---
title: "SWITCH - Procédure d'installation switch BETA"
description:
tags: default,switch,process
---
# Procédure d'installation switch
>
## Table des matières :
[TOC]
---
# HPE - Comware
## Informations
> Mise à jour via TFTP [color=#E11616]
```hpe=
# Visualiser les firmware actuel
display version
# Sauvegarder la version actuelle
copy boot.bin boot_backup.bin
copy system.bin system_backup.bin
Mettre les fichier en système backup
boot-loader file boot flash:/boot_backup.bin system flash:/system_backup.bin slot 1 backup
boot-loader file boot flash:/boot_backup.bin system flash:/system_backup.bin slot 2 backup
# Importer le firmware
tftp <IP_TFTP> get <file_name>.ipe
# Mettre le fichier en boot
boot-loader file flash:/<file_name>.ipe slot 1 main
boot-loader file flash:/<file_name>.ipe slot 2 main
reboot
# Vérifier la configuration
display boot-loader
```
> Mémo commande [color=#E11616]
```hpe=
# Mode enable
system-view
# Voir la configuration à l'emplacement où on est
display this
# Configuration actuelle
display current-configuration
# Sauvegarder la configuration dans la mémoire principale
save main
# Sauvegarder la configuration dans la mémoire secondaire
save backup
```
## Configuration de base
> Changement par défaut [color=#E11616]
```hpe=
# Nom
sysname <hostname>
# Définition de la complexité de mot de passe
password-control enable
password-control length 12
password-control complexity user-name check
# 4 types de caractères et 1 de chaque type
password-control composition type-number 4 type-length 1
password-control login-attempt 3 exceed lock-time 5
# Changement mot de passe admin
local-user admin
password cipher <password>
service-type ssh
undo service-type terminal
undo service-type ftp
undo service-type telnet
undo service-type web
# Changement mot de passe super admin
super password level 3 cipher <super_password>
# Configuration du temps
lock timezone GMT add 01:00:00
clock summer-time 1 02:00:00 March last Sunday 02:00:00 October last Sunday 01:00:01
ntp-service enable
ntp-service unicast-server <ip_address>
# Configuration des logs
scheduler logfile size 16
info-center loghost <ip_address>
info-center logbuffer size 400
info-center source default channel logbuffer log level notifications
# Sécurisation accès distant
public-key local create rsa
2048
ssh server enable
undo ssh server compatible-ssh1x
user-interface vty 0 15
authentication-mode scheme
protocol inbound ssh
undo telnet server enable
crypto key generate ssh rsa
ip ssh
idle-timeout 5
no telnet-server
# Protection contre les boucles
# Activer le module
loopback-detection enable
loopback-detection multi-port-mode enable
# Gestion au niveau interface
interface <interface-type> <interface-number>
loopback-detection enable
loopback-detection control enable
loopback-detection per-vlan enable
# semi-block bloque les boucles sans éteindre le port
loopback-detection action <semi-block/shutdown>
# Services à désactiver
usb disable
```
> Activation HTTPs [color=#E11616]
:::info
Préférer un certivicat **valide** à un certificat **auto-signé**
:::
```hpe=
# Création du certificat auto-signé
ip https ssl-server-policy myssl
ip https certificate access-control-policy myacp
# Activation HTTPS
ip https enable
undo ip http server enable
```
> Configuration SNMPv3 [color=#E11616]
:::info
Il est possible d'activer le SNMP uniquement dans un VLAN
:::
:::info
Configuration **noAuthNoPriv** :
:::
```hpe=
# Création d'un groupe
snmp-agent group v3 <group_name>
# Création de l'utilisateur du groupe
snmp-agent usm-user v3 <username> <group_name>
# Affichage des groupe
display snmp-agent group
# Affichage des utilisateurs
display snmp-agent usm-user
```
:::info
Configuration **AuthnoPriv** :
:::
```hpe=
# Création d'un groupe
snmp-agent group v3 <group_name> authentication
snmp-agent usm-user v3 <username> <group_name> authentication-mode md5 snmpauthpass
```
:::info
Configuration **AuthPriv** :
:::
```hpe=
# Création d'un groupe
snmp-agent group v3 <group_name> privacy
snmp-agent usm-user v3 <username> <group_name> authentication-mode md5 snmpauthpass
```
:::info
Configuration optionnel
:::
```hpe=
# Renseigne les informations sur le SNMP
snmp-agent sys-info <contact / location / version v3>
snmp-agent local-engineid <engine_id>
# Renseigner le serveur SNMP
snmp-agent remote <ip-address> engineid <engine_id>
```
> Configuration Spanning-tree [color=#E11616]
:::info
Préférer une topologie sans STP d'activé
:::
```hpe=
stp mode <stp/rstp/mstp/pvst>
stp bpdu-protection
stp timer-factor <factor>
interface <interface-type> <interface-number>
port-group manual <port-group-name>
stp edged-port
```
## Configuration réseau
> Vlan [color=#E11616]
```hpe=
# Création d'un VLAN
vlan <vlan_id>
name <vlan_name>
interface vlan-interface <vlan_id>
description <description>
ip address <ip_address> <netmask>
management-vlan <vlan_id>
```
> Interface [color=#E11616]
```hpe=
# Affectation vlan à un port
interface <type> <port>
port access vlan <vlan_id>
# Configuration interface trunk
interface <type> <port>
description <description>
port link type trunk
port trunk allowed vlan <vlan_id>
exit
# Configuration interface hybride
interface GigabitEthernet1/0/1
port link-type hybrid
# Untag
port hybrid untagged vlan <vlan_id_pvid>
# Tag
port hybrid tagged vlan <vlan_id>
port hybrid pvid vlan <vlan_id_pvid>
# disable
undo port hybrid vlan <vlan_id>
voice vlan <vlan_id> enable
voice vlan qos trust
```
> LACP [color=#E11616]
```hpe=
# Passer en mode enable
system-view
# Création de l'interface d'aggrégation
interface bridge-aggregation <group>
link-aggregation mode dynamic
# Affectation de l'interface
interface GigabitEthernet <port>
port link-aggregation group <group>
interface bridge-aggregation <group>
port link-type trunk
port trunk permit vlan <vlan_id>
# En option
undo port trunk permit vlan 1
port trunk pvid vlan 666
undo stp enabled
```
> Stack [color=#E11616]
:::info
Avant toute configuration, veuillez créer vos stacks et vérifier leur bonne configuration
Mettre les switch en pile dans le bon ordre
:::
```hpe=
# Passer en mode enable
system-view
# Créer un stack (priorité la plus haute choisi)
irf member 1 priority 32
irf domain <domain_number>
# Désactiver les interfaces à stacker
interface Ten-GigabitEthernet 1/0/27
shutdown
# Configurer l'interface de stack
irf-port 1/1
port group interface Ten-GigabitEthernet 1/0/27
# Réactiver les interfaces
interface Ten-GigabitEthernet 1/0/27
undo shutdown
# Passer le stack en actif
irf-port-configuration active
```
## Configuration avancé
> Authorized IP managers [color=#E11616]
```hpe=
ip authorized-manager <network/ip_address> <netmask> access <manager/operator> access-method <all/ssh/web>
```
> DHCP Snooping [color=#E11616]
:::info
Protège des attaques DHCP et désigne un port ou/et une adresse IP comme fiable
:::
```hpe=
# Authoriser une adresse IP comme serveur DHCP
dhcp-snooping authorized-server <ip-address>
# Désigner un port comme fiable
dhcp-snooping trust <port-list>
# Désigner un vlan comme fiable
dhcp-snooping vlan <vlan-id-range>
```
> Dynamic ARP Protection [color=#E11616]
```hpe=
# Activer la protection ARP par vlan
Vlan <vlan_id>
arp detection enable
quit
```
> MACsec [color=#E11616]
:::info
Protocole de couche 2 (802.1AE) permettant le chiffrement d'une liaison n
:::
```hpe=
# Activation de MACsec
macsec policy <macsecpolicy>
# Création des clés de chiffrement
mode pre-shared-key ckn <PSK_ckn> cak <PSK_cak>
# Ports sur lesquels mettre en place le MACsec
macsec apply policy <macsecpolicy> <port/port-list>
# Vérifications
show macsec policy
show macsec status
show macsec status <port>
show macsec statistics
show macsec statistics detail <port>
show port-access mka status
```
**Exemple :**
:::info
Configuration switch 1
:::
```switch1=
macsec policy test1
mode pre-shared-key ckn 123456 cak azerty
macsec apply policy test1 2
```
:::info
Configuration switch 2
:::
```switch2=
macsec policy test2
mode pre-shared-key ckn 123456 cak azerty
macsec apply policy test2 2
```
> Banière CHEOPS [color=#E11616]
```hpe=
header motd ^
#######################################
# ___ ___ __ ___ __ #
# / \ | | | / \ | \ / #
# | |__| |_ | | |___/ \_ #
# | | | | | | | \ #
# \___/ | | |___ \__/ | ___/ #
# Technology #
#######################################
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
| |
* WARNING ! *
| This is a private network. |
*Usage of this equipment is monitored.*
| Unauthorized access to and |
* use of the network will be *
| vigorously prosecuted. |
* *
| ATTENTION ! |
* Vous entrez sur un reseau prive. *
| L usage de cet equipement |
* est monitore. *
| Tout acces et utilisation non |
* autorises de ce reseau *
| entraineront des poursuites |
* juridiques. *
| |
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
^
```
> DNS sec [color=#E11616]
:::info
Comme pour le DHCP snooping, cette sécurité permet de faire confiance à un port pour la résolution DNS seulement via l'interface spécifié.
:::
```hpe=
# Spécifier une interface de confiance
dns trust-interface vlan-interface <vlan_id>
```
> ICMP sec [color=#E11616]
:::info
Ces trois règles de sécurité préviennent des attaques ICMP suivantes :
- [ICMP redirect](https://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol#:~:text=ICMP%20Redirect%3A%20Les%20messages%20ICMP,ignorer%20ce%20genre%20de%20message.)
- [ICMP time exceeded message](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Time_exceeded)
- [ICMP destination unreachable message](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Destination_unreachable)
:::
```hpe=
# Pour ICMPv4
undo ip redirects enable
undo ip ttl-expires enable
undo ip unreachables enable
# Pour ICMPv6
undo ipv6 redirects enable
undo ipv6 hoplimit-expires enable
undo ipv6 unreachables enable
```
> TCP sec [color=#E11616]
:::info
Deux corrections sont disponible pour cette partie :
- **SYN Cookie :**
Prévient des attaque de sur le SYN qui ouvre une session TCP dans le but de surcharger un équipement
- **Disabling TCP Timestamps :**
L'horodatage TCP est un mécanisme de protection contre les numéros de séquences enveloppés qui est utilisé pour déterminer que le changement soudaint et aléatoire de numéro de séquence est un bouclage.
Lorsqu'il est activé, il est possible de calculer le temps d'une connexion établie et de connaitre l'activité d'un système.
:::
```hpe=
# Active le SYN Cookie
tcp syn-cookie enable
# Désactive l'encapsulation de l'horodatage TCP à une extrémité du lien TCP.
undo tcp timestamps enable
```
> Voice Vlan Sec [color=#E11616]
:::info
Par défaut, le VLAN voix s'occupe uniquement de transmettre les paquets taggés. Cette option permet de vérifier l'OUI de l'adresse MAC de l'équipement. **À activer uniquement si on ne fait transiter que de la voix**
:::
```hpe=
# Activation de voice vlan security
voice-vlan security enable
```
> VRRP auth [color=#E11616]
:::info
**VRRP** : Virtual Router Redundancy Protocol
Émission des paquets en multicast sur 224.0.0.18 pour les informations
Envoi d'un gratuitous ARP en cas de changement d'actif
Par défaut, ces échanges ne sont pas chiffrés. L'objectif est d'ajouter une authentification via une clé.
:::
```hpe=
interface vlan-interface <vlan_id>
vrrp vrid <id> authentication-mode <simple/md5> plain <key>
```
> BFD auth [color=#E11616]
:::info
BFD : Bidirectional Forwarding Detection
:::
```hpe=
interface vlan-interface <vlan_id>
# De point à point
bfd authentication-mode <simple/md5/sha> <id> plain <clé>
# Avec de multiples saut
bfd multi-hop authentication-mode <simple/md5> plain <key>
```
# ArubaOS
## Informations
> Mise à jour via TFTP [color=#3B85FF]
```aruba=
# Visualiser les firmware actuel
show flash
# Importer le firmware
copy tftp flash <IP_TFTP> <file_name>.swi secondary
# Redémarrer sur le firmware importé
boot system flash secondary
# Si aucun problèmes ne sont renconté, appliquer sur l'image principale
copy tftp flash <IP_TFTP> <file_name>.swi primary
boot system flash primary
```
## Configuration de base
> Changement par défaut [color=#3B85FF]
```aruba=
# Nom
hostname <nom_switch>
# Définition de la complexité de mot de passe
password complexity all
password minimum_length 12
password composition lowercase 1
password composition uppercase 1
password composition number 1
password composition specialcharacter 1
password configuration aging
password configuration history
aaa authentication lockout-delay 30
# Changement mot de passe et identifiant du manager
password manager user-name <nouveau_login>
# Changement mot de passe et identifiant de l'operateur
password operator user-name <nouveau_login>
# Configuration du temps
sntp server priority 1 <ip_address> ntp
sntp unicast
timesync sntp
# Configuration des logs
logging facility local0
logging <ip_address>
# Sécurisation accès distant
crypto key generate ssh rsa
ip ssh
idle-timeout 5
no telnet-server
# Activation de SFTP et désactivation auto de TFTP
ip ssh filetransfer
# Si besoin, désactivation manuelle de TFTP
no tftp server
no tftp client
# Protection contre les boucles
loop-protect 1-24 # sur la tranche de port 1 à 24
loop-protect disable-timer 30 # désactivation 30 secondes
loop-protect trap loop-detected # inscription dans les logs
loop-protect transmit-interval 3 # 3 secondes
# Services à désactiver
# Désactive USB
no usb-port
# Désactive ma modification de configuration via l'option 66
no dhcp config-file-update
# Desactive les boutons reset et clear
no front-panel-security password-clear
no front-panel-security password-reset
```
> Activation HTTPs [color=#3B85FF]
:::info
Préférer un certivicat **valide** à un certificat **auto-signé**
:::
```aruba=
# Création du certificat auto-signé
crypto pki enroll-self-signed certificate-name <nom_switch> subject
# Activation HTTPS
web-management ssl
# Désactivation HTTP
no web-management plaintext
# Configuration d'un timeout de 300 secondes
web-management idle-timeout 300
```
> Configuration SNMPv3 [color=#3B85FF]
:::info
Il est possible d'activer le SNMP uniquement dans un VLAN
:::
```aruba=
# Activation SNMPv3 (suivre les instruction, on configure en détail après)
snmpv3 enable
# Création de l'utilisateur de synchronisation
snmpv3 user <user> auth sha <password> priv aes <snmp_password>
# Affectation de l'utilisateur au groupe de gestion
snmpv3 group managerpriv user <user> sec-model ver3
# Suppression de l'utilisateur initial
no snmpv3 user initial
# Activation de SNMPv3 uniquement
snmpv3 only
# Restriction en read-only
snmpv3 restricted-access
# Configuration de la machine de supervision
snmpv3 targetaddress <IP_addr> <nom>
# Voir les utilisateurs crées
show snmpv3 user
# Voir les utilisateurs affecté au groupe de gestion
show snmpv3 group ManagerPriv user admin sec-model ver3
```
> Configuration Spanning-tree [color=#3B85FF]
:::info
Préférer une topologie sans STP d'activé
:::
```aruba=
spanning-tree
spanning-tree bpdu-protection-timeout 30
spanning-tree force-version rstp-operation
spanning-tree <port/port-list> admin-edge-port
spanning-tree <port/port-list> bpdu-protection
```
## Configuration réseau
> Vlan [color=#3B85FF]
```aruba=
# Création d'un VLAN
vlan <vlan_id>
name <vlan_name>
management-vlan <vlan_id>
```
> Interface [color=#3B85FF]
```aruba=
interface <port>
description <description>
untagged vlan <vlan_id>
tagged vlan <vlan_id>
exit
```
> LACP [color=#3B85FF]
```aruba=
# Création de l'interface Trunk LACP
trunk ethernet <port-list> trk1 lacp
# Affectation des vlans au trunk
vlan <vlan_id>
tagged trk1
vlan <vlan_id>
untagged trk1
```
> Stack [color=#3B85FF]
:::info
Avant toute configuration, veuillez créer vos stacks et vérifier leur bonne configuration
Mettre les switch en pile dans le bon ordre
:::
```aruba=
# Pour le Switch 1
# Le numéro de domaine sera le dernier chiffre de l'IP de management.
vsf enable domain xx
# Lien allant vers le membre 2
vsf member 1 link 1 ethernet XX
# Lien allant vers le dernier membre
vsf member 1 link 2 ethernet XX
# Priorité pou le role master
vsf member 1 priority 250
# Pour le Switch 2
# Le numéro de domaine sera le dernier chiffre de l'IP de management.
vsf enable domain xx
# Lien allant vers le membre 1
vsf member 2 link 1 ethernet XX
# Lien allant vers le membre 3
vsf member 2 link 2 ethernet XX
# Priorité pou le role standby
vsf member 1 priority 245
# Pour le Switch 3
# Le numéro de domaine sera le dernier chiffre de l'IP de management.
vsf enable domain xx
# Lien allant vers le membre 2
vsf member 3 link 1 ethernet XX
# Lien allant vers le membre4
vsf member 3 link 2 ethernet XX
# Priorité pou le role member
vsf member 1 priority 240
#Vérifiez votre VSF grâce aux commandes suivantes:
show vsf
show vsf detail
show vsf link
show vsf link detail
```
## Configuration avancé
> Authorized IP managers [color=#3B85FF]
```aruba=
ip authorized-manager <network/ip_address> <netmask> access <manager/operator> access-method <all/ssh/web>
```
> DHCP Snooping [color=#3B85FF]
:::info
Protège des attaques DHCP et désigne un port ou/et une adresse IP comme fiable
:::
```aruba=
# Activer la fonctionnalité
dhcp-snooping
# Authoriser une adresse IP comme serveur DHCP
dhcp-snooping authorized-server <ip_address>
# Désigner un port comme fiable
dhcp-snooping trust <port>
# Désigner un vlan comme fiable
dhcp-snooping vlan <vlan_id>
```
> Dynamic ARP Protection [color=#3B85FF]
```aruba=
# Activer la protection ARP
arp-protect
# Protéger un vlan
arp-protect vlan <vlan_id> <vlan_id>
# Protéger u port/liste de port
arp-protect trust <port/port-list>
```
> MACsec [color=#3B85FF]
:::info
Protocole de couche 2 (802.1AE) permettant le chiffrement d'une liaison n
:::
```aruba=
# Activation de MACsec
macsec policy macsecpolicy
# Création des clés de chiffrement
mode pre-shared-key ckn <PSK_ckn> cak <PSK_cak>
# Ports sur lesquels mettre en place le MACsec
macsec apply policy macsecpolicy <port/port-list>
```
> Banière CHEOPS [color=#3B85FF]
```aruba=
banner motd ^
#######################################
# ___ ___ __ ___ __ #
# / \ | | | / \ | \ / #
# | |__| |_ | | |___/ \_ #
# | | | | | | | \ #
# \___/ | | |___ \__/ | ___/ #
# Technology #
#######################################
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
| |
* WARNING ! *
| This is a private network. |
*Usage of this equipment is monitored.*
| Unauthorized access to and |
* use of the network will be *
| vigorously prosecuted. |
* *
| ATTENTION ! |
* Vous entrez sur un reseau prive. *
| L usage de cet equipement |
* est monitore. *
| Tout acces et utilisation non |
* autorises de ce reseau *
| entraineront des poursuites |
* juridiques. *
| |
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
^
```
Sign in with Wallet
Connect another wallet