Cisco - Configuration l'interface de Management dédié
Alasta 13 Janvier 2015 cisco Cisco Management
Description : Nous allons voir comment configuré l'interface de management dédié sur certains équipements Cisco.
Equipements supportés :
La plupart des dernières gammes de produit Cisco (3650, 3850, ASR1000, 4500, Nexus, ...).
L'avantage de cette interface est le fait qu'elle est isolé (via une VRF dédiée) du reste de la configuration et qu'elle est routée.
Configuration :
Note : le nom de la VRF peut changer en fonction de la gamme de switch/routeur, dans nos exemples, on utilisera Mgmt-vrf.
Une autre suptilitée, physiquement l'interface de management est estampillé Mgmt alors que dans la configuration elle est appelée G0/0 (ou G0, ...).
Pour connaître le nom des VRF :
1 Switch# show vrf
de l'interface :
1 Router(config)# interface GigabitEthernet 0/0
2 Router(config-if)# ip address A.B.C.D A.B.C.D
Connexion vers un autre équipement :
1 Router# telnet 172.17.1.1 /vrf Mgmt-vrf
Ping :
1 Router# ping vrf Mgmt-intf 172.17.1.1
2 Type escape sequence to abort.
3 Sending 5, 100-byte ICMP Echos to 172.17.1.1, timeout is 2 seconds:
4 .!!!!
5 Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Services
1 ! interface de sortie pour le tftp
2 Router(config)# ip tftp source-interface gigabitethernet 0
3
4 ! interface de sortie pour le ftp
5 Router(config)# ip ftp source-interface gigabitethernet 0
6
7 ! interface de sortie pour les traps snmp
8 Router(config)# snmp-server source-interface traps gigabitEthernet 0
9
10 ! définition du NTP avec la VRF associée
11 Router(config)# ntp server vrf Mgmt-vrf 172.17.1.1
12
13 ! définition du Syslog avec la VRF associée
14 Router(config)# logging host 172.17.1.1 vrf Mgmt-vrf
15
16 ! définition du suffixe DNS pour la VRF management
17 Router(config)# ip domain-name vrf Mgmt-vrf cisco.com
18
19 ! définition du DNS avec la VRF associée
20 Router(config)# ip name-server vrf Mgmt-vrf 172.17.1.1
Authentification :
1 ! interface de sortie pour le RADIUS
2 Router(config)# aaa group server radius hello
3 Router(config-sg-radius)# ip vrf forwarding Mgmt-vrf
4
5 ! interface de sortie pour le TACACS+
6 Router(config)# aaa group server tacacs+ hello
7 Router(config-sg-tacacs+)# ip vrf forwarding Mgmt-vrf
Filtrage d'accès à l'équipement :
1 Router(config)# line vty 0 4
2 Router(config-line)# access-class 90 in vrf-also
vrf-also n'est pas le nom de la VRF mais bien le mot clé à utilisé.