur Apply pour activer ces paramètres

3

Les autres valeurs n’ont pas à être modifiées dans cet exemple. En cas d’utilisation de protocole de
routage dynamique, veuillez consulter les chapitres IP et OSPF du manuel de l’utilisateur. Pour le
multicast, veuillez consulter les chapitres IP et IP multicast.

Renouveler l’opération pour toutes les interfaces devant être routées.

Une fois les deux nouvelles interfaces configurées, vous devez obtenir le tableau récapitulatif
suivant :

Page 24 sur 47

Notez que les adresses attribuées aux différentes interfaces doivent être, tout comme sur un
routeur, dans des réseaux différents.

Une fois cette étape de configuration réalisée, toutes les communications sont possibles entre les
VLANs si les stations sont correctement configurées. Une station appartenant au VLAN 2 devra
avoir une adresse dans le même réseau IP que l’adresse affectée à l’interface VLAN 2 et l’adresse
de sa passerelle par défaut est égale à l’adresse attribuée à l’interface VLAN 2. La même logique
s’applique bien sûr aux stations de VLAN 1 et VLAN 3.

@IP: 10.0.0.1
Masque: 255.255.255.0
Passerelle: 10.0.0.100

A B

10.0.0.100 172.16.0.100

@IP: 172.16.0.1
Masque: 255.255.255.0
Passerelle: 172.16.0.100

Page 25 sur 47

3.5. Contrôle des communications (ACL)

Il est fréquent de vouloir mettre en place des restrictions de trafic entre stations. Il est alors
nécessaire de mettre en place un contrôle des communications, ou access lists (ACLs).

Dans l’exemple précédant, on peut souhaiter que, concernant les communications inter VLAN,
seules soient possibles les communications entre les stations A et B et ce uniquement en http.

La mise en place des ACLs se fait en deux étapes :

L’Identification des flux



Une action sur les flux identifiés (acceptation ou rejet)



L’identificatio
traffic Filters.

es flux qui vont devoir être identifiés sont les suivants :

L

1. Les flux venant de VLAN 1 et allant vers VLAN 2

2. Les flux venant de VLAN 1 et allant vers VLAN 3

3. Les flux venant de VLAN 2 et allant vers VLAN 1

4. Les flux venant de VLAN 2 et allant vers VLAN 3

5. Les flux venant de VLAN 3 et allant vers VLAN 1
. Les flux venant de VLAN 3 et allant vers VLAN 2

6

n se servira de l’adresse de réseau source et destination pour identifier ces 6 flux.

O

7. Les requêtes HTTP venant de A et allant vers B

8. Les requêtes HTTP venant de B et allant vers A

9. Les réponses HTTP venant de B et allant vers A

0. Les réponses HTTP venant de A et allant vers B

1

On se servira des adresses de stations source et destination ainsi

0) pour identifier ces deux flux.

8

Dans la mesure où l’identification (et les actions que l’on verra par la suite) est indépendante du
niveau de commutation (2 ou 3), il est nécessaire d’identifier tous les flux qui seront rejetés.
Autrement dit, on ne peut partir sur une stratégie visant à autoriser les communications HTTP
entre A et B et interdire tout le res
VLAN seraient également rejetées.
D’autre part, il est important de noter que l’ordre des Classifiers est déterminant. En effet l’ordre
doit être du flux le moins précis (ex. d’un réseau vers un autre réseau) au flux le plus précis (ex.
d’une sta

orrect.

c

n des flux est configurée dans le module Classifier et les actions dans le module Port

3.5.1. Création des Classifiers

que du port applicatif (HTTP =

te car dans ce cas les communications à l’intérieur d’un même

tion vers une autre station sur un protocole). L’ordre de l’exemple ci-dessus est donc

Page 26 sur 47

Création du classifier 1



Sélectionner configuration/traffic control/classifiers :

Pour l’instant, il n’existe aucun Classifier. Pour en cr

1

2

Donner un numéro au Classifier. Ce numéro

1

souvenir également de l’importance de l’ordre.

éer un, cliquer sur Add :

3

ne doit pas être déjà utilisé. Se

Page 27 sur 47

2

Sélectionner le protocole de niveau 3 à identifier (obligatoire). Les différents choix
possibles sont Any si vous souhaitez que ce Classifier s’applique à n’importe quel
protocole de niveau 3, Protocol name si vous souhaitez qu’il s’applique à un
protocole répertorié dans la liste déroulante ou, si le protocole n’est pas répertorié
il vous faut choisir Protocol Number et spécifier l’identifiant de celui-ci en
hexadécimal. Dans notre cas, il s’agit du protocole IP. Vous devez donc sélectionner
Protocol Name puis choisir IP dans la liste déroulante.

3

Cliquer sur Next pour passer à l’étape suivante.

1

2

Enter l’adresse de réseau source (VLAN1 : 149.35.54.0) et la valeur de masque en

1

notation binaire (24).
Faire de même pour le réseau de destination (VLAN2 : 10.0.0.0/24).

2

Cliquer sur Next pour passer à l’étape suivante.

Dans cet exemple, les autres champs n’ont pas besoin d’être modifiés. Il s’agit de
champs permettant d’identifier un trafic avec le marquage de priorité présent au
niveau 3 selon les standard Diffserv (Code Point Field) ou IP precedence (IP TOS
Byte). Comme nous ne souhaitons pas utiliser cette valeur, laisser l’option Any
(n’importe quelle valeur) cochée.

Page 28 sur 47

1

A ce niveau, il est possible de spécifier la nature de protocole de niveau 4 ou d’autres protocoles
de la suite IP (ICMP, IGMP). Pour TCP il est possible de spécifier le(s) port(s) source et
destination ainsi que l’état des bits signification (URG, ACK, RST…) alors que pour UDP seuls les
ports source et destination peuvent être renseignés.

Dans le cas présent, la nature du flux identifié ne dépend pas des valeurs pouvant être renseignées
dans cette fenêtre. Laissez Any coché pour que le Classifier n’en tienne pas compte.

1

Cliquer sur Next pour passer à l’étape suivante.

1

Page 29 sur 47

Cette dernière étape permet de désigner un port (physique) d’entrée et/ou de sortie, l’identifiant
du VLAN de destination, le type d’encapsulation Ethernet et les adresses MAC source et/ou
destination dont le Classifier devra tenir compte. Dans cet exemple, ces valeurs ne sont pas
significatives, donc laisser les valeurs par défaut.

1

Cliquer sur End pour passer à l’étape suivante.

L’écran ci-dessus fournit un récapitulatif des Classifiers qui ont été créés. Vous pouvez alors créer
les Classifiers 2 à 6 selon la même méthode.

Création des Classifiers 7 et 8



Les seules différences avec la réalisation des Classifiers précédents sont les adresses des stations
source et destination qui doivent utiliser un masque à 32 (255.255.255.255), pour indiquer qu’il

’agit de stations au lieu d’adresses de réseau. s

Page 30 sur 47

50

50

Spécifier qu’il s’agit de TCP avec le port de destination 80

Création des Classifiers 9 et 10



Il s’agit des flux que renvoie le serveur HTTP, les adresses source et destination restent donc

elles de A et B et c’est le port TCP source (80) qui doit être renseigné. c

Page 31 sur 47

Au final, on obtient le tableau récapitulatif suivant :

Page 32 sur 47

3.5.2. Création des actions

Dans la section précédente, nous avons défini des flux à identifier mais aucune action ne leur est
appliquée. Autrement dit, à ce stade tous les flux sont acceptés. Nous allons donc définir des
actions pour chacun des Classifiers créés.

Sélectionner configuration/traffic control/port traffic filter :

Comme on peut le voir dans l’écran ci-dessus, aucune action n’est encore définie. Pour en créer
une, cliquer sur Add :

Page 33 sur 47

Dans la mesure où les six premiers Classifiers doivent se voir appliquer la même action (rejet), il
est possible de les traiter dans un même lot.

Cliquer ensuite sur Next

Page 34 sur 47

1

2

Ces flux doivent être rejetés, sélectionner Discard the packet.

Cliquer sur End

1

2

On peut voir que de nombreuses autres options sont proposées par cet écran, notamment la
possibilité de marquage de QoS sur le(s) flux (802.1p, DiffServ, translation d’une priorité de niveau
2 au niveau 3 et inversement…). Ces options de configuration peuvent s’utiliser sans spécifier
d’action sur l’une des cases du premier cadre (Forward, Discard, Do not Drop…), dans la mesure
où, par défaut, les paquets sont commutés. Par contre, il est nécessaire tenir compte d’actions de
rejet qui serait appliquées sur des flux plus génériques. Pour plus d’informations concernant les
possibilités qu’offrent ces différents champs, consulter le manuel de l’utilisateur au chapitre Switch
et à la section Hardware Filter.

A ce stade, l’ensemble du trafic inter VLAN sera rejeté.

Page 35 sur 47

Pour autoriser les échanges HTTP entre les stations A et B, ce qui correspond aux Classifiers 7 à
10, il faut créer une nouvelle action (filtre). Pour cela cliquez sur Add :

Sélectionner les Classifiers de 7 à 10, puis cliquer sur Next :

Page 36 sur 47

1

2

1

Cocher la case Do not drop the matching frame previously marked for dropping

2

Cliquer sur End:

Page 37 sur 47

La liste de règles de communication est ainsi constituée.

Pour résumer, lorsque vous souhaitez mettre en place des règles de communication il faut tenir
compte des points suivants :

Les Classifiers doivent être ordonnés du flux le plus générique jusqu’au flux le plus précis



par ordre croissant de numéro.
Un flux pour lequel il n’y a aucune action définie, donc aucun filtre utilisant un Classifier qui



identifie de manière précise ou générique ce trafic, sera commuté. Autrement dit, il n’y a
pas de rejet implicite comme c’est souvent le cas sur un pare-feu. Toutefois, il est facile
d’en créer un en réalisant un Classifier portant le numéro 1 et en laissant tous ses
paramètres aux valeurs par défaut. Ce classifier doit ensuite être associé à un filtre d’action
marquant le flux comme devant être rejeté (Discard). Les
ensuite les flux spécifiques ne devant pas être rejeté (nodrop).

Chaque paquet est soumis à l’ensemble des filtres d’action de manière linéaire. Le statut



(rejet ou commuté) du paquet est mis à jour à chaque filtre le concernant, d’où la logique
de mettre les trafics les plus génériques en premier puis d’aller vers des trafics de plus en
plus précis.

autres filtres remarqueront

Les Classifiers sont une abstraction de configuration. Tant qu’ils ne sont pas associés à un



filtre d’action, ils sont inopérants.
Pour plus d’information sur le contrôle d’accès, veuillez vous référer au chapitre Switch,



section Hardware filtering du manuel de l’utilisateur.

Page 38 sur 47

3.6. Routage statique

L’accès à d’autres réseaux IP que ceux déclarés sur le commutateur est l’une des fonctions
importantes qui peuvent être configurées. Cela implique que le commutateur connaisse le chemin
(route) que devront emprunter les paquets à destination de ce(s) réseau(x) distant(s). Ces routes
peuvent être apprises de manière dynamique par le biais d’un protocole de routage (RIP, OSPF,
BGP4…) ou entrées de manière statique. On parle alors de routage statique. Dans le cadre de ce
guide seul le routage statique sera exposé.

Si l’on considère l’exemple ci-dessous :

10.0.0.0/24

A

Commutateur L3

Le routeur A permet d’accéder d’une part à Internet et d’autre part à un site distant qui a pour
adresse de réseau 10.0.0.0/24. Ce routeur est connecté au commutateur de niveau 3. Le
commutateur de niveau 3 doit donc connaître la route pour atteindre Internet (route par défaut)
et la route pour atteindre le site distant. Pour cela il faut entrer 2 routes dans le commutateur de
niveau 3. Sélectionner configuration/Internet protocole/routes :

Page 39 sur 47

Pour l’instant aucune route n’est présente. Cliquer sur Add pour entrer la route statique :

1

4

3

2

1

Entrer l’adresse du réseau de destination et son masque. Puisqu’il s’agit d’Internet,
l’adresse et la valeur de masque sont fixées à 0.0.0.0. C’est cette route par défaut
qui sera utilisé lorsque le flux aura pour destination un réseau qui n’est pas connu
du commutateur ou pour lequel il ne possède pas de route. C’est en quelque sorte
l’équivalent d’un panneau toutes directions.

Page 40 sur 47

2

Indiquer l’interface du commutateur par laquelle devront être expédiés les flux
utilisant cette route. Dans cette configuration le commutateur ne possède qu’un
seul VLAN (VLAN Default, VID 1) c’est donc celui-ci qui est automatiquement
sélectionné.

3

Entrer l’adresse IP de l’interface coté commutateur de niveau 3 du routeur A
(149.35.54.254)

4

Cliquer sur Apply pour ajouter la route

Renouveler l’opération pour entrer la route statique vers le réseau distant

Après avoir cliqué sur Apply vous devez obtenir l’écran suivant :

Page 41 sur 47

3.7. Gestion des utilisateurs

Le compte de connexion par défaut est comme nous l’avons vu manager/friend. Pour des raisons
de sécurité, il est souhaitable de créer un nouveau compte administrateur puis de supprimer celui­ci. Pour ce faire, cliquer sur configuration/management/users :

Page 42 sur 47

La base de comptes ne contient que le compte par défaut. Pour en ajouter un, cliquer sur Add :

Note : Ne pas cocher la case Enable system security. Cette fonction n’est, en règle générale,
nécessaire que si des clés de chiffrement sont utilisées. Veuillez vous reporter au chapitre
Operation du manuel de l’utilisateur pour plus d’information sur le mode sécurité.

Page 43 sur 47

1

4

5

3

2

Donner un nom au nouvel utilisateur.

Attribuer un mot de passe à cet utilisateur (6 caractères minimum)

1

2

3

Attribuer des droits à cet utilisateur : sélectionner User pour des droits en lecture
seule ou manager pour des droits administrateurs. L’option Security Officer est
identique à l’option manager si le commutateur n’est pas en mode sécurité.

4

Cochez cette case si vous souhaitez que cet utilisateur puisse accéder au
commutateur via Telnet.

5

Cliquer sur Apply pour activer ce nouvel utilisateur.

Page 44 sur 47

Vous pouvez maintenant suprimer le compte manager/friend. Pour cela, le sélectionner puis
cliquer sur Remove.

3.8. Enregistrement de la configuration

Lorsque vous apportez une modification à la configuration courante, cette modification est
directement active mais n’est prise en compte qu’au niveau de la mémoire vive (RAM). Le bouton
Save passe alors au rouge pour vous indiquer qu’il est nécessaire de sauvegarder pour enregistrer
vos modifications. Lorsque vous cliquez sur Save, l’écran suivant apparaît :

Page 45 sur 47

Current : Permet d’enregistrer en mémoire flash la configuration présente en mémoire vive sous le
même nom que précédemment (l’ancien fichier est réécrit).

Other : Permet d’enregistrer en mémoire flash la configuration présente en mémoire vive sous un
nom de fichier existant déjà mais qui n’est pas actif (l’ancien fichier est réécrit).

New : Permet d’enregistrer en mémoire flash la configuration présente en mémoire vive dans un
nouveau fichier (si le nom d’un fichier existant est utilisé, celui-ci est réécrit).

Use this config at bootup : Permet de déclarer le fichier enregistré après sélection de l’option Other
ou New comme étant le nouveau fichier de démarrage.

Une fois la sélection appropriée effectuée, cliquez sur Continue pour enregistrer. Apres environ 15
s, l’enregistrement est terminé. Vous pouvez, si vous le souhaitez, redémarrer le commutateur
sans perdre sa configuration.

Note : Si vous cherchez à quitter l’explorateur (par le bouton de fermeture de fenêtre Windows
ou par le bouton Exit) alors que la configuration en mémoire vive a été modifiée sans avoir été
enregistrée, la fenêtre ci-dessus apparaît automatiquement.

Page 46 sur 47

4. Relais DHCP

L’attribution dynamique des paramètres IP aux équipements terminaux est de plus en plus
fréquente. Cette fonction est assurée par un serveur DHCP. Dans le cas d’une configuration avec
un seul VLAN où sont réunis tous les équipements terminaux et le serveur DHCP, le
commutateur est tranparent à ce processus. Aucune configuration n’est donc nécessaire.
Dans le cas ou les équipements terminaux devant se voir attribuer des paramètres IP sont placés
dans différents VLANs et que l’on ne souhaite avoir qu’un seul serveur DHCP, une configuration
est à réaliser sur le commutateur. En effet, les requêtes DHCP émises par les clients sont
envoyées en broadcast et ce type de trafic ne peut passer d’un VLAN à l’autre. La fonction de
relais DHCP permet de contourner cette impossibilité. Cette fonction n’étant actuellement pas
accessible depuis l’interface Web, vous devez vous connecter via le port console (comme décrit
dans ce document lors de l’étape initiale) ou au travers du réseau via Telnet si votre commutateur
dispose d’une adresse IP. Dans les deux cas, l’interface est identique.

Pour activer la fonction relais DHCP, entrer les commandes suivantes au prompt :

Manager > enable bootp relay

Info (1039003): Operation successful.

Manager > add bootp relay=149.35.54.11

Info (1039003): Operation successful.

Manager >

Enable bootp relay permet d’activer la fonction



Add bootp relay=149.35.54.11 permet d’indiquer l’adresse IP du serveur DHCP



Dès qu’elles ont été entrées, ces commandes sont actives. Toutefois la configu

nregistrée. Pour la sauvegarder en mémoire flash entrer la commande suivante :

e

reate conf=nom.cfg

C

ù nom représente le nom de votre fichier de configuration actif.

o

. Autres fonctionnalités

5

Pour plus d’informations sur les nombreuses autres fonctionnalités des commutateurs AT-RP, AT­8800, AT-8700 et AT-8600, se r

isponibles sur notre site Web.

d

ttp://www.alliedtelesyn.fr

h

http://www.alliedtelesyn.co.nz/documentation/documentation.html

eporter aux Guides d’Utilisation relatifs à chacune de ces familles,

ration n’est pas

Page 47 sur 47