Page 1 Avant-propos Introduction Interface utilisateur SIMATIC NET Prise en main Industrial Ethernet Switches Command Line Interface (CLI) Gestion de l'appareil SINEC OS V2.4 Administration système Manuel de configuration Sécurité des données Administration d'interfaces Attribution d'adresses IP Redondance de réseaux Découverte et gestion de réseau Contrôle et classification du trafic de données...
Page 2 Tenez compte des points suivants: ATTENTION Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une utilisation et une maintenance dans les règles de l'art.
Page 3 Sommaire Avant-propos ............................21 Conventions ........................21 1.1.1 Notes..........................21 1.1.2 Syntaxe des commandes CLI ....................21 Configuration système requise/recommandée ..............22 Notes relatives à la cybersécurité..................23 Assistance firmware/logiciel....................23 Open Source........................23 Marques déposées ......................24 Documents complémentaires..................... 24 Programme de formation ....................
Page 4 Sommaire 3.3.5 Traiter une séquence de commandes.................. 68 3.3.6 Exécuter des commandes sous forme de script ..............68 3.3.7 Spécification d'une URL ...................... 70 3.3.8 Indication d'une Durée ....................... 73 3.3.9 Affichage de données opérationnelles ................74 3.3.10 Utilisation de caractères génériques pour indiquer des interfaces dans les commandes show ..........................
Page 5 Sommaire 4.4.1.2 Spécification du lieu d'implantation .................. 123 4.4.1.3 Définition d'un interlocuteur responsable de l'appareil ............123 4.4.1.4 Définition manuelle de la passerelle par défaut ..............124 4.4.2 Affichage des paramètres de base ..................125 Gestion de l'appareil .......................... 127 Redémarrage ou arrêt de l'appareil ...................
Page 6 Sommaire 5.10.4 Suppression des données du CLP..................162 5.10.5 Réinitialisation du CLP ...................... 163 5.10.6 Affichage de l'état du CLP ....................163 Administration système........................165 Configurer une bannière pour la connexion ..............165 Stratégie de mot de passe ....................166 6.2.1 Configuration de la stratégie de mot de passe..............
Page 7 Sommaire 7.2.1.2 Structure d'un message d'évènement ................199 7.2.1.3 Variables dans les messages d'évènement ................ 200 7.2.2 Surveillance d'évènements relatifs à la sécurité des données..........201 7.2.2.1 Identification et authentification d'utilisateurs humains............. 202 7.2.2.2 Identification et authentification d'appareils..............205 7.2.2.3 Gestion des comptes de réseau ..................
Page 8 Sommaire Access Control List (ACL) pour la gestion ................253 7.5.1 Ce qu'il faut savoir sur les ACL de gestion................253 7.5.2 Configuration de l'ACL de gestion ..................254 7.5.2.1 Ajout d'une règle ......................254 7.5.2.2 Limitation de l'accès par l'interface LAN................257 7.5.2.3 Limitation de l'accès par l'interface utilisateur..............
Page 9 Sommaire 8.1.2.2 Activation de l'autonégociation ..................297 8.1.2.3 Paramétrage de la vitesse des ports de pont ..............299 8.1.2.4 Paramétrage du mode duplex ..................301 8.1.2.5 Activation de la rétrogradation pour les interfaces Gigabit ..........303 8.1.2.6 Activation de Link Fault Indication (LFI) ................304 8.1.2.7 Configuration d'actions pour les évènements de Link down..........
Page 10 Sommaire 9.2.2.3 Configuration du temps d'attente de la réponse d'un serveur DNS ........339 9.2.2.4 Configuration d'un domaine de recherche ................ 339 9.2.3 Affichage de la configuration DNS ..................340 DHCP ..........................341 9.3.1 Ce qu'il faut savoir sur DHCP..................... 341 9.3.1.1 Communication DHCP......................
Page 11 Sommaire 10.1.6 Configuration d'instances Multiple Spanning Tree (MSTI) ..........397 10.1.6.1 Création d'une MSTI ......................397 10.1.6.2 Sélection de la priorité de pont..................398 10.1.6.3 Affectation d'un VLAN à une MSTI ..................399 10.1.6.4 Configuration de la priorité de ports de pont pour une MSTI ..........400 10.1.6.5 Configuration du coût MSTI d'un port de pont ..............
Page 12 Sommaire 10.4.1.2 Réseau MRP ........................445 10.4.1.3 Media Redundancy Automanager..................447 10.4.1.4 Ports d'anneau......................... 448 10.4.1.5 Domaine de redondance ....................449 10.4.1.6 Temps de reconfiguration....................449 10.4.1.7 Règles d'installation ......................449 10.4.1.8 Configuration MRP via un automate PROFINET..............450 10.4.2 Configuration de MRP ......................
Page 13 Sommaire 11.2.2.1 Configuration des droits d'accès de DCP................481 11.2.2.2 Configuration de la retransmission de trames DCP pour un port de pont......484 11.3 PROFINET......................... 485 11.3.1 Ce qu'il faut savoir sur PROFINET ..................486 11.3.1.1 Constituants PROFINET ....................486 11.3.1.2 Adressage d'appareil ......................
Page 14 Sommaire 11.6.1.13 Mots de passe et clés localisées ..................510 11.6.1.14 View-Based Access Control Model (VACM) pour l'attribution de droits d'accès....511 11.6.1.15 Traitement d'une requête SNMP ..................512 11.6.2 Configuration de SNMP ....................514 11.6.3 Configuration de l'agent SNMP ..................514 11.6.3.1 Configuration des versions de SNMP que l'agent SNMP prend en charge......
Page 15 Sommaire 12.2.1.7 Règles ingress et egress....................558 12.2.1.8 GARP VLAN Registration Protocol (GVRP) ................559 12.2.1.9 VLAN interdits........................560 12.2.1.10 Mode tunnel VLAN 0......................560 12.2.1.11 Avantages et inconvénients de l'utilisation de VLAN............561 12.2.2 Configuration de VLAN..................... 563 12.2.2.1 Ajout ou édition d'un VLAN statique .................
Page 16 Sommaire 13.3.1.2 Serveur NTP........................599 13.3.1.3 Client NTP........................600 13.3.1.4 Authentification NTP ......................600 13.3.2 Configuration d'un client NTP ................... 600 13.3.2.1 Activation du service NTP ....................601 13.3.2.2 Configuration d'un serveur NTP ..................602 13.3.2.3 Activation d'un serveur NTP....................603 13.3.2.4 Modification de la version NTP..................
Page 17 Sommaire 14.2.3 Exemples de configuration ....................635 14.2.3.1 Configuration de l'adhésion à des groupes multicast via GMRP .......... 636 14.3 IGMP Snooping ........................ 637 14.3.1 Ce qu'il faut savoir sur IGMP Snooping................637 14.3.1.1 Modes IGMP ........................638 14.3.1.2 Filtrage/réduction du trafic de données multicast.............. 638 14.3.1.3 IGMP Snooping Querier....................
Page 18 Sommaire 15.3.1.3 Composants Syslog ......................666 15.3.1.4 Connexion à distance....................... 666 15.3.1.5 Filtre d'évènements......................666 15.3.1.6 Répudiation ........................667 15.3.2 Configuration de la journalisation système ............... 667 15.3.2.1 Paramétrage du format de l'horodatage ................668 15.3.2.2 Filtrage du journal d'incidents ..................669 15.3.3 Configuration de la journalisation système distante ............
Page 19 Sommaire 15.5.5.2 Activation de l'authentification SMTP................718 15.5.6 Affichage de l'état de SMTP ....................718 15.5.7 Exemples de configuration ....................719 15.5.7.1 Configuration de SMTP pour l'envoi de notifications d'évènements ........719 15.6 Réplication de trafic de données ..................720 15.6.1 Ce qu'il faut savoir sur la réplication du trafic de données..........
Page 20 Sommaire Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 21 Avant-propos Ce document décrit comment configurer et gérer SINEC OS. Le document s'adresse au personnel de l'assistance technique des réseaux qui sont familiers de l'exploitation de réseaux. Il est également recommandé pour les concepteurs de réseaux et systèmes ainsi qu'aux programmeurs de systèmes et techniciens de réseaux.
Page 22 Avant-propos 1.2 Configuration système requise/recommandée Formatage des commandes Les commandes CLI sont représentées dans ce document selon les règles de syntaxe suivantes : Convention Description Exemple Police Toutes les commandes, les paramètres Commande Paramètre Valeur et options sont représentés avec une po‐ lice non proportionnelle.
Page 23 Pour garantir la sécurité des installations, systèmes, machines et réseaux contre les cybermenaces, il est nécessaire de mettre en œuvre - et de maintenir en permanence - un concept de cybersécurité global et de pointe. Les produits et solutions de Siemens constituent une partie de ce concept.
Page 24 Avant-propos 1.7 Documents complémentaires Marques déposées Les désignations suivantes ainsi que d'autres désignations qui ne sont éventuellement pas repérées par le symbole de marque déposée ®, sont des marques déposées de Siemens AG : • RUGGEDCOM • SCALANCE • SINEC Linux® est la marque déposée de Linus Torvalds aux États-Unis et dans d'autres pays.
Page 25 Avant-propos 1.7 Documents complémentaires Manuels Titre du document Lien Manuel de configuration de l'interface utilisateur Consultez l'un des liens suivants : Web SINEC OS • SCALANCE XCH-300 (https:// support.industry.siemens.com/cs/ww/en/ps/ 29449/man) • SCALANCE XCM-300 (https:// support.industry.siemens.com/cs/ww/en/ps/ 29448/man) • SCALANCE XRH-300 (https:// support.industry.siemens.com/cs/ww/en/ps/ 29451/man) •...
Page 26 2226) ou contactez un représentant commercial Siemens. Service après-vente Le service se tient la disposition des clients Siemens- 24 heures sur 24, 7 jours sur 7. Pour l'assistance technique ou des informations générales, contactez Siemens par l'un des moyens suivants : En ligne Consultez (https://www.siemens.com/automation/support-request), pour nous...
Page 27 Introduction Bienvenue dans le manuel de configuration CLI SINEC OS. Ce document explique comment configurer votre appareil via l'interface de ligne de commande SINEC OS (Command Line Interface, CLI). Fonctions et avantages Vous trouverez ci-après une description des nombreuses fonctions de SINEC OS et de ses avantages : •...
Page 28 à des scripts de commande. Pour plus d'informations sur l'utilisation de NETCONF voir "NETCONF pour SINEC OS Manuel de référence (https://support.industry.siemens.com/cs/ww/fr/view/109814712)". Pour plus d'informations sur la configuration de sessions NETCONF sous SINEC OS, voir "Configuration de l'interface utilisateur NETCONF (Page 94)".
Page 29 Introduction 2.1 Fonctions et avantages • Media Redundancy Protocol (MRP) Le Media Redundancy Protocol (MRP) est un protocole non propriétaire selon la norme CEI 62439-2 qui assure une communication sans boucle et la reconfiguration d'un réseau en cas de panne. MRP permet de réaliser des topologies en anneau avec PROFINET. En cas d'interruption de la chaîne de communication, la communication est maintenue via un chemin redondant.
Page 30 Pour plus d'informations, voir Industrial Security (https://www.siemens.com/ industrialsecurity). • Consultez la documentation utilisateur des autres produits Siemens que vous utilisez avec l'appareil pour voir s'ils contiennent d'autres recommandations de sécurité. Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 31 Introduction 2.2 Recommandations de sécurité des données • Veillez, à l'aide de la journalisation à distance, à ce que les journaux système soient transmis à un serveur de syslog central. Veillez à ce que le serveur se trouve dans un réseau protégé et vérifiez régulièrement dans les journaux l'absence de violations de sécurité...
Page 32 • Utilisez des certificats au format "PKCS #12", protégés par mot de passe. • Utilisez des certificats possédant une longueur de clé de 4096 bits. • Avant de retourner l'appareil à Siemens pour réparation, remplacez les clés et certificats courants par des clés et certificats temporaires jetables que vous pourrez détruire lorsque l'appareil vous sera retourné.
Page 33 Introduction 2.2 Recommandations de sécurité des données Protocoles sûrs/peu sûrs • Utilisez des protocoles sûrs si l'appareil n'est pas sécurisé par des mesures de protection physiques. • Désactivez ou limitez la mise en œuvre de protocoles non sûrs. Certains protocoles sont effectivement sûrs (par ex, HTTPS, SSH, 802.1X, etc.), d'autre en revanche n'ont pas été...
Page 34 ProductCERT Security Advisories (https://www.siemens.com/cert/en/cert-security- advisories.htm). Vous obtiendrez des mises à jour des Security Advisories pour produits Siemens en vous connectant au flux RSS de la page Web ProductCert Security Advisories ou en suivant @ProductCert sur Twitter. • Activez uniquement les services qui sont utilisés sur l'appareil, y compris les ports physiques.
Page 35 Introduction 2.3 Capacités fonctionnelles Administration système Fonction Valeur limite Utilisateurs Nombre d'utilisateurs Sessions Nombre de sessions CLI Nombre de sessions NETCONF Nombre de sessions SNMP Nombre de sessions d'interface utilisateur Web Taille de tampon (Octets) par session SSH 16834 Sécurité des données Fonction Valeur limite Clés et certificats...
Page 36 Introduction 2.3 Capacités fonctionnelles Découverte de réseau et gestion Fonction Valeur limite SNMP Nombre de paramètres cibles Nombre de cibles Nombre de notifications Nombre de communautés Nombre de vues Nombre de groupes Nombre d'utilisateurs Nombre d'entrées ARP Contrôle et classification de trafic de données Fonction Valeur limite VLAN...
Page 37 Introduction 2.4 Services disponibles Services disponibles La liste ci-après récapitule tous les protocoles et services disponibles ainsi que leurs ports qui permettent d'accéder à l'appareil, y compris les informations ci-après : • Service Service pris en charge par l'appareil. • Protocole Protocole utilisé par le service. •...
Page 38 Introduction 2.5 Droits d’accès Serveur Service Protoco‐ Numéro de État de ser‐ Service Numéro de Authentifica‐ Cryptage port par dé‐ veur configurable port configu‐ tion faut par défaut rable local EtherNet/IP 2222 et quatre Disabled ✓ ports dans la plage 49152 à 65535 44818 Disabled...
Page 39 Introduction 2.5 Droits d’accès Le tableau ci-après montre les droits d'accès de base des profils utilisateurs. Les dérogations sont décrites dans des tableaux distincts. Droits d’accès par profil d'utilisateur Admin Guest Toutes les actions Toutes les données de configura‐ R/C/U/D tion Toutes les données opérationnel‐...
Page 40 Introduction 2.6 Configuration d'appareil Le tableau ci-après montre les droits d'accès à des commandes CLI générales. Commande Droits d’accès par profil d'utilisateur Admin Guest exit help send admin terminal history config config exclusive commit resolved rollback show configuration show full-configuration show history validate Configuration d'appareil SINEC OS prend en charge un concept de configuration en deux étapes, selon lequel la...
Page 41 Introduction 2.6 Configuration d'appareil et sont enregistrées dans la mémoire de données Candidate. Elles n'ont pas d'effet sur la configuration en cours d'exécution. Au cours de cette étape de configuration, vous pouvez consulter les modifications de la configuration et la configuration en cours d'exécution. Vous pouvez par ailleurs afficher l'aspect qu'aura la configuration cible après sa validation.
Page 42 Introduction 2.7 Modes CLI Si des conflits surviennent lors de la validation des modifications de la configuration, aucune des modifications n'est appliquée. La configuration en cours d'exécution reste inchangée. Vous pouvez faire afficher les conflits par la commande Validate, voir "Commandes générales en mode de configuration (Page 48)".
Page 43 Introduction 2.7 Modes CLI Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 44 Introduction 2.7 Modes CLI Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 45 Interface utilisateur Ce chapitre indique comment utiliser l'Interface de ligne de commande SINEC OS (Command Line Interface, CLI). Commandes de base Ce chapitre décrit des commandes de base de la configuration avec la CLI. Ces commandes sont affectées aux modes CLI. 3.1.1 Commandes générales Utilisez les commandes suivantes pour exécuter les fonctions CLI de base.
Page 46 Interface utilisateur 3.1 Commandes de base Commande Description Affiche lle mode/contexte courant. La barre oblique inverse \ indique la structure des modes/contextes CLI. La CLI se trouve dans le mode/contexte qui est indiqué après la dernière barre oblique. Si vous exécutez la commande exit, la CLI passe au mode/contexte qui précède la dernière barre oblique.
Page 47 Interface utilisateur 3.1 Commandes de base Commande Description show configuration commit Affiche les modifications de configuration qui ont été validées pour l'entrée sélectionnée. changes { Numéro } Si vous entrez un "0", ce sont les dernières modifications de configuration qui sont affi‐ chées.
Page 48 Interface utilisateur 3.1 Commandes de base 3.1.2 Commandes générales en mode de fonctionnement Pour exécuter les commandes ci-après, vous devez vous trouver en mode de fonctionnement. Commande Description clear counters Efface les compteurs de toutes les interfaces. Efface les compteurs des interfaces sélectionnées. clear counters { interface } Passe en mode de configuration.
Page 49 Interface utilisateur 3.1 Commandes de base Commande Description exit [ configuration- Quitte le mode courant. Si vous ne spécifiez pas de paramètre, c'est le paramètre level qui sera utilisé. mode | level | no-confirm ] Vous pouvez exécuter la commande avec les paramètres suivants : •...
Page 50 Interface utilisateur 3.1 Commandes de base Commande Description resolved Si des conflits surviennent lors de la validation des modifications de la configuration, un message d'erreur s'affiche. Vous disposez des options suivantes pour traiter les conflits : • Avant de pouvoir valider les modifications, vous devez remédier aux conflits. –...
Page 51 Interface utilisateur 3.1 Commandes de base Commande Description rollback Restaure une version antérieure de la configuration. Pour plus d'informations, voir "Restauration d'une configuration (Rollback) (Page 60)". show configuration Affiche des modifications de la configuration non validées. Les commandes affichées sont celles qui seront exécutées si vous validez les modifications. Si vous exécutez la commande dans un contexte, seules les modifications non validées de la configuration concernant ce contexte seront affichées.
Page 52 Interface utilisateur 3.1 Commandes de base Commande Description show configuration merge Montre à quoi ressemblera la configuration lorsque les modifications de la configuration seront validées. Seules seront affichées les modifications de la configuration qui sont différentes des paramètres par défaut. Si vous exécutez la commande dans un contexte, seule la configuration concernant ce contexte sera affichée.
Page 53 Interface utilisateur 3.2 Transactions de configuration Commande Description show full-configuration Montre à quoi ressemblera la configuration lorsque les modifications de la configuration seront validées. Seules seront affichées les modifications de la configuration qui sont différentes des paramètres par défaut. Si vous exécutez la commande dans un contexte, seule la configuration concernant ce contexte sera affichée.
Page 54 Interface utilisateur 3.2 Transactions de configuration 3.2.1 Sélection d'un mode de configuration Vous pourrez alterner pour la configuration entre un mode configuration partagée et un mode configuration exclusive. • Mode configuration partagée Plusieurs utilisateurs peuvent accéder à l'appareil. Toutes les modifications sont occultées pour les autres utilisateurs tant qu'elles n'ont pas été...
Page 55 Interface utilisateur 3.2 Transactions de configuration lldp hold exit Exemple Dans cet exemple, la configuration courante est affichée par LLDP avec les valeurs par défaut : localhost# show running-config lldp | details lldp tx-interval hold reinit-delay 1 tx-delay exit 3.2.3 Utilisation de la commande no La forme no d'une commande permet de désactiver une fonction, de supprimer une entrée ou de rétablir la valeur par défaut d'un paramètre.
Page 56 Interface utilisateur 3.2 Transactions de configuration switch vlan 1 name vlan1 no igmp-snooping enabled exit vlan 2 name VLAN2 no igmp-snooping enabled exit exit Exemple Dans cet exemple, la fonction NTP global est désactivée : localhost# show running-config system time-sync ntp enabled system time-sync enabled...
Page 57 Interface utilisateur 3.2 Transactions de configuration localhost(config)# no lldp tx-interval localhost(config)# commit Commit complete. localhost(config)# end localhost# show running-config lldp tx-interval lldp tx-interval 5 exit 3.2.4 Validation des modifications de la configuration (Commit) Pour valider des modifications de la configuration, utilisez la commande commit. Vous n'êtes pas obligé...
Page 58 Interface utilisateur 3.2 Transactions de configuration Commande Description commit confirmed Valide temporairement les modifications de configuration pour une période donnée afin de pouvoir tester une configuration. { période en minutes } Uniquement disponible en mode de configuration exclusif. Seuls les utilisateurs possédant le profil utilisateur admin sont habilités à valider des modifications de la configuration.
Page 59 Interface utilisateur 3.2 Transactions de configuration 3. L'utilisateur 1 valide ses modifications. Les modifications sont appliquées. Le nouveau nom d'hôte est webui-private. 4. L'utilisateur 2 valide ses modifications. Les modifications sont rejetées. La seconde validation est rejetée. Deux utilisateurs en mode configuration partagée violent une règle de configuration 1.
Page 60 Interface utilisateur 3.2 Transactions de configuration 3.2.5 Restauration d'une configuration (Rollback) Avant la validation des modifications de la configuration, un horodatage est créé pour sauvegarder la configuration courante avant sa modification. Il en résulte une liste continue de configurations que vous pouvez restaurer. La configuration précédant la dernière modification validée figure dans la liste comme élément "0".
Page 61 Interface utilisateur 3.2 Transactions de configuration Configuration de base pour les exemples La configuration de base suivante est utilisée pour les exemples : • Le nom d'hôte a été remplacé par : SWITCH-VPM6002848 • Pour l'interface VLAN vlan1 nous avons configuré l'ID du client DHCP sys-name. •...
Page 62 Interface utilisateur 3.2 Transactions de configuration exit SWITCH-VPM6002848# show configuration rollback changes 2 lldp no hold 8 exit dhcp client ipv4 vlan1 client-id mac-address exit exit exit system hostname localhost exit Exemple Dans cet exemple, on se propose, partant de la configuration de base, de restaurer la configuration "2"...
Page 63 Interface utilisateur 3.3 Opérations de base Exemple Dans cet exemple, on se propose, partant de la configuration de base, de restaurer la configuration "2" avec le paramètre selective, c.-à-d. que seules les modifications de la configuration"2" seront annulées. Ce qui signifie dans cet exemple que seule la modification du nom d'hôte sera annulée : SWITCH-VPM6002848# config SWITCH-VPM6002848(config)# rollback selective 2...
Page 64 Interface utilisateur 3.3 Opérations de base Suppression de caractères Action Touche/Raccourci Supprimer le caractère précédant le curseur [Ctrl] + [H], [Suppr] ou retour arrière Supprimer le caractère sélectionné [Ctrl] + [D] Supprime la ligne de commande [Ctrl] + [U] r [Ctrl] + [X] Supprimer tous les caractères du curseur à...
Page 65 Interface utilisateur 3.3 Opérations de base Afficher les commandes saisies précédemment Action Touche/Raccourci Afficher la commande précédente de l'historique des commandes [Ctrl] + [P] ou touche fléchée vers le haut Afficher la commande suivante de l'historique des commandes [Ctrl] + [N] ou touche fléchée vers le bas Rechercher des commandes dans l'historique des commandes [Ctrl] + [R]...
Page 66 Interface utilisateur 3.3 Opérations de base • 0x5B - 0x60 [ \ ] ^ _ ` • 0x7B - 0x7E { | } ~ 3.3.3 Utilisation d'expressions régulières Les expressions régulières sont un modèle de recherche généralisé pour les chaînes de caractères, permettant de rechercher des correspondances dans les chaînes de caractères. Elles vous permettent de vérifier que des commandes affichées sont conformes à...
Page 67 Interface utilisateur 3.3 Opérations de base Caractère Description Exemple Alternative. Correspond à la première ou deuxième chaîne de abc | def caractères. Cet exemple permet de trouver tous les caractères "abc" ou "def". Le caractère qui précède survient au moins une fois. L'exemple permet de trouver p.
Page 68 Interface utilisateur 3.3 Opérations de base Exemple avec un paramètre Les exemples ci-après illustrent deux méthodes qui permettent d'ajouter un VLAN statique et d'attribuer un nom. Les deux méthodes se soldent par le même résultat. Vous pouvez saisir une commande avec tous les paramètres en une fois et l'exécuter. localhost# config localhost(config)# switch vlan 8 name subst8 localhost(config-switch-vlan-8)#...
Page 69 Interface utilisateur 3.3 Opérations de base Exemple de script Les commandes CLI suivantes créent la configuration ci-après : • Serveur NTP – 192.168.113.10 – burst – iburst • Keystore – Paire de clés AK1 – Certificat CN1 • Truststore – Portefeuille de certificats BN1 –...
Page 70 Interface utilisateur 3.3 Opérations de base Exemple Dans cet exemple, le script préalablement rédigé est collé dans la CLI puis exécuté automatiquement. localhost# config Entering configuration mode terminal localhost(config)# system time-sync ntp enabled unicast- configuration ipv4 192.168.113.10 burst iburst localhost(config-ipv4-192.168.113.10)# system certificates local asymmetric-key AK1 localhost(config-asymmetric-key-AK1)# public-key-format subject- public-key-info-format...
Page 71 Interface utilisateur 3.3 Opérations de base Une URL est composée comme suit : • Protocole Les protocoles suivants sont pris en charge : – FTP – SFTP Pour établir une connexion à un serveur SFTP, il faut que l'empreinte de la clé publique soit enregistrée dans le Truststore de l'appareil.
Page 72 Interface utilisateur 3.3 Opérations de base • Port Le port ne doit être spécifié que si vous ne voulez pas utiliser le port par défaut : Protocole Port par défaut Port TCP 21 SFTP Port TCP 22 TFTP Port UDP 69 HTTP Port TCP 80 •...
Page 73 Interface utilisateur 3.3 Opérations de base 3.3.8 Indication d'une Durée Pour indiquer une durée, composez les éléments requis de l'indication de durée (année à seconde) avec les caractères séparateurs voulus. Le format de la durée est nYnMnDnhnmns. Les diverses indications de temps et les caractères séparateurs sont définis comme suit : •...
Page 74 Utilisez "?" pour afficher une liste des fonctions disponibles. Exemple localhost# show lldp local-system-data LLDP local-system-data Local System Name localhost Local System Description Siemens, SIMATIC NET, ... Local Device ID 20:87:56:8c:94:09 Local Chassis ID Subtype macAddress Capabilities Enabled bridge 3.3.10 Utilisation de caractères génériques pour indiquer des interfaces dans les...
Page 75 Interface utilisateur 3.3 Opérations de base 3.3.11 Sélection multiple d'interfaces Utilisez la sélection multiple d'interfaces pour les actions suivantes : • Pour configurer à l'identique plusieurs ports de pont. • Pour créer et configurer simultanément à l'identique plusieurs VLAN statiques. • Pour afficher la configuration de plusieurs interfaces avec la commande show. Indiquez les interfaces voulues puis exécutez les commandes de configuration des interfaces sélectionnées.
Page 76 Interface utilisateur 3.3 Opérations de base localhost(config-switch-vlan-10,17-19)# Exemple Cet exemple montre que la sélection multiple d'interfaces n'est pas utilisable pour la création d'interfaces VLAN. localhost# config localhost(config)# interface vlan6-9 Error: no matching instances found localhost(config)# Exemple Cet exemple présente l'exécution d'une commande show pour les interfaces ethernet0/2, ethernet0/3 et ethernet0/6 à...
Page 77 Interface utilisateur 3.3 Opérations de base 3.3.12 Adaptation de l'affichage d'une commande Les données affichées par une commande CLI peuvent être adaptées et filtrées de différentes manières. Pour adapter un affichage, entrez la commande CLI | suivie d'un paramètre d'adaptation. Vous pouvez combiner plusieurs paramètres d'adaptation. Il faut pour ce faire que chaque paramètre d'adaptation débute par un |.
Page 78 Interface utilisateur 3.3 Opérations de base Pour certaines adaptations, vous pouvez utiliser des expressions régulières. Pour plus d'informations sur les expressions régulières, voir "Utilisation d'expressions régulières (Page 66)". Commande Description begin { Texte } L'affichage débute par la ligne qui contient le texte indiqué. Des expressions régulières peuvent être utilisées pour cette adaptation.
Page 79 Interface utilisateur 3.3 Opérations de base Commande Description context-match Affiche uniquement les lignes qui contiennent le texte indiqué. Les données de niveau supérieur sont également affichées. Des expressions régulières peuvent être utilisées pour cette adaptation. { Texte } Exemple : localhost# show running-config dhcp dhcp client ipv4 vlan1...
Page 80 Interface utilisateur 3.3 Opérations de base Commande Description de-select La colonne indiquée n'est pas affichée. Pour pouvoir utiliser ces paramètres d'adaptation, il faut que l'affichage s'effectue sous forme de tableau. Utilisez par conséquent d'abord le paramètre d'adapta‐ { Colonne } tion tab. Exemple : localhost# show dhcp client ipv4 bindings PREFIX...
Page 81 Interface utilisateur 3.3 Opérations de base Commande Description display Options d'affichage disponibles : [ curly-braces • curly-braces - Affichage avec accolades | json | • json - Affichage au format JSON keypath | xml | xpath ] • keypath - Affichage avec indications de chemin •...
Page 82 Interface utilisateur 3.3 Opérations de base Commande Description force Si vous passez en mode configuration exclusive alors qu'un autre utilisateur se trouve déjà en mode configuration exclusive, vous pouvez utiliser ce paramètre d'adaptation pour terminer le mode confi‐ guration exclusive de l'autre utilisateur. Exemple : Dans l'exemple ci-après admin2 se trouve en mode configuration exclusive.
Page 83 Interface utilisateur 3.3 Opérations de base Commande Description include [ -a | Affiche uniquement les lignes qui contiennent le texte indiqué. Les données de niveau supérieur ne sont pas affichées automatiquement. Vous pouvez afficher les données de niveau supérieur avec l'un des -b | -c ] { Texte } paramètres ci-après :...
Page 84 Interface utilisateur 3.3 Opérations de base Commande Description linnum Numérote les lignes de l'affichage. Exemple : localhost# show running-config dhcp | linnum 1: dhcp client ipv4 vlan1 client-id sys-name lease 06:40 hostname exit ipv4 vlan2 client-id name-of-station lease 10:00 hostname exit exit 17: exit Tous les filtres définis doivent s'appliquer.
Page 85 Interface utilisateur 3.3 Opérations de base Commande Description notab Bloque l'affichage sous forme de tableau. Exemple : localhost# show system firmware versions SOFTWARE VERSION DATE ------------------------------------------------------------ Running SINEC OS Firmware V02.00.00.00 2021-06-01_00:00:00 Backup SINEC OS Firmware V02.00.00.00 2021-06-01_00:00:00 Running after Restart V02.00.00.00 2021-06-01_00:00:00 Bootloader V02.00.00.00...
Page 86 Interface utilisateur 3.3 Opérations de base Commande Description sort-by Trie l'affichage en fonction du paramètre spécifié. Exemple : localhost# show running-config dhcp client ipv4 vlan* | tab | sort-by lease NAME OF INTERFACE HOSTNAME LEASE ADDRESS NAME STATION STRING --------------------------------------------------------------- vlan7 true 02:00 vlan1 true...
Page 87 Interface utilisateur 3.3 Opérations de base Commande Description Force l'affichage sous forme de tableau. Exemple : localhost# show running-config dhcp client ipv4 vlan* dhcp client ipv4 vlan1 client-id sys-name lease 06:40 hostname exit dhcp client ipv4 vlan2 client-id name-of-station lease 10:00 hostname exit exit exit...
Page 88 Interface utilisateur 3.3 Opérations de base Commande Description until { Texte } Affiche toutes les lignes jusqu'à la ligne qui contient le texte spécifié. Des expressions régulières peuvent être utilisées pour cet affichage. Exemple : localhost# show running-config dhcp dhcp client ipv4 vlan1 client-id sys-name lease 01:00:00 hostname...
Page 89 Interface utilisateur 3.3 Opérations de base • Indiquez à combien de caractères du mot-clé les indications de la plage doivent s'appliquer en commençant par le premier caractère du mot-clé. L'indication [A-F]{6}* signifie que seuls sont affichés les éléments clés dont les 6 premiers caractères se trouvent dans la plage A-F.
Page 90 Interface utilisateur 3.4 Commandes d'aide -------------------------------------------------------------------- LED A Type: Red enabled Commandes d'aide Ce chapitre décrit des commandes qui vous aident à utiliser la CLI. 3.4.1 Affichage de toutes les options qui existent pour une commande La syntaxe d'une commande comprend les paramètres requis et les paramètres facultatifs. Pour afficher les options de commande exécutables, entrez un point d'interrogation ? directement à...
Page 91 Interface utilisateur 3.4 Commandes d'aide Exemple Dans cet exemple, on configure la date et l'heure système. La commande ? est utilisée pour afficher les paramètres qui doivent être à présent spécifiés. localhost# system clock set-current-datetime ? Possible completions: date The system date in the form of YYYY-MM-DD. time The system time in hours (24-hour clock), ...
Page 92 Interface utilisateur 3.5 Configuration des interfaces utilisateur Exemple Cet exemple illustre une complétion simple Si les premières lettres d'une commande sont univoques, la commande est autocompétée. localhost# con[Tabulateur] localhost# config Exemple Cet exemple affiche une liste de compléments possibles. Si les premières lettres concordent avec plusieurs commandes possibles, une liste des compléments possibles s'affiche.
Page 93 Interface utilisateur 3.5 Configuration des interfaces utilisateur • Web UI HTTPS • NETCONF SSH • SNMP Pour plus d'informations sur la configuration de l'interface utilisateur SNMP, voir "Configuration de l'agent SNMP (Page 514)". Il n'est possible de définir qu'un seul nœud d'extrémité de serveur par interface utilisateur et protocole.
Page 94 Interface utilisateur 3.5 Configuration des interfaces utilisateur Nœud d'extrémité Par défaut Nœud d'extrémité activé Adresse IP 0.0.0.0 Port 3.5.1 Configuration de l'interface utilisateur NETCONF Pour configurer l'interface utilisateur NETCONF, procédez comme suit : 1. Activez l'interface utilisateur NETCONF. Pour plus d'informations, voir "Activation de l'interface utilisateur NETCONF (Page 94)". 2.
Page 95 Interface utilisateur 3.5 Configuration des interfaces utilisateur localhost(config)# system management-services netconf enabled localhost(config-netconf)# commit Commit complete. localhost(config-netconf)# end localhost# show running-config system management-services netconf enabled system management-services netconf enabled exit exit exit 3.5.1.2 Modification du timeout d'inactivité pour NETCONF Lorsque le timeout d'inactivité est écoulé, le serveur termine automatiquement la session NETCONF.
Page 96 Interface utilisateur 3.5 Configuration des interfaces utilisateur Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services netconf idle- timeout Exemple localhost# config localhost(config)# system management-services netconf idle-timeout localhost(config-netconf)# commit Commit complete. localhost(config-netconf)# end localhost# show running-config system management-services netconf idle-timeout system management-services...
Page 97 Interface utilisateur 3.5 Configuration des interfaces utilisateur Pour configurer un nœud d'extrémité de serveur, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez pour un nœud d'extrémité de ser‐ system management-services veur l'adresse IP et le port. netconf endpoint default ssh tcp ipv4 { Adresse IP } port [ 830, Adresse IP par défaut : 0.0.0.0...
Page 98 Interface utilisateur 3.5 Configuration des interfaces utilisateur 3.5.1.4 Modification de la procédure d'échange de clés SSH pour un nœud d'extrémité de serveur NETCONF Lors de l'établissement d'une connexion SSH un échange de clés a lieu pour échanger et générer des clés de session à des fins d'authentification et de cryptage. La procédure d'échange de clés détermine la force de la clé.
Page 99 Interface utilisateur 3.5 Configuration des interfaces utilisateur Pour modifier la procédure d'échange de clés SSH pour un nœud d'extrémité de serveur NETCONF, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez la procédure d'échange de clés SSH system management-services pour un nœud d'extrémité...
Page 100 Interface utilisateur 3.5 Configuration des interfaces utilisateur localhost(config)# system management-services netconf endpoint default ssh ssh transport-params key-exchange-alg diffie-hellman- group14-sha1 localhost(config-transport-params)# commit Commit complete. localhost(config-transport-params)# end localhost# show running-config system management-services netconf endpoint default ssh ssh transport-params key-exchange-alg system management-services netconf endpoint default transport-params key-exchange-alg [ curve25519-sha256 diffie-hellman-group16- sha512 ecdh-sha2-nistp256 diffie-hellman-group14-sha1 ]...
Page 101 Interface utilisateur 3.5 Configuration des interfaces utilisateur Exemple localhost# config localhost(config)# system management-services netconf endpoint default enabled localhost(config-netconf-endpoint-default)# commit Commit complete. localhost(config-netconf-endpoint-default)# end localhost# show running-config system management-services netconf endpoint default enabled system management-services netconf endpoint default enabled exit exit exit exit 3.5.2 Configuration de l'interface utilisateur CLI...
Page 102 Interface utilisateur 3.5 Configuration des interfaces utilisateur 3.5.2.1 Modification du timeout d'inactivité pour les sessions CLI Lorsque le timeout d'inactivité est écoulé, le serveur termine automatiquement la session CLI. La valeur vaut également pour les sessions pour lesquelles vous accédez à la CLI via une connexion série.
Page 103 Interface utilisateur 3.5 Configuration des interfaces utilisateur Commit complete. localhost(config-cli)# end localhost# show running-config system management-services cli idle- timeout system management-services idle-timeout exit exit exit 3.5.2.2 Configuration d'un nœud d'extrémité de serveur pour la CLI Configurez l'adresse IP locale et le port, via lesquels un nœud d'extrémité de serveur traite des requêtes CLI.
Page 104 Interface utilisateur 3.5 Configuration des interfaces utilisateur Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services cli endpoint default Exemple localhost# config localhost(config)# system management-services cli endpoint default ssh tcp ipv4 192.168.1.1 port 6022 localhost(config-cli-endpoint-default)# commit Commit complete.
Page 105 Interface utilisateur 3.5 Configuration des interfaces utilisateur La procédure d'échange de clés détermine la force de la clé. La force et la sécurité de la clé sont d'autant plus importantes que le numéro du groupe Diffie-Hellman est élevé. Une clé plus forte exige cependant aussi plus de temps et de puissance de calcul. Remarque Vous trouverez la correspondance des courbes elliptiques aux groupes Diffie-Hellman ici : Internet Key Exchange Version 2 (IKEv2) Parameters...
Page 106 Interface utilisateur 3.5 Configuration des interfaces utilisateur Opé‐ Instruction Commande ration Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services cli endpoint default ssh ssh transport-params key-exchange-alg Exemple Dans cet exemple, on configure en plus la procédure d'échange de clés diffie-hellman- group14-sha1.
Page 107 Interface utilisateur 3.5 Configuration des interfaces utilisateur Seuls les utilisateurs possédant le profil utilisateur admin sont habilités à activer un nœud d'extrémité de serveur. Remarque Si vous désactivez le nœud d'extrémité de serveur de la CLI, vous pouvez continuer à accéder à la CLI via l'interface de la console USB.
Page 108 Interface utilisateur 3.5 Configuration des interfaces utilisateur 3.5.2.5 Configuration de l'environnement CLI local Pour exécuter les commandes ci-après, vous devez vous trouver en mode de fonctionnement. Entrez la commande terminal suivie de l'une des commandes ci-après. Commande Description Timeout en secondes après lequel la session CLI est automatiquement idle-timeout { 0 - 4294967 } terminée...
Page 109 Interface utilisateur 3.5 Configuration des interfaces utilisateur 5. Configurez un nœud d'extrémité de serveur HTTPS pour la iWeb UI. Pour plus d'informations, voir "Configuration d'un nœud d'extrémité de serveur HTTPS pour la Web UI (Page 113)". 6. Activez un nœud d'extrémité de serveur HTTPS pour la Web UI. Pour plus d'informations, voir "Activation d'un nœud d'extrémité...
Page 110 Interface utilisateur 3.5 Configuration des interfaces utilisateur 3.5.3.2 Modifiez le timeout d'inactivité des sessions Web UI. Lorsque le timeout d'inactivité est écoulé, le serveur termine automatiquement la session Web UI. Remarque Si vous modifiez le timeout d'inactivité, la modification ne s'applique qu'aux nouvelles sessions de la Web UI.
Page 111 Interface utilisateur 3.5 Configuration des interfaces utilisateur exit exit exit 3.5.3.3 Configuration d'un nœud d'extrémité de serveur HTTP pour la Web UI Configurez l'adresse IP locale et le port, via lesquels un nœud d'extrémité de serveur HTTP traite des requêtes Web UI. IMPORTANT Risque de configuration - Risque de coupure de la liaison Si l'appareil obtient son IP dynamiquement par DHCP, tenez compte de ce qui suit : Si l'adresse IP que l'appareil obtient par DHCP ne concorde pas avec l'adresse IP que vous...
Page 112 Interface utilisateur 3.5 Configuration des interfaces utilisateur localhost(config-webui-endpoint-unsecure)# commit Commit complete. localhost(config-webui-endpoint-unsecure)# end localhost# show running-config system management-services webui endpoint unsecure system management-services webui endpoint unsecure http port 8080 ipv4 192.168.1.1 exit exit exit exit exit exit 3.5.3.4 Activation d'un nœud d'extrémité de serveur HTTP pour la Web UI Le nœud d'extrémité...
Page 113 Interface utilisateur 3.5 Configuration des interfaces utilisateur localhost# show running-config system management-services webui endpoint unsecure enabled system management-services webui endpoint unsecure enabled exit exit exit exit 3.5.3.5 Configuration d'un nœud d'extrémité de serveur HTTPS pour la Web UI Configurez l'adresse IP locale et le port, via lesquels un nœud d'extrémité de serveur HTTPS traite des requêtes Web UI.
Page 114 Interface utilisateur 3.5 Configuration des interfaces utilisateur Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services webui endpoint secure Exemple localhost# config localhost(config)# system management-services webui endpoint secure https tcp ipv4 192.168.1.1 port 5443 localhost(config-webui-endpoint-secure)# commit Commit complete.
Page 115 Interface utilisateur 3.5 Configuration des interfaces utilisateur Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services webui endpoint secure enabled Exemple localhost# config localhost(config)# system management-services webui endpoint secure enabled localhost(config-webui-endpoint-secure)# commit Commit complete. localhost(config-webui-endpoint-secure)# end localhost# show running-config system management-services webui endpoint secure enabled...
Page 116 Interface utilisateur 3.5 Configuration des interfaces utilisateur Opé‐ Instruction Commande ration Passez au niveau Top Pour pouvoir utiliser le certificat chargé, redé‐ no system management-services marrez le nœud d'extrémité de serveur HTTPS. webui endpoint secure enabled Désactivez le nœud d'extrémité de serveur HTTPS.
Page 117 Pour pouvoir utiliser l'interface de console USB sous Windows, installez le pilote sur le PC client. Vous pouvez télécharger le pilote sur SIOS (https://support.industry.siemens.com/cs/at/en/ view/109798927). • Sur le PC client, un logiciel de terminal est disponible pour établir des connexions série.
Page 118 Prise en main 4.1 Appel de la CLI Établir une connexion à un appareil Pour accéder à la CLI, procédez comme suit : 1. Dans le logiciel de terminal, définissez les paramètres de connexion suivants : Type de connexion Série Vitesse de transmission 115200 Débit binaire 8 bits Parité...
Page 119 Prise en main 4.2 Connexion Établir une connexion à un appareil Pour accéder à la CLI, procédez comme suit : 1. Dans le logiciel de terminal, définissez les paramètres de connexion suivants : Type de connexion Adresse IP Adresse IP de l'appareil Port TCP 2.
Page 120 Exemple login as: admin admin@192.168.16.15's password: admin Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG admin connected from 192.168.16.1 using ssh on localhost Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 121 Exemple login as: admin admin@192.168.16.15's password: ******** Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG admin connected from 192.168.16.1 using ssh on localhost localhost# Déconnexion Pour vous déconnecter et fermer la session CLI, exécutez en mode de fonctionnement la commande suivante :...
Page 122 Prise en main 4.4 Paramètres de base 4.4.1 Configuration des paramètres de base Pour configurer les paramètres de base de l'appareil, procédez comme suit : 1. Entrez le nom d'hôte de l'appareil. Pour plus d'informations, voir "Modification du nom d'hôte (Page 122)". 2. Saisissez l'emplacement physique de l'appareil. Pour plus d'informations, voir "Spécification du lieu d'implantation (Page 123)".
Page 123 Prise en main 4.4 Paramètres de base Exemple Dans l'exemple ci-après, le nom d'hôte est modifié en sec01. localhost# config localhost(config)# system hostname sec01 localhost(config-system)# commit Commit complete. sec01(config-system)# end sec01# show running-config system hostname system hostname sec01 exit 4.4.1.2 Spécification du lieu d'implantation Spécifiez le lieu d'implantation pour que les administrateurs trouvent plus facilement l'emplacement physique de l'appareil.
Page 124 Prise en main 4.4 Paramètres de base Procédez comme suit pour saisir un interlocuteur : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Entrez le nom de l'interlocuteur pour l'appa‐ system contact "{ Nom }" reil. system contact(<string, min: 0 Si la chaîne de caractères contient des espa‐...
Page 125 Prise en main 4.4 Paramètres de base Pour configurer manuellement la passerelle par défaut, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez la passerelle par défaut de l'appa‐ routing gateway ipv4 { Adresse reil. L'adresse IPv4 doit se trouver dans un sous- IPv4 } réseau actif.
Page 126 Prise en main 4.4 Paramètres de base Exemple localhost# show system info info hostname localhost info contact "Winston Smith (wsmith@company.com)" info location "telephone case, 3rd floor" localhost# show routing gateway ipv4 routing gateway ipv4 192.168.10.1 exit exit Description Les informations suivantes s'affichent : Paramètres Description info hostname...
Page 127 Gestion de l'appareil Ce chapitre décrit comment gérer le matériel, notamment comment redémarrer ou arrêter l'appareil, gérer le firmware ou les fichiers de configuration. Redémarrage ou arrêt de l'appareil Ce chapitre décrit comment redémarrer et arrêter l'appareil. 5.1.1 Ce qu'il faut savoir sur le redémarrage et l'arrêt de l'appareil Ce paragraphe explique quelles sont les conséquences d'un redémarrage ou d'un arrêt de l'appareil sur les sessions ouvertes, les actions en cours et les modifications de la configuration.
Page 128 Gestion de l'appareil 5.1 Redémarrage ou arrêt de l'appareil There are 1 other active user session(s) which would be killed. Are you sure you want to continue? [no,yes] yes 5.1.1.3 Prise en compte de la validation des modifications de la configuration Si un utilisateur a validé...
Page 129 Gestion de l'appareil 5.2 Restauration des paramètres par défaut de l'appareil Remarque Si vous arrêtez l'appareil par cette commande, vous ne pourrez remettre l'appareil en service que sur site par coupure et rétablissement de l'alimentation (démarrage à froid). Un accès à distance à l'appareil n'est pas possible. Remarque Si vous validez les modifications de la configuration et si, ce faisant, l'appareil est arrêté, contrôlez les modifications de la configuration dès que l'appareil est de nouveau accessible.
Page 130 Gestion de l'appareil 5.3 Mise hors service l'appareil IMPORTANT Risque de configuration - Risque de perte de données Si un CLP est embroché sur l'appareil, le CLP est également réinitialisé. Les licences enregistrées sur le CLP sont également conservées. Remarque Si vous rétablissez les paramètres par défaut de l'appareil, toutes les configurations sont effacées, y compris : •...
Page 131 Remarque Conformez-vous toujours aux spécifications et restrictions publiées à propos d'une version de firmware. Vous trouverez également une liste des publications de firmware de SINEC OS sur SIOS (https://support.industry.siemens.com/cs/search? t=all&search=%22SCALANCE%20XRM-300%22%2C%20%22SCALANCE%20XCM-300%22&typ e=Download&lc=en-DE). 5.4.1 Ce qu'il faut savoir sur la gestion du firmware Les versions de firmware sont gérées via deux partitions.
Page 132 Les données affichées ne se rapportent pas à l'instant où le firm‐ ware ou le chargeur-amorce a été chargé sur l'appareil. 5.4.3 Obtention d'un paquet de firmware Des paquets de firmware valides sont téléchargeables par défaut sur le Siemens Industry Online Support (SIOS (https://support.industry.siemens.com/cs/search? search=%22SINEC%20OS%22&type=Download&lc=en-DE)). Vous pouvez également vous procurer des paquets de firmware auprès du service après-vente Siemens.
Page 133 Gestion de l'appareil 5.4 Firmware Pour obtenir un paquet de firmware via SIOS, procédez comme suit : 1. Téléchargez un paquet de firmware comme décrit sur SIOS. Le paquet de firmware est mis à disposition sous forme de fichier ZIP et contient : –...
Page 134 Gestion de l'appareil 5.4 Firmware Pour charger un fichier de firmware plus récent sur l'appareil, procédez comme suit : Opé‐ Instruction Commande ration Veuillez vous assurer que la documentation show system firmware concorde avec la version actuellement instal‐ lée sur l'appareil. Sélectionnez le paquet de firmware voulu. Pour plus d'informations, voir "Obtention d'un paquet de firmware (Page 132)".
Page 135 Are you sure you want to restart the device? [no,yes] yes login as: admin admin@192.168.16.15's password: ******** Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG admin connected from 192.168.16.1 using ssh on localhost localhost# 5.4.5 Rétrograder le firmware...
Page 136 Gestion de l'appareil 5.4 Firmware Pour charger un ancien fichier de firmware sur l'appareil, procédez comme suit : Opé‐ Instruction Commande ration Veuillez vous assurer que la documentation show system firmware concorde avec la version actuellement instal‐ lée sur l'appareil. Sélectionnez le paquet de firmware voulu. Pour plus d'informations, voir "Obtention d'un paquet de firmware (Page 132)".
Page 137 Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG admin connected from 192.168.16.1 using ssh on localhost The default password must be changed before access to the device is granted.
Page 138 Gestion de l'appareil 5.4 Firmware Dans les cas suivants, vous ne pourrez pas activer le firmware de sauvegarde : • Si, après le chargement d'un fichier de firmware, vous modifiez la configuration et validez les modifications de la configuration. • Si vous avez activé un nouveau firmware en restaurant les paramètres par défaut de l'appareil. Après la restauration des paramètres par défaut, attribuez un nouveau mot de passe.
Page 139 Gestion de l'appareil 5.5 Matériel de l'appareil admin@192.168.16.15's password: ******** Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG admin connected from 192.168.16.1 using ssh on localhost localhost# show system firmware versions Matériel de l'appareil Cette section décrit comment déterminer le profil matériel de l'appareil.
Page 140 Gestion de l'appareil 5.5 Matériel de l'appareil Description Les informations suivantes, dans la mesure où elles sont pertinentes, s'affichent : Paramètres Description class Type du constituant. Une description du constituant description parent Le constituant parent État de fonctionnement du constituant. state oper-state Valeurs possibles : •...
Page 141 Gestion de l'appareil 5.6 Fichier de configuration Fichier de configuration Les paramètres de configuration SINEC OS peuvent être enregistrés et chargés. Vous pouvez enregistrer la configuration de votre appareil et la stocker comme copie de sauvegarde. Vous pouvez charger à nouveau ces copies sur le même appareil pour restaurer une configuration antérieure.
Page 142 Gestion de l'appareil 5.6 Fichier de configuration Remarque Enregistrement le la configuration courante sous forme de fichier sur un serveur SFTP Lors de la première connexion à un serveur SFTP, l'appareil doit enregistrer l'empreinte de la clé publique dans le Truststore. Si l'enregistrement d'un fichier de configuration constitue la première connexion à...
Page 143 Gestion de l'appareil 5.6 Fichier de configuration Opé‐ Instruction Commande ration [Facultatif] Si vous utilisez le password-confirm { Mot de passe } paramètre protected, confirmez le mot de passe. Pour saisir le mot de passe en clair de manière protégée et pas en clair, pressez après password-confirm la touche Entrée.
Page 144 Gestion de l'appareil 5.6 Fichier de configuration Value for 'password' (<string, min: 0 chars, max: 255 chars>): ************ Value for 'password-confirm' (<string, min: 0 chars, max: 255 chars>): ************ Are you sure you want to backup the current configuration? This may take several minutes.
Page 145 Gestion de l'appareil 5.6 Fichier de configuration Remarque Si vous modifiez un fichier de configuration enregistré et le chargez à nouveau sur un appareil, il peut en résulter un comportement imprévisible ou la défaillance des communications. Les fichiers de configuration enregistrés ne doivent être modifiés que par des utilisateurs expérimentés.
Page 146 Gestion de l'appareil 5.6 Fichier de configuration Opé‐ Instruction Commande ration Chargez un fichier de configuration au format system configuration load format XML. xml mode [ merge | replace ] source { URL } protected Pour plus d'informations sur l'URL, voir "Spéci‐ fication d'une URL (Page 70)".
Page 147 Gestion de l'appareil 5.6 Fichier de configuration Configuration de base et fichier de configuration pour les exemples La configuration de base suivante est utilisée pour les exemples : • Les utilisateurs suivants ont été configurés : – User Admin1 – User Guest1 Les VLAN suivants ont été configurés : –...
Page 148 Gestion de l'appareil 5.6 Fichier de configuration exit exit Dans cet exemple, le fichier de configuration backup.xml est chargé avec le comportement de chargement merge. localhost# config Entering configuration mode terminal localhost(config)# do who Session User Context From Proto Date Mode *126 admin cli 192.0.2.1 ssh...
Page 149 Gestion de l'appareil 5.6 Fichier de configuration exit user User1 exit exit exit Exemple Dans cet exemple, le fichier de configuration backup.xml est chargé avec le comportement de chargement replace. Dans un premier temps, la configuration de base est contrôlée. localhost# show running-config switch vlan switch vlan 1 exit...
Page 150 Gestion de l'appareil 5.6 Fichier de configuration exit Dans cet exemple, le fichier de configuration backup.xml est chargé avec le comportement de chargement replace. localhost# config Entering configuration mode terminal localhost(config)# do who Session User Context From Proto Date Mode *126 admin cli 192.0.2.1 ssh 2020-03-25 config-terminal...
Page 151 Gestion de l'appareil 5.6 Fichier de configuration exit Exemple Dans cet exemple, le fichier de configuration backup.xml est chargé avec le comportement de chargement replace et un mot de passe. localhost# config Entering configuration mode terminal localhost(config)# do who Session User Context From Proto Date Mode...
Page 152 Gestion de l'appareil 5.6 Fichier de configuration device-type SCALANCE XCM332 serial-number VPM6002848 article-number 6GK5 332-0GA01-2AC2 hw-revision 1 firmware-version V02.00.00.00 hostname localhost localhost(config)# Exemple Dans cet exemple, les informations d'entête du fichier de configuration nommé backup.xml sont affichées. Une somme de contrôle a été ajoutée au fichier. localhost# config Entering configuration mode terminal localhost(config)# system configuration view-info source tftp://...
Page 153 Gestion de l'appareil 5.8 Contact de signalisation Informations sur les logiciels Open Source Les informations sur les logiciels Open Source (OSS) sont enregistrées sous forme de fichier PDF. Le fichier contient des notes relatives au copyright des logiciels tiers, notamment des logiciels Open Source, contenus dans le présent produit ainsi que les conditions de licence applicables à...
Page 154 Gestion de l'appareil 5.8 Contact de signalisation La commande manuelle du relais est utile pour : • vérifier que le relais de sécurité a été correctement connecté après l'installation de l'appareil • vérifier que l'état ouvert/fermé est causé par l'appareil même ou par un autre matériel •...
Page 155 Gestion de l'appareil 5.9 Fonction de bouton-poussoir localhost# show running-config system signaling-contact | details system signaling-contact mode event-driven exit exit 5.8.2 Affichage de l'état actuel du contact de signalisation Pour afficher l'état actuel du contact de signalisation, entrez la commande suivante : show system hardware component FAULT Exemple localhost# show system hardware component FAULT...
Page 156 Gestion de l'appareil 5.9 Fonction de bouton-poussoir 5.9.1 Ce qu'il faut savoir sur les fonctions du bouton-poussoir L'appareil possède un bouton-poussoir avec les fonctions suivantes : • Restauration des paramètres par défaut de l'appareil Le bouton-poussoir permet de restaurer les paramètres par défaut de l'appareil. Veuillez noter que la fonction du bouton-poussoir n'est pas la même durant la phase de démarrage et en cours de fonctionnement.
Page 157 Le CLP possède une interface USB de type C et peut être utilisé avec les appareils suivants qui possèdent la même interface. • Produits Siemens • Ordinateurs personnels (PC), ordinateurs de bureau, tablettes, portables ou smartphones 5.10.1 Ce qu'il faut savoir sur le CLP Le CLP est utilisé...
Page 158 Gestion de l'appareil 5.10 Configuration and License PLUG 5.10.1.1 Échange d'appareils Conditions requises pour le transfert de la configuration sur un appareil de rechange : • Le CLP a été enregistré par un type d'appareil compatible (numéro d'article identique). • La version du firmware de l'appareil de rechange est identique ou plus récente que celle de l'appareil qui a dernièrement enregistré...
Page 159 – Les données de configuration et le firmware sont enregistrés dans une zone de mémoire sécurisée du CLP. Cette zone de mémoire sécurisée est uniquement accessible via l'authentification de l'appareil Siemens. – L'appareil vérifie toutes les secondes la présence d'un CLP. Si l'appareil constate que le CLP a été...
Page 160 Gestion de l'appareil 5.10 Configuration and License PLUG Un appareil peut donc enregistrer non seulement sa configuration, mais aussi son firmware sur le CLP. Vous pouvez spécifier dans la configuration l'enregistrement ou non du firmware sur le CLP : • Si la fonction est activée, l'appareil enregistre le firmware courant sur le CLP. Si le fichier de firmware est mis à...
Page 161 écriture aux fichiers de la zone de mémoire. • Zone de mémoire sécurisée Seuls des appareils Siemens peuvent accéder à la zone de mémoire sécurisée après avoir été authentifiés. Pour empêcher toute intrusion, les données de configuration sont enregistrées dans la zone de mémoire sécurisée.
Page 162 Gestion de l'appareil 5.10 Configuration and License PLUG Pour désactiver la fonction, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Enregistrez le firmware courant de l'appareil clp firmware-on-plug sur le CLP. Validez les modifications. commit Quittez le mode de configuration. Contrôlez la configuration.
Page 163 Gestion de l'appareil 5.10 Configuration and License PLUG Are you sure you want to erase the contents of the CLP, with the exception of key licenses? [no,yes] yes localhost# 5.10.5 Réinitialisation du CLP Cette commande permet de supprimer toutes les données enregistrées sur le CLP, y compris les licences, et de restaurer ses paramètres par défaut.
Page 164 Gestion de l'appareil 5.10 Configuration and License PLUG FW on CLP State: enabled Status: fw-present Description Les informations suivantes s'affichent : Paramètres Description CLP Configuration State Affiche l’état du CLP. Valeurs possibles : • not-present - Aucun CLP n’est embroché sur l’appareil. • accepted - Un CLP avec une configuration valide et appropriée est embroché...
Page 165 Administration système Ce chapitre décrit comment exécuter diverses activités administratives telles que définir des utilisateurs, configurer des alarmes et gérer des fichiers système. Configurer une bannière pour la connexion Vous pouvez afficher un message d'accueil personnalisé, des informations sur l'appareil ou d'autres informations avec l'invite de connexion de l'interface CLI.
Page 166 Administration système 6.2 Stratégie de mot de passe > # administrator! > # This service is restricted to authorized users only. All > # activities on this system are logged. > # Unauthorized access will be fully investigated and reported > # to the appropriate law enforcement agencies.
Page 167 Administration système 6.2 Stratégie de mot de passe 6.2.1 Configuration de la stratégie de mot de passe Pour modifier la stratégie de mot de passe, procédez comme suit : 1. [Facultatif] Configurez le nombre minimal de caractères qu'un mot de passe doit compter. Pour plus d'informations, voir "Configuration du nombre minimal de caractères (Page 167)".
Page 168 Administration système 6.2 Stratégie de mot de passe localhost# show running-config system authentication password- policy min-length system authentication password-policy min-length 10 exit exit exit 6.2.1.2 Configuration du nombre maximal de caractères. Pour configurer le nombre maximal de caractères, procédez comme suit : Opé‐...
Page 169 Administration système 6.2 Stratégie de mot de passe exit exit exit 6.2.1.3 Configuration de la condition de présence de chiffres Un mot de passe doit comporter par défaut au moins 1 chiffre. Pour configurer qu'un mot de passe doit comporter au moins 1 chiffre, procédez comme suit : Opé‐...
Page 170 Administration système 6.2 Stratégie de mot de passe Pour configurer qu'un mot de passe doit comporter au moins 1 minuscule, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez qu'un mot de passe doit comporter system authentication password- au moins 1 minuscule.
Page 171 Administration système 6.2 Stratégie de mot de passe Exemple Dans cet exemple on définit que le mot de passe doit comporter au moins 1 majuscule. localhost# config localhost(config)# system authentication password-policy uppercase localhost(config-password-policy)# commit Commit complete. localhost(config-password-policy)# end localhost# show running-config system authentication password- policy uppercase system authentication...
Page 172 Administration système 6.2 Stratégie de mot de passe special exit exit exit 6.2.1.7 Activation de la stratégie de mot de passe La stratégie de mot de passe est activée par défaut. Si la stratégie de mot de passe est désactivée, la seule condition requise est que le mot de passe possède au moins 1 caractère.
Page 173 Administration système 6.3 Gestion des utilisateurs show running-config system authentication password-policy | details Exemple localhost# show running-config system authentication password- policy | details system authentication password-policy enabled min-length 10 max-length 200 no number lowercase uppercase special exit exit exit Description Les informations suivantes s'affichent : Paramètres Description Indique si la stratégie de mot de passe est activée ou non.
Page 174 Administration système 6.3 Gestion des utilisateurs 6.3.1.1 Profils d'utilisateur Vous pouvez configurer plusieurs utilisateurs et attribuer à chaque utilisateur un profil d'utilisateur. Sous SINEC OS vous pouvez configurer les profils d'utilisateur ci-après localement sur l'appareil : • Admin • Guest À chaque profil sont affectés des droits d'accès différents. Les droits d'accès autorisent l'utilisateur ou lui interdisent de modifier des paramètres ou d'exécuter certaines commandes.
Page 175 Administration système 6.3 Gestion des utilisateurs Pour supprimer un utilisateur, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Supprimez l'utilisateur. no system authentication user { Username } Validez les modifications. commit Quittez le mode de configuration. Vérifiez quels utilisateurs sont actuellement connectés à...
Page 176 Administration système 6.3 Gestion des utilisateurs 6.3.2 Configuration d'utilisateurs Procédez comme suit pour créer un nouvel utilisateur : 1. Créez un nouvel utilisateur et attribuez-lui un mot de passe et un profil d'utilisateur. Remarque Les nouveaux utilisateurs doivent attribuer par défaut un nouveau mot de passe lors de la première connexion.
Page 177 Administration système 6.3 Gestion des utilisateurs Opé‐ Instruction Commande ration Attribuez un mot de passe à l'utilisateur. password { Mot de passe } Vous pouvez saisir un mot de passe comme suit : • Comme mot de passe de hachage Si un mot de passe débute par l'une des combinaisons de caractères suivantes, il est considéré...
Page 178 Administration système 6.3 Gestion des utilisateurs Opé‐ Instruction Commande ration Affectez à l'utilisateur un profil d'utilisateur. role [ admin | guest ] Options disponibles : • admin - Les utilisateurs possédant le profil d'utilisateur admin disposent des droits d'accès en écriture et en lecture aux fonc‐ tions de l'appareil.
Page 179 Administration système 6.3 Gestion des utilisateurs La fonction est activée par défaut pour tout nouvel utilisateur. Après la modification du mot de passe, la fonction est automatiquement désactivée, ce qui explique pourquoi elle est désactivée par défaut pour les utilisateurs existants. Le tableau ci-après indique les conséquences de la fonction pour les utilisateurs existants : Application Fonction activée...
Page 180 Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG user1 connected from 192.0.2.2 using ssh on switch02 switch02# ... System message at 2021-01-01 00:08:00... Commit performed by admin via ssh using cli.
Page 181 Administration système 6.3 Gestion des utilisateurs 6.3.2.3 Modification du mot de passe d'un utilisateur Seuls les utilisateurs possédant le profil utilisateur admin sont habilités à modifier les mots de passe de tous les utilisateurs. Les utilisateurs possédant le profil d'utilisateur guest peuvent uniquement modifier leur propre mot de passe.
Page 182 Administration système 6.3 Gestion des utilisateurs Opé‐ Instruction Commande ration Entrez le mot de passe. { Mot de passe } Vous pouvez saisir un mot de passe comme suit : • Comme mot de passe de hachage Si un mot de passe débute par l'une des combinaisons de caractères suivantes, il est considéré...
Page 183 Administration système 6.3 Gestion des utilisateurs localhost# config Entering configuration mode terminal localhost(config)# system authentication user user1 password (<string>): ****** localhost(config-user-user1)# password-confirm (<string>): ****** localhost(config-user-user1)# commit Commit complete. localhost(config-user-user1)# end 6.3.2.4 Modification du profil d'utilisateur Seuls les utilisateurs possédant le profil utilisateur admin sont habilités à activer le profil d'utilisateurs.
Page 184 Administration système 6.3 Gestion des utilisateurs exit exit 6.3.3 Surveillance de l'utilisateur Les utilisateurs connectés à l'appareil sont surveillés par SINEC OS et peuvent être affichés. Si vous êtes connecté avec le profil d'utilisateur, admin vous pouvez surveiller des utilisateurs, les déconnecter et leur envoyer des messages. 6.3.3.1 Affichage d'utilisateurs actifs Pour afficher les utilisateurs actuellement connectés à...
Page 185 Administration système 6.3 Gestion des utilisateurs Pour afficher la configuration d'un utilisateur, exécutez la commande suivante en mode de fonctionnement : show running-config system authentication user { Nom d'utilisateur } Exemple Cet exemple présente l'affichage de la configuration de tous les utilisateurs. localhost# show running-config system authentication user | details system authentication...
Page 186 Rebooting at midnight! Préparation de l'appareil pour un dépannage Pour effectuer un dépannage, le technicien du SAV Siemens doit avoir provisoirement accès à l'appareil (compte utilisateur Debug) et/ou aux informations de débogage. Ce chapitre décrit comment préparer l'appareil pour un dépannage de sorte que le technicien du SAV Siemens puisse vous assister au mieux lors du dépannage.
Page 187 6.4.2 Activation du compte utilisateur Debug. Le compte utilisateur Debug permet à votre technicien du SAV Siemens d'accéder pendant une durée définie à votre appareil. Seuls les utilisateurs possédant le profil utilisateur admin sont habilités à activer le compte utilisateur. Le compte utilisateur Debug est actif jusqu'à ce que le compte soit désactivé...
Page 188 Administration système 6.4 Préparation de l'appareil pour un dépannage Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system authentication allow-debug-user Exemple localhost# config Entering configuration mode terminal localhost(config)# system authentication allow-debug-user localhost(config-system-authentication)# commit Commit complete. localhost(config-system-authentication)# end localhost# show running-config system authentication allow-debug- user...
Page 189 Sécurité des données Ce chapitre décrit les fonctions de sécurité des données disponibles. Veuillez vous assurer que l'appareil et le réseau sont suffisamment protégés contre les attaques malveillantes par un contrôle/une mise à jour des paramètres de sécurité des données par défaut. Remarque Recommandations générales de sécurisation de l'appareil, voir "Recommandations de sécurité...
Page 190 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) Les utilisateurs et services qui ont dépassé le nombre maximal d'échecs de connexion sont bloqués pendant une durée configurable. Si un utilisateur/service bloqué tente à nouveau de se connecter avant que la durée soit écoulée, le blocage est prolongé et la durée remise à zéro.
Page 191 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) 7.1.2.1 Modification du délai de remise à zéro automatique Le délai de remise à zéro automatique annule le blocage d'utilisateurs et d'adresses IP préalablement bloqués au bout d'une durée définie Remarque Annulation du blocage d'utilisateurs ou d'adresses IP La date/heure de la réinitialisation automatique doit être mise à...
Page 192 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) Exemple Dans l'exemple ci-après, le délai de remise à zéro paramétré est de 15 minutes. localhost# config Entering configuration mode terminal localhost(config)# system authentication brute-force-prevention auto-reset- timer 15m localhost(config-brute-force-prevention)# commit Commit complete.
Page 193 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) Exemple Dans l'exemple ci-après on définit un nombre maximal de 5 échecs de connexion pour utilisateurs et de 15 échecs de connexion pour services. localhost# config Entering configuration mode terminal localhost(config)# system authentication brute-force-prevention user- specific-login-attempts 5 localhost(config-brute-force-prevention)# ip-specific-login-attempts 15...
Page 194 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) Pour modifier le délai entre échecs de connexion, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Définissez le délai entre échecs de connexion. system authentication brute- force-prevention trigger- Conditions : interval { Délai }...
Page 195 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) Opéra‐ Instruction Commande tion Passez en mode de configuration. config Activez le mécanisme de prévention de BFA. system authentication brute- force-prevention enabled Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration.
Page 196 Sécurité des données 7.1 Empêcher des attaques par force brute (BFA) Exemple Dans l'exemple suivant, le blocage de l'adresse IP 172.30.145.142 est annulé. localhost# system authentication brute-force-prevention reset ip 172.30.145.142 7.1.4 Surveillance de la prévention de BFA Pour vérifier quels noms d'utilisateur et/ou adresses IP sont momentanément surveillés par le mécanisme de prévention de BFA, entrez la commande suivante en mode de fonctionnement : show system authentication brute-force-prevention Si un nom d'utilisateur ou une adresse IP est momentanément surveillé, les informations...
Page 197 Sécurité des données 7.2 Évènements concernant la sécurité des données Évènements concernant la sécurité des données Pour répondre aux exigences de la norme de sécurité des données en environnement industriel CEI 62443, il est entre autres nécessaire d'assurer un suivi intégral de toutes les activités des utilisateurs.
Page 198 Sécurité des données 7.2 Évènements concernant la sécurité des données ① Commutateur IE/Client Syslog ② Messages d'évènement ③ Système SIEM ④ Réseau ⑤ Notifications ⑥ Interface utilisateur graphique Figure 7-1 Système SIEM Le système SIEM traite les messages d'évènement comme suit : 1. Réception Un serveur Syslog reçoit les messages d'évènement de divers appareils, constituants de réseau, etc.
Page 199 Sécurité des données 7.2 Évènements concernant la sécurité des données 4. Corrélation Le système SIEM établit des corrélations entre les messages d'évènement. Ceci permet au système SIEM de détecter des anomalies (p. ex. des motifs et tendances inhabituels) qui révèlent la présence d'activités relatives à la sécurité des données. 5.
Page 200 Sécurité des données 7.2 Évènements concernant la sécurité des données Remarque Pour plus d'informations sur la structure des messages d'évènement et sur la signification des paramètres, voir RFC 5424 (https://tools.ietf.org/html/rfc5424). 7.2.1.3 Variables dans les messages d'évènement À chaque message d'évènement, l'élément { MESSAGE } contient des variables qui sont complétées dynamiquement par les données de l'évènement en question.
Page 201 Sécurité des données 7.2 Évènements concernant la sécurité des données Variable Description Exemple Local interface Nom symbolique d'une interface locale Console Format : %d ethernet0/4 Destination user na‐ Identifie un utilisateur par son nom. L'utilisateur Peter-Maier est combiné à la destination de l'évènement. Format : %d Role Nom symbolique du rôle de groupe...
Page 202 Sécurité des données 7.2 Évènements concernant la sécurité des données 7.2.2.1 Identification et authentification d'utilisateurs humains Les messages d'évènement ci-après renseignent sur les connexions réussies et les échecs de connexion d'utilisateurs. {Local interface}: User {User name} logged in. Exemple Console: User admin logged in. Signification Un utilisateur s'est connecté...
Page 203 Sécurité des données 7.2 Évènements concernant la sécurité des données {Protocol}: User {User name} logged in from {IP address}. Exemple SSH: User admin logged in from 192.168.0.1. Signification Un utilisateur s'est connecté avec succès à l'appareil SINEC OS via une interface de réseau.
Page 204 Sécurité des données 7.2 Évènements concernant la sécurité des données {Protocol}: Service account failed to login from {IP address}. Exemple SSH: Service account failed to login from 192.168.0.1. Signification La tentative de connexion avec le compte utilisateur Debug via une interface de réseau à...
Page 205 Sécurité des données 7.2 Évènements concernant la sécurité des données {Protocol}: Service account logged out from {IP address}. Exemple SSH: Service account logged out from 192.168.0.1. Signification Un utilisateur a déconnecté le compte utilisateur Debug via une interface de réseau de l'appareil SINEC OS. Dans l'exemple, le compte utilisateur Debug a été...
Page 206 Sécurité des données 7.2 Évènements concernant la sécurité des données {Protocol}: {IP address} access granted. Exemple SSH: 192.0.2.2 access granted. Signification Accès de l'appareil autorisé après authentification réussie. Dans l'exemple, l'accès de l'appareil à adresse IP "192.0.2.2" est autorisé. Severity Info Facility local0 Norme...
Page 207 Sécurité des données 7.2 Évènements concernant la sécurité des données {Protocol}: User {User name} has changed the password. Exemple WBM: User admin has changed the password. Signification Un utilisateur a modifié son propre mot de passe. Dans l'exemple, l'utilisateur "admin" a modifié son propre mot de passe. Severity Notice Facility...
Page 208 Sécurité des données 7.2 Évènements concernant la sécurité des données Facility local0 Norme CEI 62443-3-3 référence : SR 1.3 {Protocol}: User {User name} enabled the service account. Exemple SSH: User admin enabled the service account. Signification Un utilisateur a activé le compte utilisateur Debug. Dans l'exemple, l'utilisateur "admin"...
Page 209 Sécurité des données 7.2 Évènements concernant la sécurité des données Severity Warning Facility local0 Norme CEI 62443-3-3 référence : SR 1.11 7.2.2.5 Blocage de session Les messages d'évènement ci-après renseignent sur la fermeture de sessions en raison de leur inactivité. {Protocol}: The session of user {User name} was closed after {Time second} seconds of inactivity.
Page 210 Sécurité des données 7.2 Évènements concernant la sécurité des données Facility local0 Norme CEI 62443-3-3 référence : SR 2.12 {Protocol}: User {User name} has changed {Config detail} configuration. Exemple SSH: User admin has changed /switch/vlan{2} configuration. Signification Un utilisateur a modifié certaines valeurs de la configuration. Dans l'exemple, l'utilisateur "admin"...
Page 211 Sécurité des données 7.2 Évènements concernant la sécurité des données 7.2.2.9 Intégrité du logiciel et des informations Les messages d'évènement ci-après informent sur un échec de justification d'intégrité lors du chargement du firmware. Firmware integrity verification failed. Exemple Firmware integrity verification failed. Signification Le contrôle d'intégrité...
Page 212 Sécurité des données 7.2 Évènements concernant la sécurité des données {Protocol}: Denial-of-Service (DoS) attack detected. Exemple Console: Denial-of-Service (DoS) attack detected. Signification Une attaque de déni de service (DoS) a été détectée. Severity Alert Facility local0 Norme CEI 62443-3-3 référence : SR 3.8 7.2.2.12 Protection des informations de contrôle Les messages d'évènement ci-après informent sur la suppression du journal d'incidents local.
Page 213 Sécurité des données 7.3 Clés et certificats Clés et certificats Ce paragraphe décrit comment configurer et gérer les clés et certificats. 7.3.1 Ce qu'il faut savoir sur les clés et certificats L'utilisation de clés et de certificats permet de crypter la communication et de confirmer l'identité des partenaires de communication : •...
Page 214 Sécurité des données 7.3 Clés et certificats Procédures de chiffrement asymétriques. La procédure de chiffrement asymétrique utilise une paire de clés, constituée d'une clé publique et d'une clé privée. Celles-ci sont uniques et sont corrélées par un algorithme mathématique. • Clé publique La clé...
Page 215 Sécurité des données 7.3 Clés et certificats Les points suivants s'appliquent aux paires de clés par défaut : • Les clés sont uniques pour chaque appareil. • Si vous restaurez les paramètres par défaut de l'appareil, les clés et les certificats définis par le constructeur sont conservés.
Page 216 Sécurité des données 7.3 Clés et certificats 7.3.1.5 Certificats autosignés Les certificats autosignés sont des certificats dont la signature provient du titulaire du certificat et non d'une autorité de certification indépendante. Exemples : • Vous pouvez créer un certificat et le signer vous-même, par exemple pour crypter des messages destinés à...
Page 217 Sécurité des données 7.3 Clés et certificats 7.3.1.7 Signatures Création L'émetteur d'un certificat génère une valeur de hachage (empreinte numérique) à partir des données du certificat à l'aide d'un algorithme de hachage spécifique (p. ex. SHA-2, Secure Hash Algorithm). Il crée ensuite une signature numérique à partir de la valeur de hachage et de sa clé...
Page 218 Sécurité des données 7.3 Clés et certificats 7.3.1.9 Règles d'accès Les règles suivantes s'appliquent à l'accès aux clés et aux certificats : • Les utilisateurs ne peuvent ni modifier ni supprimer les paires de clés et les certificats définis par le constructeur. •...
Page 219 Sécurité des données 7.3 Clés et certificats 7.3.2.1 Configuration manuelle d'une paire de clés Remarque Il est recommandé d'importer des paires de clés. Si vous configurez manuellement une clé dans le Keystore, il est conseillé d'utiliser le mode Assistants. Pour configurer manuellement une paire de clés, procédez comme suit : Opé‐...
Page 220 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Définissez le format de la clé publique. private-key-format [ ec-private- key-format | one-asymmetric-key- Options disponibles : format | rsa-private-key-format ] • ec-private-key-format - La clé pri‐ vée doit être disponible dans la syntaxe dé‐ finie dans la RFC ci-après : RFC 5915 Elliptic Curve Private Key Struc‐...
Page 221 Sécurité des données 7.3 Clés et certificats Commit complete. localhost(config-asymmetric-key-my-https-server)# end localhost# show running-config system certificates local asymmetric- key my-https-server system certificates local asymmetric-key my-https-server public-key-format subject-public-key-info-format public-key MIIBIjANBgkqhkiG9... private-key-format one-asymmetric-key-format private-key "$8$sGE795EWikian... exit exit exit exit 7.3.2.2 Importation d'une paire de clés Vous pouvez charger un fichier depuis un serveur de fichiers et importer ainsi une paire de clés qu'il contient dans le Keystore.
Page 222 Sécurité des données 7.3 Clés et certificats Remarque Si le fichier contient plus d'un certificat, l'ordre des certificats doit correspondre à l'ordre de la chaîne de certificats. Le premier certificat du fichier doit être le certificat utilisateur, le dernier un certificat racine. Entre les deux, il peut y avoir des certificats intermédiaires. Pour importer une paire de clés, procédez comme suit : Opé‐...
Page 223 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Chargez un fichier possédant le format voulu. load format [ pem | pkcs12 ] source { URL } certificate-name Options possibles pour le format : { Certificat utilisateur } • pem - Le fichier est disponible au format password { Mot de passe } bag- PEM.
Page 224 Sécurité des données 7.3 Clés et certificats Exemple Dans cet exemple, on importe un fichier au format PEM avec un certificat utilisateur autosigné. localhost# config localhost(config)# system certificates local asymmetric-key my- https-server localhost(config-asymmetric-key-my-https-server)# load format pem source tftp://192.168.2.68/privkey.pem certificate-name self- signed-1 Transferring file...
Page 225 Sécurité des données 7.3 Clés et certificats exit Exemple Dans cet exemple, on importe un fichier au format PKCS#12 avec un certificat CA autosigné. Le certificat CA est enregistré dans le Truststore. localhost# config localhost(config)# system certificates local asymmetric-key my- https-server localhost(config-asymmetric-key-my-https-server)# load format pkcs12 source tftp://192.168.2.68/client1.p12 certificate-name my- end-entity bag-name my-trusted-cas bag-certificate-name my-ca-1...
Page 226 Sécurité des données 7.3 Clés et certificats exit exit exit localhost# show running-config system certificates remote certificate-bag system certificates remote certificate-bag my-trusted-cas certificate my-ca-1 cert-data MIIDjwYJKoZIhvcNAQcC... exit exit exit exit exit 7.3.2.3 Configuration manuelle d'un certificat Remarque Il est recommandé d'importer des certificats. Si vous configurez manuellement un certificat ou une chaîne de certificats pour une paire de clés dans le Keystore, il est conseillé...
Page 227 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Entrez le certificat codé DER ou la chaîne de cert-data { Certificat } certificats au format PKCS#7. La saisie doit comporter soit le certificat utili‐ sateur autosigné soit la chaîne de certificats complète du certificat utilisateur au certificat racine.
Page 228 Sécurité des données 7.3 Clés et certificats 7.3.2.4 Importation d'un certificat Vous pouvez charger un fichier depuis un serveur de fichiers et importer un certificat ou une chaîne de certificats dans le Keystore pour une paire de clés existante. Conditions • Vous avez configuré un serveur de manière adéquate. •...
Page 229 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Validez les modifications. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config system certificates local asymmetric- key { Nom } certificate Exemple localhost# config localhost(config)# system certificates local asymmetric-key my- https-server localhost(config-asymmetric-key-my-https-server)# certificate my- selfsigned-2...
Page 230 Sécurité des données 7.3 Clés et certificats exit 7.3.3 Gestion du Truststore Pour configurer le Truststore, procédez comme suit : 1. [Facultatif] Créez un portefeuille de certificats dans le Truststore et ajoutez-y des certificats. Un portefeuille de certificats permet de regrouper des certificats. Si vous créez un portefeuille de certificats, vous devez y ajouter directement au moins un certificat.
Page 231 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Entrez le certificat codé DER ou la chaîne de cert-data { Certificat } certificats au format PKCS#7. La saisie doit comporter soit le certificat utili‐ sateur autosigné soit la chaîne de certificats complète du certificat utilisateur au certificat racine.
Page 232 Sécurité des données 7.3 Clés et certificats 7.3.3.2 Importation d'un certificat Vous pouvez charger un fichier depuis un serveur de fichiers et importer un certificat ou une chaîne de certificats dans le Truststore. Conditions • Vous avez configuré un serveur de manière adéquate. •...
Page 233 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Chargez un fichier possédant le format voulu. load format [ pem | pkcs7 ] source { URL } Options possibles pour le format : • pem - Le fichier est disponible au format PEM.
Page 234 Sécurité des données 7.3 Clés et certificats certificates remote certificate-bag my-trusted-cas certificate my-ca-1 cert-data MIIDjwYJKoZIhvcNA... exit exit exit exit exit 7.3.3.3 Configuration manuelle d'un Known Host Si vous configurez manuellement un Known Host du Truststore, il est conseillé d'utiliser le mode Assistants.
Page 235 Sécurité des données 7.3 Clés et certificats Opé‐ Instruction Commande ration Entrez la clé publique (format DER codé Ba‐ public-key { Clé publique } se64). Le format dépend de la configuration du para‐ mètre public-key-format. Condition : • Il doit compter de 1 à 2048 octets Pour saisir la clé...
Page 236 Sécurité des données 7.3 Clés et certificats exit exit exit exit exit 7.3.4 Surveillance de certificats Ce paragraphe décrit comment surveiller des clés et certificats et se faire afficher des informations détaillées. 7.3.4.1 Affichage d'empreintes numériques Pour afficher les empreintes numériques de clés et de certificats, exécutez la commande ci-après en mode de fonctionnement : show system certificates Exemple...
Page 237 Sécurité des données 7.4 Authentification de l'utilisateur Description Les informations suivantes s'affichent : Paramètres Description fingerprint Affiche l'algorithme de hachage avec lequel l'empreinte nu‐ mérique a été créée. Valeurs possibles : • md5 - Longueur de bits 128 • sha1 - Longueur de bits 160 •...
Page 238 Sécurité des données 7.4 Authentification de l'utilisateur 7.4.1.2 Authentification RADIUS Le Remote Authentification Dial-In User Service (RADIUS) est un protocole basé UDP qui propose l'authentification, l'autorisation et la gestion des utilisateurs (Authentification, Authorization & Accounting – AAA) pour l'accès d'utilisateurs à un appareil. L'appareil comprend un client RADIUS qui retransmet les identifiants à...
Page 239 Sécurité des données 7.4 Authentification de l'utilisateur Types d'authentification SINEC OS prend en charge les types d'authentification RADIUS suivants : • Password Authentication Protocol (PAP) PAP utilise un concept de poignée de main bidirectionnelle pour valider les utilisateurs sur la base de leur nom d'utilisateur et de leur mot de passe. Lorsqu'un utilisateur demande l'accès, son demandeur transmet le nom d'utilisateur et le mot de passe au client RADIUS (SINEC OS).
Page 240 Sécurité des données 7.4 Authentification de l'utilisateur Demandeur Requête d'accès Client RADIUS (SINEC OS) Nom d'utilisateur et mot de passe Accepter/rejeter notification Serveur RADIUS Comparaison de mots de passe Serveur d'authentification Mote de passe crypté Base de données ① Le demandeur transmet au client RADIUS un paquet de requête d'accès contenant le nom d'utilisateur et le mot de passe de l'utilisateur.
Page 241 Sécurité des données 7.4 Authentification de l'utilisateur Demandeur Requête d'accès Client RADIUS (SINEC OS) Nom d'utilisateur Défi, Accepter/rejeter notification Serveur RADIUS Comparaison de mots de passe Serveur d'authentification Mote de passe crypté Base de données ① Le demandeur transmet au client RADIUS un paquet de requête d'accès contenant le nom d'utilisateur, le Challenge et une valeur de hachage MD5 du mot de passe de l'utilisateur.
Page 242 Sécurité des données 7.4 Authentification de l'utilisateur Évènements associés Les évènements suivants à propos de RADIUS sont directement enregistrés dans le journal système (Syslog). Évènement Gravité Message Syslog Condition EXT_AUTH_UNREACHABLE Erreur { Protocole }:{ Utilisateur } Le serveur RADIUS externe external authentication fai‐ nécessaire à...
Page 243 Sécurité des données 7.4 Authentification de l'utilisateur Il faut avoir défini au moins un profil de serveur. Il s'agit du serveur RADIUS primaire. Un profil secondaire peut également être défini comme option de secours pour le cas où le serveur primaire ne serait pas joignable. Pour configurer un profil de serveur RADIUS, procédez comme suit : Opéra‐...
Page 244 Sécurité des données 7.4 Authentification de l'utilisateur Opéra‐ Instruction Commande tion Définissez le type de serveur RADIUS. server-type [ login | dot1x ] Options disponibles : server-type < touche Entrée > • login – Sélectionnez cette option pour [list] ({ Current Mode }: authentifier les utilisateurs qui se connec‐...
Page 245 Sécurité des données 7.4 Authentification de l'utilisateur Opéra‐ Instruction Commande tion [Facultatif] Spécifiez que ce serveur est le ser‐ primary veur primaire. Si vous n'avez pas spécifié qu'un profil de ser‐ veur est primaire, le premier profil qui a été défini devient automatiquement le profil pri‐ maire.
Page 246 Sécurité des données 7.4 Authentification de l'utilisateur Exemple Dans ce qui suit, on configure un profil de serveur de base pour un serveur RADIUS primaire qui est accessible via 172.30.141.141. localhost# config Entering configuration mode terminal localhost(config)# system radius server RADIUS1 localhost(config-server-radius-RADIUS1)# shared-secret sharedkey123 localhost(config-server-radius-RADIUS1)# shared-secret-confirm sharedkey123 localhost(config-server-radius-RADIUS1)# server-type...
Page 247 Sécurité des données 7.4 Authentification de l'utilisateur Étape 1 : Télécharger et installer FreeRADIUS Chargez FreeRADIUS sur votre PC et installez-le. Veuillez respecter les instructions du fabricant. Remarque Les instructions peuvent varier selon la version du produit. Pour plus d'informations, voir freeradius.org (https://freeradius.org). Étape 2 : Ajoutez le fichier SINEC OS Dictionnary Enregistrez le fichier du Dictionary "dictionary.sinecos"...
Page 248 # sudo nano users 2. Ajoutez pour chaque utilisateur habilité une entrée comme suit : { username } Cleartext-Password := "{ password }" Service-Type = Login-User, Siemens-Automation-Privileged-User-Group = { admin | guest } Par exemple : newadmin Cleartext-Password := "$ecurePa8sword" Service-Type = Login-User, Siemens-Automation-Privileged-User-Group = admin 3.
Page 249 Sécurité des données 7.4 Authentification de l'utilisateur Étape 6 : Redémarrez le service FreeRADIUS Pour démarrer le service FreeRADIUS, exécutez la commande suivante : # freeradius -X 7.4.3.3 Contrôle d'une connexion à un serveur RADIUS Après avoir configuré (ou modifié) un profil de serveur RADIUS et avant d'activer l'authentification RADIUS, il est important de vérifier la connexion au serveur RADIUS défini comme destination.
Page 250 Sécurité des données 7.4 Authentification de l'utilisateur Opéra‐ Instruction Commande tion Passez en mode de configuration. config Paramétrez le mode d'authentification d'utili‐ system authentication auth-order sateurs. < touche Entrée > [list] ({ Current Mode }: Options disponibles : [ local-users | radius ] [ local- •...
Page 251 Sécurité des données 7.4 Authentification de l'utilisateur exit exit Exemple Vous activez ainsi l'authentification pour tous les utilisateurs et de plus, l'authentification locale pour le cas où le/les serveurs RADIUS n'est/ne sont pas joignable(s). localhost# config Entering configuration mode terminal localhost(config)# system authentication auth-order [list] (local-users): radius local-users localhost(config-system-authentication)# commit Commit complete.
Page 252 Sécurité des données 7.4 Authentification de l'utilisateur 7.4.5.1 Affichage des statistiques RADIUS Le client RADIUS collecte les statistiques suivantes pour chaque serveur RADIUS défini. Remarque Toutes les statistiques RADIUS sont automatiquement supprimées lorsque l'appareil est réinitialisé. Pour afficher les statistiques du client RADIUS, exécutez l'une des commandes suivantes en mode de fonctionnement : •...
Page 253 Sécurité des données 7.5 Access Control List (ACL) pour la gestion accepted 3 Description Les informations suivantes s'affichent : Statistiques Description Nombre de requêtes d'authentification RADIUS acceptées par le serveur. accepted rejected Nombre de requêtes d'authentification RADIUS refusées par le serveur. Nombre de requêtes d'authentification RADIUS perdues parce que le ser‐ lost veur n'était pas joignable.
Page 254 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Plusieurs règles pour le même gestionnaire autorisé Si plusieurs règles s'appliquent au même gestionnaire autorisé, elles sont appliquées dans l'ordre de leur entrée. Exemple : Une règle s'applique aux hôtes distants de la plage 1.1.1.0/24 et limite l'accès à...
Page 255 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Opéra‐ Instruction Commande tion Passez en mode de configuration. config Ajoutez une règle en saisissant l'adresse IP et system management-acl ip-source la longueur de préfixe de l'hôte distant. ipv4 { Adresse IP }/{ Longueur de préfixe } Un gestionnaire autorisé...
Page 256 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Opéra‐ Instruction Commande tion [Facultatif] Limitez le gestionnaire autorisé à service [ webui | netconf | snmp l'utilisation d'une interface utilisateur ou de | cli ] plusieurs interfaces utilisateur spécifiques lors de l'accès à...
Page 257 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Exemple Dans l'exemple suivant, on ajoute une règle qui empêche un hôte distant de faire transité le trafic de données par les VLAN 10 et 11. La règle empêche également l'hôte d'accéder à la Web-UI (webui) et d'utiliser SNMP.
Page 258 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Opéra‐ Instruction Commande tion Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-acl ip-source ipv4 { Adresse IP }/{ Longueur de préfixe } Exemple L'exemple ci-après limite un gestionnaire autorisé...
Page 259 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Pour limiter un gestionnaire autorisé à l'utilisation d'une interface utilisateur ou de plusieurs interfaces utilisateur spécifiques, procédez comme suit. Opéra‐ Instruction Commande tion Passez en mode de configuration. config Limitez le gestionnaire autorisé à l'utilisation system management-acl ip-source d'une interface utilisateur ou de plusieurs in‐...
Page 260 Sécurité des données 7.5 Access Control List (ACL) pour la gestion 7.5.2.4 Activation de l'ACL de gestion Pour activer l'ACL de gestion, procédez comme suit : IMPORTANT Risque de configuration - Risque de coupure de liaison Veuillez vous assurer que votre propre station de travail est désignée comme gestionnaire autorisé.
Page 261 Sécurité des données 7.5 Access Control List (ACL) pour la gestion 7.5.3.1 Affichage de l'état de fonctionnement de l'ACL de gestion Pour afficher l'état de fonctionnement de l'ACL de gestion, entrez la commande suivante en mode de fonctionnement : show system management-acl Exemple localhost# show system management-acl management-acl...
Page 262 Sécurité des données 7.5 Access Control List (ACL) pour la gestion Les gestionnaires autorisés suivants sont définis pour l'ACL de gestion : Adresse IP Interface VLAN Interfaces de gestion 1.1.1.0/24 netconf,snmp,cli 1.1.1.10/32 webui 2.2.2.20/32 2.2.2.0/24 netconf,snmp Description Le premier gestionnaire autorisé accorde l'accès à tous les hôtes de 1.1.1.0/24 via NETCONF, SNMP et la CLI.
Page 263 Sécurité des données 7.6 Sécurité des ports Sécurité des ports SINEC OS prend en charge la sécurité des ports ou Port Access Control (PAC), pour contrôler l'accès au réseau par des ports de pont spécifiques. Remarque Sécurité des ports et authentification RADIUS Activez la sécurité...
Page 264 Sécurité des données 7.6 Sécurité des ports 7.6.1.1 Authentification par adresses MAC statiques La méthode d'authentification par adresses MAC statiques valide l'adresse MAC source de chaque trame reçue à l'aide du contenu de la table d'adresses MAC statiques. SINEC OS prend par ailleurs en charge une configuration de la sécurité...
Page 265 Sécurité des données 7.6 Sécurité des ports SINEC OS communique avec le serveur d'authentification à l'aide d'EAP over RADIUS. IMPORTANT Vulnérabilité - Risque d'intrusion et/ou d'abus SINEC OS prend en charge Protected Extensible Authentication Protocol (UDC), EAP transport Layer Security (EAP) et EAP-MD5. La fonction de hachage MD5 d'EAP-MD5 est vulnérable aux attaques par dictionnaire et aux attaques de l'homme du milieu.
Page 266 Sécurité des données 7.6 Sécurité des ports 1. Lancement SINEC OS retransmet une requête d'identification EAPoL (Indentity-Request) au nœud d'extrémité. Si le nœud d'extrémité répond dans le délai prévu, la méthode d'authentification IEEE 802.1X est appliquée. Si le nœud d'extrémité ne répond pas dans le délai défini et si le nombre maximal de tentatives est atteint, SINEC OS en conclut que le nœud d'extrémité...
Page 267 Sécurité des données 7.6 Sécurité des ports passe, selon le mode de sécurité du port et du paramétrage de sécurité du demandeur automatiquement en mode de quarantaine ou en mode VLAN invité : • Si le demandeur prend en charge la norme IEEE 802.1X mais n'a pas pu être authentifié, le port de pont est ajouté...
Page 268 Sécurité des données 7.6 Sécurité des ports Dans certains cas il peut être souhaitable d'affecter un port de pont sécurisé à un VLAN défini en fonction du résultat de l'authentification. Par exemple : • Pour permettre à un nœud d'extrémité donné, en fonction de son adresse MAC source, de rester dans le même VLAN tout en se déplaçant au sein d'un réseau, configurez les appareils SINEC OS pour qu'ils utilisent l'un des modes de sécurité.
Page 269 Sécurité des données 7.6 Sécurité des ports 4. Paramétrez l'ID de VLAN invité. Uniquement possible si le mode de sécurité Authentification IEEE 802.1x. Pour plus d'informations, voir "Paramétrage de l'ID de VLAN invité (Page 272)". 5. Contrôlez et configurez les paramètres IEEE 802.1X. Uniquement possible si le mode de sécurité Authentification IEEE 802.1x ou Authentification IEEE 802.1X avec MAB est paramétré.
Page 270 Sécurité des données 7.6 Sécurité des ports Exemple La sécurité des ports pour ethernet0/1 est activée comme suit. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security enabled localhost(config-interface-ethernet0/1-port-security)# commit Commit complete. localhost(config-interface-ethernet0/1-port-security)# end localhost# show running-config interface ethernet0/1 port-security enabled interface ethernet0/1 port-security enabled...
Page 271 Sécurité des données 7.6 Sécurité des ports Exemple ethernet0/1 est configuré pour utiliser la sécurité (dot1x) de la norme IEEE 802.1X. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security security-mode dot1x localhost(config-interface-ethernet0/1-port-security)# commit Commit complete. localhost(config-interface-ethernet0/1-port-security)# end localhost# show running-config interface ethernet0/1 port-security security-mode interface ethernet0/1 port-security...
Page 272 Sécurité des données 7.6 Sécurité des ports Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de pont } port-security quarantine-vid Exemple L'ID du VLAN de quarantaine est réglé pour ethernet0/1 sur 2 comme suit. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security quarantine-vid 2...
Page 273 Sécurité des données 7.6 Sécurité des ports Opéra‐ Instruction Commande tion Paramétrez l'ID de VLAN invité pour le port de interface { Port de pont } port- pont sélectionné. security guest-vid { 1 - 4096 } Condition : • Un nombre compris entre 1 et 4096 Validez les modifications.
Page 274 Sécurité des données 7.6 Sécurité des ports Opéra‐ Instruction Commande tion Activez le mode sticky pour le port de pont interface { Port de pont } port- sélectionné. security sticky Validez les modifications. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de pont } port-security sticky...
Page 275 Sécurité des données 7.6 Sécurité des ports Pour limiter le nombre des adresses MAC qui peuvent être apprises dynamiquement par un port de pont sécurisé, procédez comme suit : Opéra‐ Instruction Commande tion Veuillez vous assurer que le mode de sécurité show running-config interface du port de pont sélectionné...
Page 276 Sécurité des données 7.6 Sécurité des ports Exemple Le nombre maximal d'adresses MAC apprises dynamiquement est paramétré pour ethernet0/1 à 10 Le port de pont apprend ce nombre d'adresses MAC moins le nombre d'adresses MAC statiques affectées au port. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security auto-learn 10 localhost(config-interface-ethernet0/1-port-security)# commit...
Page 277 Sécurité des données 7.6 Sécurité des ports Exemple Le mode de désactivation administrative est activé pour ethernet0/1 comme suit. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security violation-shutdown localhost(config-interface-ethernet0/1-port-security)# commit Commit complete. localhost(config-interface-ethernet0/1-port-security)# end localhost# show running-config interface ethernet0/1 port-security violation-shutdown interface ethernet0/1 port-security...
Page 278 Sécurité des données 7.6 Sécurité des ports Exemple Le temporisateur de désactivation est réglé pour ethernet0/1 à 25 minutes et 34 secondes. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security shutdown-time 25m34s localhost(config-interface-ethernet0/1-port-security)# commit Commit complete. localhost(config-interface-ethernet0/1-port-security)# end localhost# show running-config interface ethernet0/1 port-security shutdown-time interface ethernet0/1 port-security...
Page 279 Sécurité des données 7.6 Sécurité des ports 6. [Facultatif] Activez l'authentification périodique de demandeurs. Cette fonction est désactivée par défaut. Pour plus d'informations, voir "Paramétrage de la période de timeout de demandeurs (Page 285)". 7. [Facultatif] Définissez le délai d'attente entre les tentatives d'authentification de demandeurs.
Page 280 Sécurité des données 7.6 Sécurité des ports Exemple La durée de maintien est réglée pour ethernet0/1 à cinq minutes et 30 secondes. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security ieee802-dot1x tx- period 5m30s localhost(config-ieee802-dot1x)# commit Commit complete. localhost(config-ieee802-dot1x)# end localhost# show running-config interface ethernet0/1 port-security ieee802- dot1x tx-period interface ethernet0/1 port-security...
Page 281 Sécurité des données 7.6 Sécurité des ports Exemple La durée d'attente est réglée pour ethernet0/1 à 25 minutes et 34 secondes. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security ieee802-dot1x quiet- period 25m34s localhost(config-ieee802-dot1x)# commit Commit complete. localhost(config-ieee802-dot1x)# end localhost# show running-config interface ethernet0/1 port-security ieee802- dot1x quiet-period interface ethernet0/1 port-security...
Page 282 Sécurité des données 7.6 Sécurité des ports Exemple La réauthentification de demandeurs pour ethernet0/1 est activée comme suit. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security ieee802-dot1x reauth-enable localhost(config-ieee802-dot1x)# commit Commit complete. localhost(config-ieee802-dot1x)# end localhost# show running-config interface ethernet0/1 port-security ieee- dot1x reauth-enable interface ethernet0/1 port-security...
Page 283 Sécurité des données 7.6 Sécurité des ports Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de pont } port-security ieee802-dot1x reauth-period Exemple L'intervalle est réglé pour ethernet0/1 à 24 minutes et 30 secondes. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 port-security ieee802-dot1x reauth-period 25m34s...
Page 284 Sécurité des données 7.6 Sécurité des ports Opéra‐ Instruction Commande tion Paramétrez le nombre maximal de tentatives interface { port de pont } port- de réauthentification pour le port de pont sé‐ security ieee802-dot1x max- lectionné. request { 1 - 10 } Conditions : •...
Page 285 Sécurité des données 7.6 Sécurité des ports 7.6.3.6 Paramétrage de la période de timeout de demandeurs Pour paramétrer le délai que SINEC OS attend la réponse d'un demandeur à une requête EAP du serveur d'authentification, procédez comme suit. Opéra‐ Instruction Commande tion Passez en mode de configuration.
Page 286 Sécurité des données 7.6 Sécurité des ports 7.6.3.7 Paramétrage de la période de timeout du serveur d'authentification Pour paramétrer le temps d'attente de la réponse du serveur d'authentification au paquet EAP d'un demandeur, procédez comme suit. Opéra‐ Instruction Commande tion Passez en mode de configuration. config Définissez pour le port de pont sélectionné, le interface { Port de pont } port-...
Page 287 Sécurité des données 7.6 Sécurité des ports 7.6.4.1 Affichage de l'état de la sécurité d'un port de pont Pour afficher l'état de la sécurité d'un port de pont, saisissez la commande suivante en mode de fonctionnement : show interface { Port de pont } port-security status Exemple localhost# show interface ethernet0/1 port-security port-security...
Page 288 Sécurité des données 7.6 Sécurité des ports Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 289 Administration d'interfaces Ce chapitre décrit comment configurer et gérer des interfaces sur l'appareil. Interfaces Chaque port physique et chaque VLAN est représenté par une interface. Chaque interface offre diverses options de trafic de données entrant ou sortant. Ce paragraphe décrit les types d'interfaces et leurs paramètres configurables. IMPORTANT Vulnérabilité...
Page 290 Administration d'interfaces 8.1 Interfaces 8.1.1.1 Conventions de dénomination d'interfaces Les interfaces sont désignées en fonction des conventions suivantes : Conventions de déno‐ Exemples Description mination ethernet{ Emplace‐ ethernet0/1, ether‐ Les ports de pont sont nommés en fonction de l'emplacement physique où ment }/{ Port } net3/2 le port se trouve et du numéro de port.
Page 291 Administration d'interfaces 8.1 Interfaces 8.1.1.3 Communication en duplex La communication en duplex permet aux partenaires de liaison de communiquer dans les deux sens. SINEC OS prend en charge les types de voies de communication suivants suivants : • Duplex intégral En mode duplex intégral, les deux partenaires de liaison peuvent émettre et recevoir dans les deux sens.
Page 292 Administration d'interfaces 8.1 Interfaces ① ② ③ Voie de transmission principale ④ Voie de transmission de réserve ⑤ Automate Figure 8-3 Scénario En cas de défaillance de la voie de transmission de l'automate vers S1, S1 génère quand même un signal de liaison à l'adresse de l'automate par la voie de réception. L'automate détecte cependant le lien à...
Page 293 Administration d'interfaces 8.1 Interfaces administrativement par l'automate pendant que la liaison à S1 est active. S2 doit transmettre des trames à l'automate via S1. Remarque LFI peut uniquement être activé pour des ports de fibres optiques en verre. Dans le scénario décrit plus haut, S1 ne génère plus de signal d'intégrité de liaison, s'il ne reçoit plus de signal de liaison de l'automate.
Page 294 Remarque Utilisez uniquement des convertisseurs de médias agréés. Si vous utilisez des convertisseurs de médias qui n'ont pas été validés par Siemens, le fonctionnement de l'appareil conformément aux spécifications n'est pas assuré. Si vous utilisez des convertisseurs de médias non agréés, les problèmes ci-après peuvent survenir :...
Page 295 Remarque Les convertisseurs de médias embrochables, validés par Siemens, prennent en charge Smart SFP. Les convertisseurs de médias embrochables qui ne prennent pas en charge Smart SFP peuvent être désactivés et être repérés par Unidentified. Désactivez Smart SFP dans ce cas et configurez l'interface manuellement.
Page 296 Administration d'interfaces 8.1 Interfaces 8.1.2 Configuration des ports de pont Pour configurer un port de pont, procédez comme suit : 1. [Facultatif] Complétez ou modifiez la description du port de pont. Pour plus d'informations, voir "Ajout d'une description pour un port de pont (Page 297)". 2.
Page 297 Administration d'interfaces 8.1 Interfaces 8.1.2.1 Ajout d'une description pour un port de pont Une description peut être ajoutée à chaque port de pont pour faciliter l'identification de l'interface. La description peut contenir p. ex. le nom du constructeur, la désignation du produit, la version du matériel/firmware et/ou l'identification univoque de l'interface.
Page 298 Administration d'interfaces 8.1 Interfaces IMPORTANT Restrictions • L'autonégociation est uniquement disponible pour les ports de pont de catégorie 1 Gigabit Ethernet (ou supérieurs). Pour savoir si un port de pont est compatible avec l'autonégociation, voir "Affichage de la capacité d'autonégociation des différents ports de pont (Page 319)". •...
Page 299 Administration d'interfaces 8.1 Interfaces 8.1.2.3 Paramétrage de la vitesse des ports de pont La vitesse à laquelle un port de pont transfère des trames peut être réglée sur une valeur définie. La vitesse peut également être négociée entre un port et son partenaire de liaison si l'autonégociation est activée.
Page 300 Administration d'interfaces 8.1 Interfaces Opéra‐ Instruction Commande tion Passez en mode de configuration. config Sélectionnez la vitesse pour le port de pont interface { Port de pont } sélectionné. ethernet speed [ 0 | 0.01 | 0.1 | 1 | 2.5 | 5.0 | 10.0 ] Les options suivantes sont disponibles en fonction de la vitesse maximale prise en charge par le port.
Page 301 Administration d'interfaces 8.1 Interfaces Exemple Dans l'exemple ci-après, la vitesse de ethernet0/1 est paramétrée à 1.0 soit 1 Gbit/s. localhost# config localhost(config)# interface ethernet0/1 ethernet speed 1.0 localhost(config-interface-ethernet0/1)# commit Commit complete. localhost(config-interface-ethernet0/1)# end localhost# show running-config interface ethernet0/1 ethernet speed interface ethernet0/1 ethernet speed 1.0 exit...
Page 302 Administration d'interfaces 8.1 Interfaces Opéra‐ Instruction Commande tion Passez en mode de configuration. config Sélectionnez le mode duplex pour le port de interface { Port de pont } pont sélectionné. ethernet duplex [ auto | half | full ] Options disponibles : •...
Page 303 Administration d'interfaces 8.1 Interfaces 8.1.2.5 Activation de la rétrogradation pour les interfaces Gigabit La rétrogradation permet d'utiliser un câble à paires torsadées en cuivre entre deux ports Ethernet 1000Base-T. Si vous utilisez un câble à paires torsadées en cuivre et que la rétrogradation est activée, les interfaces réduisent automatiquement à...
Page 304 Administration d'interfaces 8.1 Interfaces 8.1.2.6 Activation de Link Fault Indication (LFI) Link Fault Indication (LFI) permet à un port de pont 1000BASE-X ou 100BASE-FX de détecter des défauts survenant à l'autre extrémité de la liaison. IMPORTANT Conditions • LFI est uniquement compatible avec les ports de pont 1000Base-X- et 100Base-FX. LFI est désactivé...
Page 305 Administration d'interfaces 8.1 Interfaces Pour configurer un port de pont de sorte qu'il exécute une action spécifique en cas d'évènement de Link down, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Configurez le port de pont sélectionné de interface {Port de pont } sorte qu'il exécute une action spécifique en ethernet link-down-action...
Page 306 Administration d'interfaces 8.1 Interfaces 8.1.2.8 Activation de notifications Link up/Link down Des notifications SNMP d'évènements Link up et Link down peuvent être activées ou désactivées pour des ports de pont spécifiques. Si elles sont désactivées, les alarmes liées à ces évènements ne sont jamais déclenchées pour ces interfaces.
Page 307 Administration d'interfaces 8.1 Interfaces Opé‐ Instruction Commande ration Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de convertisseur de médias embrochable } sfp autoconfig Exemple Dans cet exemple, on active un Smart SFP pour ethernet0/11. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/11 sfp autoconfig...
Page 308 Administration d'interfaces 8.1 Interfaces Exemple localhost# config localhost(config)# interface ethernet0/1 enabled localhost(config-interface-ethernet0/1)# commit Commit complete. localhost(config-interface-ethernet0/1)# end localhost# show running-config interface ethernet0/1 interface ethernet0/1 enabled exit 8.1.3 Configuration d'interfaces VLAN Il faut qu'au moins une interface VLAN soit définie pour pouvoir accéder à distance via un protocole IP (z.B.
Page 309 Administration d'interfaces 8.1 Interfaces Opéra‐ Instruction Commande tion Ajoutez l'interface VLAN. interface vlan{ ID de VLAN } Chaque interface de VLAN est affectée à un VLAN par son nom. Exemple : vlan10 est af‐ fecté via VLAN 10. Les interfaces VLAN doivent être ajoutées in‐ dividuellement.
Page 310 Administration d'interfaces 8.1 Interfaces Exemple Dans l'exemple suivant, une description est ajoutée à l'interface de VLAN 10. localhost# config localhost(config)# interface vlan10 description "Interface du réseau de production" localhost(config-interface-vlan10)# commit Commit complete. localhost(config)# end localhost# show running-config interface vlan10 description interface vlan10 description "Interface du réseau de production"...
Page 311 Administration d'interfaces 8.1 Interfaces interface vlan1 mtu 1500 exit 8.1.3.4 Activation de notifications Link up/Link down Des notifications SNMP d'évènements Link up et Link down peuvent être activées ou désactivées pour des interfaces de VLAN spécifiques. Si elles sont désactivées, les alarmes liées à ces évènements ne sont jamais déclenchées pour ces interfaces.
Page 312 Administration d'interfaces 8.1 Interfaces Opéra‐ Instruction Commande tion Passez en mode de configuration. config Activez l'interface de VLAN sélectionnée. interface vlan{ ID de VLAN } enabled En configurant une plage (p. ex. vlan1-3), vous pouvez sélectionner plusieurs interfa‐ ces de VLAN. Toutefois seules les interfaces définies dans la plage sont configurées.
Page 313 Administration d'interfaces 8.1 Interfaces 8.1.5 Surveillance d'interfaces Ce paragraphe décrit les diverses options de consultation les informations sur les interfaces disponibles, sur leur configuration, leurs capacités et leur état. 8.1.5.1 Affichage des caractéristiques d'interface Pour afficher les caractéristiques d'une interface avec vitesse de port, type de support de transmission, mode duplex etc., exécutez l'une des commandes suivantes en mode de fonctionnement : Commande...
Page 314 Administration d'interfaces 8.1 Interfaces show interface statistics [ in-octets | in-unicast-pkts | in- broadcast-pkts | in-multicast-pkts | in-discards | in-errors | out- octets | out-unicast-pkts | out-broadcast-pkts | out-multicast-pkts | out-discards | out-errors ] Exemple Affichage des statistiques d'une seule interface localhost# show interface statistics interface ethernet0/1 statistics in-octets 6820...
Page 315 Administration d'interfaces 8.1 Interfaces ethernet0/6 ethernet0/7 ethernet0/8 vlan1 vlan2 Description Les informations suivantes peuvent être affichées pour chaque interface : Statistiques Description in-octets Le nombre total d'octets de toutes les trames valides reçues par l'interface. in-unicast-pkts Le nombre de trames unicast reçues avec succès par l'interfa‐ in-multicast-pkts Le nombre de trames multicast reçues avec succès par l'inter‐...
Page 316 Administration d'interfaces 8.1 Interfaces Exemple Affichage des statistiques d'un seul port de pont localhost# show interface ethernet statistics interface ethernet0/1 ethernet statistics frame in-total-frames 49229 statistics frame in-total-octets 7587869 statistics frame in-frames 49229 statistics frame in-multicast-frames 41015 statistics frame in-broadcast-frames 578 statistics frame in-error-fcs-frames 0 statistics frame in-error-undersize-frames 0 statistics frame in-error-oversize-frames 0...
Page 317 Administration d'interfaces 8.1 Interfaces Description Les informations suivantes peuvent être affichées pour chaque port de pont : Statistiques Description in-broadcast-frames Le nombre de trames broadcast reçues avec succès par le port de pont. in-error-fcs-frames Le nombre de trames reçues par le port de pont et dont la longueur est valide, mais qui n'ont pas passé...
Page 318 Administration d'interfaces 8.1 Interfaces 8.1.5.4 Affichage des paramètres négociés pour les différents ports de pont Pour afficher les paramètres négociés avec le partenaire de liaison (c.-à-d. la vitesse et le mode duplex), exécutez la commande suivante en mode de fonctionnement : show interface ethernet duplex-status | select ethernet speed-status Exemple localhost# show interface ethernet duplex-status | select ethernet speed-status | tab...
Page 319 Administration d'interfaces 8.1 Interfaces vlan1 20:87:56:8c:9b:df vlan10 20:87:56:8c:9b:df vlan2 20:87:56:8c:9b:df Description Les informations suivantes peuvent être affichées pour chaque interface : Colonne Description NAME Le nom de l'interface. L'adresse MAC de l'interface. PHYS ADDRESS 8.1.5.6 Affichage de la capacité d'autonégociation des différents ports de pont Pour déterminer les ports de pont qui prennent en charge l'autonégociation, exécutez la commande suivante en mode de fonctionnement : show interface ethernet capabilities...
Page 320 Administration d'interfaces 8.1 Interfaces Pour afficher uniquement les interfaces qui sont dans un état défini, exécutez la commande suivante : show interface admin-status | select admin-status { État } Exemple L'exemple suivant affiche l'état administratif des différentes interfaces. localhost# show interface admin-status | tab ADMIN NAME STATUS...
Page 321 Administration d'interfaces 8.1 Interfaces Il se peut occasionnellement que l'état de liaison soit "inactif" alors que l'état administratif est "actif". Pour afficher l'état de liaison des interfaces, exécutez la commande suivante : show interface link-status Pour afficher uniquement les interfaces qui sont dans un état défini, exécutez la commande suivante : show interface link-status | select link-status { État } Exemple...
Page 322 } sfp Exemple localhost# show interface ethernet0/11 sfp sfp present true sfp model SFP992-1LD sfp vendor SIEMENS sfp article-num "6GK5 992-1AM00-8AA0" sfp description "1 x 1000 Mbit/s LC-Port ..." sfp part-rev sfp speed sfp serial-num N65BYDL sfp rx-power -27.5...
Page 323 Administration d'interfaces 8.1 Interfaces Description Remarque Si un convertisseur de médias embrochable ne propose pas de valeur, le paramètre n'est pas affiché. Si un convertisseur de médias embrochable lisible est embroché, les informations suivantes sont affichées : Paramètres Description present Indique si un convertisseur de médias embrochable est enfi‐ ché...
Page 324 Administration d'interfaces 8.2 Table d'adresses MAC Paramètres Description tx-max-power Affiche la valeur maximale de la puissance d'émission du con‐ vertisseur de médias embrochable en décibels milliwatt (dBm). Affiche la longueur de câble maximale pour un diamètre du max-len-9um noyau de la fibre de 9 μm en mètres (m). Affiche la longueur de câble maximale pour un diamètre du max-len-50um noyau de la fibre de 50 μm en mètres (m).
Page 325 Administration d'interfaces 8.2 Table d'adresses MAC Figure 8-4 Apprentissage d'adresses MAC de deux hôtes Le commutateur vient d'être redémarré VIDS MAC ADDRESS TRAFFIC CLASS ENTRY TYPE FORWARDING PORT %No entries found% Lorsque l'hôte A envoie une trame à l'hôte B, le commutateur apprend l'adresse MAC de l'hôte A et l'ajoute à...
Page 326 Administration d'interfaces 8.2 Table d'adresses MAC 8.2.2.1 Configuration du délai de vieillissement pour adresses MAC Les adresses MAC dynamiques apprises sont sujettes au vieillissement au bout d'un délai configurable. Dès que le délai configuré est écoulé, elles sont automatiquement supprimées de la table d'adresses MAC, à...
Page 327 Administration d'interfaces 8.2 Table d'adresses MAC Cette fonction est activée par défaut, mais peut toutefois être désactivée dans certaines applications. Pour configurer SINEC OS de sorte que les adresses MAC dynamiques apprises soient supprimées automatiquement lors de la détection d'une défaillance de la liaison, procédez comme suit : Opéra‐...
Page 328 Administration d'interfaces 8.2 Table d'adresses MAC 8.2.3.1 Ajout d'une entrée de filtre MAC statique Par la configuration d'une entrée de filtre MAC statique, une adresse MAC est ajoutée à la table d'adresses MAC. Les adresses MAC statiques ajoutées ne sont pas sujettes au vieillissement. Elles ne peuvent être supprimées de la table que par une action explicite de l'utilisateur.
Page 329 Administration d'interfaces 8.2 Table d'adresses MAC Exemple On ajoute ci-après une entrée et ethernet0/1 comme port de retransmission. localhost# config localhost(config)# switch mac-address-tables static 10 3A:34:52:C4:69:B8 forwarding-port-map ethernet0/1 localhost(config-forwarding-port-map-ethernet0/1)# commit Commit complete. localhost(config)# end localhost# show running-config switch mac-address-tables static | tab VIDS ADDRESS TRAFFIC CLASS...
Page 330 Administration d'interfaces 8.2 Table d'adresses MAC Pour affecter à une entrée de filtre MAC la file d'attente d'une classe de trafic, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Affectez à l'entrée sélectionnée, la file d'at‐ switch mac-address-tables tente d'une classe de trafic.
Page 331 Administration d'interfaces 8.2 Table d'adresses MAC traffic-class unprioritized entry-type dynamic port-map ethernet0/1 filtering-database entry 10 3A:34:52:C4:69:B8 traffic-class 7 entry-type static port-map ethernet0/1 filtering-database entry 2 00:01:C0:0B:B8:42 traffic-class unprioritized entry-type dynamic port-map ethernet0/1 3 entries in the list. Remarque Si la base de données filtrante est représentée sous forme de tableau, toutes les adresses MAC sont affichées Le nombre total d'adresses n'est pas affiché, si l'adaptation notab est appliquée.
Page 332 Administration d'interfaces 8.2 Table d'adresses MAC 8.2.4.2 Suppression d'adresses MAC dynamiques Si nécessaire, vous pouvez effacer de la table d'adresse MAC toutes les adresses apprises dynamiquement. La table est immédiatement reconstituée lorsque l'appareil recommence à recevoir des trames. Pour supprimer toutes les adresses apprises dynamiquement de la table d'adresses MAC, exécutez la commande suivante : switch mac-address-tables filtering-database purge-dynamic-entries Exemple...
Page 333 Attribution d'adresses IP Ce chapitre décrit des fonctions liées à l'attribution d'adresses IP, telles que DHCP et DNS. Attribution d'adresses IP statiques Les adresses IP peuvent être attribuées statiquement (manuellement) à une interface IP. Ceci est utile pour les interfaces IP qui doivent toujours être joignables à la même adresse IP. Pour configurer une adresse IPv4 statique, procédez comme suit : 1.
Page 334 Attribution d'adresses IP 9.1 Attribution d'adresses IP statiques % The following list contains 1 entry. ORIGIN PREFIX IPV4 STATUS VALID LIFETIME ----------------------------------------------------- 192.168.1.10 static 16 preferred forever 9.1.2 Affichage de la configuration d'adresses IPv4 Pour afficher toutes les interfaces IP auxquelles une adresse IP a été attribuée, exécutez en mode de fonctionnement la commande suivante : show interface ipv4 address Pour afficher une interface IP définie à...
Page 335 DNS, en indiquant tous les niveaux, ou pour le moins le second niveau (second level) et le premier niveau (top level). Exemple : www.industry.siemens.com Dans cet exemple, "com" correspond au niveau supérieur "siemens" au second ni‐ veau. "industry"Constitue un domaine de sous-niveau tandis que "www" est le nom d'hôte. Domaine Un domaine désigne une zone contiguë...
Page 336 DNS. Par exemple, si le nom de domaine www.industry.siemens.com doit être résolu, le résolveur DNS demande à un serveur racine le serveur DNS du domaine de premier niveau com.
Page 337 Attribution d'adresses IP 9.2 DNS statique 9.2.2 Configuration d'un DNS Pour configurer un DNS, procédez comme suit : 1. Configurez au moins un serveur DNS. Pour plus d'informations, voir "Configuration d'un serveur DNS (Page 337)". 2. [Facultatif] Configurez le nombre de fois qu'un serveur DNS doit être interrogé avant d'interroger le serveur suivant.
Page 338 Attribution d'adresses IP 9.2 DNS statique exit exit 9.2.2.2 Configuration du nombre de tentatives de requête adressées à un serveur DNS Pour configurer combien de requêtes infructueuses il faut avant de s'adresser à un autre serveur DNS, procédez comme suit : Opé‐...
Page 339 Attribution d'adresses IP 9.2 DNS statique 9.2.2.3 Configuration du temps d'attente de la réponse d'un serveur DNS Pour configurer le temps d'attente de la réponse d'un serveur DNS, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez le temps en secondes que le résol‐...
Page 340 Attribution d'adresses IP 9.2 DNS statique Pour créer un domaine de recherche, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez le domaine de recherche. system dns-resolver search { Domaine de recherche } Condition : • Il doit compter de 1 à 251 caractères. Validez la modification.
Page 341 Attribution d'adresses IP 9.3 DHCP Paramètre Description dns origin Indique comment le serveur DNS a été ajouté. Valeurs possibles : • static - Le serveur DNS a été ajouté manuellement. • dynamic - Le serveur DNS a été appris dynamiquement. Configurez le temps en secondes que le résolveur DNS attend dns options timeout la réponse d'un serveur DNS.
Page 342 Attribution d'adresses IP 9.3 DHCP 9.3.1.1 Communication DHCP Le DHCP connaît les types de messages suivants, avec lesquels la communication entre le client et le serveur s'effectue. Type de message Signification DHCPDiscover Si un client DHCP a besoin d'une adresse IP pour la première fois, il envoie un message de broadcast pour tester son réseau local à...
Page 343 Attribution d'adresses IP 9.3 DHCP 9.3.1.2 Serveur DHCP L'affectation des adresses IP peut être dynamique ou statique : • Affectation dynamique Dans le cas de l'attribution dynamique, des plages d'adresses IP sont configurées dans le serveur DHCP. Une adresse IP n'est attribuée que temporairement à un client lors de sa connexion.
Page 344 Attribution d'adresses IP 9.3 DHCP Pour activer l'interface de client DHCP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Activez l'interface de client DHCP. interface { Interface IP} ipv4 dhcp Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration.
Page 345 Attribution d'adresses IP 9.3 DHCP Opé‐ Instruction Commande ration Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show dhcp client ipv4 bindings { Interface IP } lease-requested Exemple Dans cet exemple, on configure une durée de validité de 1 heure. localhost# config Entering configuration mode terminal localhost(config)# dhcp client ipv4 vlan5 lease 1h...
Page 346 Attribution d'adresses IP 9.3 DHCP Pour modifier l'ID de client d'une interface DHCP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Définissez l'ID de client d'une interface de cli‐ dhcp client ipv4 { Interfaces ent DHCP. IP } client-id [ string { Chaîne de caractères } | mac-address | Options disponibles :...
Page 347 Attribution d'adresses IP 9.3 DHCP client-id MonitoringPC 9.3.2.4 Utilisation du nom d'hôte dans les notifications DHCP. Si vous activez cette option, le nom d'hôte du client DHCP sera utilisé dans la communication avec le serveur DHCP. Le serveur DHCP enregistre le nom d'hôte ainsi que l'adresse IP attribuée et peut utiliser ces informations de la manière suivante : •...
Page 348 Attribution d'adresses IP 9.3 DHCP Si la fonction est activée pour plusieurs clients DHCP et si l'appareil reçoit plusieurs réponses du serveur DHCP, l'appareil utilise le fichier de configuration dont il a reçu les informations en premier. IMPORTANT Vulnérabilité - risque d'intrusion et/ou d'utilisation abusive Ce paramétrage peut être potentiellement utilisé...
Page 349 Attribution d'adresses IP 9.3 DHCP Demander un fichier de configuration Pour configurer le fonctionnement d'une interface de client DHCP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez si le client DHCP demande un fi‐ dhcp client ipv4 { Interface IP } chier de configuration.
Page 350 Attribution d'adresses IP 9.3 DHCP localhost(config)# dhcp client ipv4 vlan5 config-file-request off localhost(config-vlan5)# commit Commit complete. localhost(config-vlan5)# end localhost# show dhcp client ipv4 bindings vlan5 config-file- requested config-file-requested off 9.3.3 Surveillance d'interfaces de client DHCP Ce paragraphe décrit comment faire afficher des données de configuration DHCP et surveiller des notifications DHCP.
Page 351 Attribution d'adresses IP 9.3 DHCP Lease-requested Lease-granted Lease-renew 2019-01-02 01:00:00 [YYYY-MM-DD HH:MM:SS] Lease-rebind 2019-01-02 01:45:00 [YYYY-MM-DD HH:MM:SS] Lease-expire 2019-01-02 02:00:00 [YYYY-MM-DD HH:MM:SS] Config-file-requested Tftp-server-name tftp-server.com Bootfile-name sinec.xml Description Les informations suivantes s'affichent : Paramètres Description Interface-enabled Indique si l'interface sur laquelle le client DHCP envoie des...
Page 352 Attribution d'adresses IP 9.3 DHCP Paramètres Description Tftp-server-name Adresse IP ou FQDN du serveur TFTP Noms du fichier de configuration Bootfile-name 9.3.3.2 Surveillance de notifications DHCP Pour afficher les notifications DHCP émises et reçues, vous pouvez exécuter différentes commandes en mode de fonctionnement : Commande Description show dhcp client ipv4 packet-...
Page 353 Attribution d'adresses IP 9.3 DHCP Description Les informations suivantes s'affichent : Paramètres Description OFFER PACKET Nombre de notifications DHCPOffer reçues Nombre de notifications DHCPAck reçues ACK PACKET NAK PACKET Nombre de notifications DHCPNak reçues Nombre de notifications DHCPDecline émises DECLINE PACKET Nombre de notifications DHCPDiscover émises DISCOVER PACKET REQUEST PACKET Nombre de notifications DHCPRequest émises...
Page 354 Attribution d'adresses IP 9.3 DHCP Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 355 Tree (RSTP) et le protocole Multiple Rapid Spanning Tree (RSTP). Tous deux sont des protocoles de redondance de réseau supprimant des chemins redondants afin d'éviter la formation de boucles dans le réseau. Le protocole propriétaire enhanced Rapid Spanning Tree Protocol (eRSTP) de Siemens met à disposition des perfectionnements supplémentaires du protocole Spanning Tree. IMPORTANT Risque de configuration - Risque de tempêtes de trafic de données...
Page 356 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) États et rôles RSTP Les ponts RSTP se voient attribuer le rôle de pont racine ou de pont désigné par les autres ponts du réseau. • Le pont racine est le centre logique du réseau. •...
Page 357 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) • Désigné Un port avec le rôle Désigné émet la meilleure PDU pour un segment de LAN (réseau local). Les ponts RSTP du même segment LAN attendent des messages les uns des autres et se mettent d'accord sur le pont qui envoie la meilleure BPDU.
Page 358 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Un port perd son état d'Edge-Port et devient un port RSTP normal lorsqu'il reçoit un message RSTP du pont racine. Une boucle qui s'est formée sur un port Edge-Port mal connecté est ainsi rapidement réparée. Comme les Edge-Ports ne desservent que les utilisateurs finaux, aucun changement de topologie n'est signalé...
Page 359 • Si l'âge dépasse le paramètre de vieillissement maximal, le message est immédiatement rejeté par le prochain pont qui le reçoit. Pour obtenir des tailles d'anneau étendues, eRSTP™ de Siemens n'augmente l'âge que de ¼ de seconde à chaque fois. La valeur du diamètre de pont maximal correspond donc au quadruple du paramètre de vieillissement maximal configuré.
Page 360 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Les deux protocoles sont nécessaires pour le couplage redondant de réseaux (R)STP et de topologies en anneau, pour éviter la formation de boucles de réseau et pour réduire les temps de commutation. Pour plus d’information sur Passive Listening, voir "Passive Listening (Page 464)" En cas de défaillance de la liaison active dans un réseau à...
Page 361 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) ① Appareils de couplage qui appartiennent au réseau (R)STP ② Appareils de couplage qui appartiennent à l'anneau MRP ③ Ports (R)RSTP avec EPLC activé ④ Abonnés de l'anneau avec Passive Listening activé ⑤ Notification de changement de topologie (TCN) Port à...
Page 362 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) RSTP dans les domaines d'application avec câblage structuré RSTP permet d'établir des systèmes de câblage structurés dans lesquels la connexion est maintenue même en cas de défaillance d'un lien. Par exemple, en cas de défaillance d'un seul lien entre A et N dans la figure "Exemple - Configuration RSTP pour câblage structuré", tous les ports des ponts 555 à...
Page 363 – Le basculement rapide du pont racine (Fast Root Failover) est une fonction eRSTP propre à Siemens. – Pour des performances optimales, tous les commutateurs du réseau, y compris la racine elle-même, doivent prendre en charge le basculement rapide du pont racine.
Page 364 5. Attribuer des priorités de pont dans l'anneau. – Pour plus d'informations, consultez le livre blanc "Performances de RSTP dans les topologies de réseau en anneau" (https://assets.new.siemens.com/siemens/assets/api/ uuid:d4af5d17-728c-493f-b00a-9c4db67b23ed/RSTP-whitepaper-EN-09-2020.pdf). 6. Choisissez une stratégie pour calculer les coûts de port. – Il est recommandé de déterminer les coûts par autonégociation, à moins que cela ne soit exclu pour des raisons de conception du réseau.
Page 365 10.1.1.3 Protocole Enhanced Rapid Spanning Tree (eRSTP) En tant qu'évolution de STP et RSTP, eRSTP (enhanced Rapid Spanning Tree Protocol) de SIEMENS empêche les tempêtes de broadcast. Les tempêtes de broadcast se produisent dans les topologies de réseau en anneau lorsqu'un commutateur reçoit une trame de broadcast dont l'adresse de destination MAC ne peut pas...
Page 366 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Timeout de protection BPDU Le timeout de protection BPDU est un élément du protocole eRSTP qui concerne la sécurité du réseau. Un RSTP standard doit traiter chaque BPDU reçue et réagir en conséquence. Cela ouvre aux pirates un moyen d'influencer la topologie RSTP en injectant des BPDU RSTP dans le réseau.
Page 367 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Basculement rapide du pont racine et performances RSTP • Si vous utilisez RSTP et que la fonction de basculement rapide du pont racine est désactivée, cela n'a aucun effet sur les performances de RSTP. •...
Page 368 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) MSTI Une instance MSTI (Multiple Spanning Tree Instance) est l'une des seize instances Spanning Tree indépendantes qui peuvent être définies dans une région MST (sans IST). Une MSTI est formée en attribuant un ensemble de VLAN à un identifiant MSTI spécifique. La même affectation doit être configurée sur tous les ponts qui doivent appartenir au MSTI.
Page 369 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Rôles de pont Rôle Description Racine CIST La racine CIST est le pont racine sélectionné du CIST (Common and Internal Spann‐ ing Tree), qui couvre tous les ponts STP et RSTP connectés ainsi que les régions MSTP. Racine régionale Il s'agit du pont racine de l'IST dans une région MSTP.
Page 370 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Avantages de MSTP MSTP est configuré par défaut pour obtenir automatiquement une solution Spanning Tree pour chaque MSTI configuré. Vous pouvez toutefois obtenir une valeur ajoutée supplémentaire en influençant la topologie des MSTI dans une région MST via la priorité du pont et le coût de chaque port.
Page 371 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Remarque Pour attribuer un VLAN à une MSTI, il n'est pas nécessaire d'activer MSTP. L'attribution doit toutefois être identique pour chaque pont appartenant à la région MSTP. Si vous disposez d'un ensemble de ponts Ethernet compatibles MSTP, procédez comme suit pour chaque pont du réseau : 1.
Page 372 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 3. Sélectionnez la priorité de pont. Si le pont doit être configuré comme pont racine, attribuez-lui une faible priorité. Pour plus d'informations, voir "Sélection de la priorité de pont (Page 374)". 4. Configurez Hello Time. On définit ainsi dans à...
Page 373 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config switch spanning-tree Exemple L'exemple suivant active les services Spanning Tree. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree enabled localhost(config-switch-spanning-tree)# commit Commit complete.
Page 374 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple ci-après, la version de Spanning Tree est réglée sur mstp pour Multiple Spanning Tree Protocol. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree version mstp localhost(config-switch-spanning-tree)# commit Commit complete. localhost(config-switch-spanning-tree)# end localhost# show running-config switch spanning-tree version switch...
Page 375 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, la priorité paramétrée est 4096. Si un autre pont a la priorité 0, il devient le pont racine et ce pont arrive en deuxième position. Si aucun autre pont ne possède une priorité...
Page 376 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple ci-après, on définit une temporisation entre les messages de configuration de 4 secondes. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree hello-time 4 localhost(config-switch-spanning-tree)# commit Commit complete. localhost(config-switch-spanning-tree)# end localhost# show running-config switch spanning-tree hello-time switch spanning-tree...
Page 377 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Pour configurer le délai de vieillissement maximal, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Configurez le délai de vieillissement maximal switch spanning-tree max-age- pour tous les ponts en secondes. time { 6 - 40 } La valeur doit être supérieure ou égale à...
Page 378 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Pour configurer une valeur de Transmit Hold, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Configuration du nombre de Transmit Hold switch spanning-tree transmit- count [{ 3 - 100 } | unlimited ] Options disponibles : •...
Page 379 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Opéra‐ Instruction Commande tion Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config switch spanning-tree forward-delay Exemple Dans l'exemple suivant, on paramètre une temporisation de 10 secondes. Les ports basculent au bout de 10 secondes à...
Page 380 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 6. [Facultatif] Limitez le rôle du port de pont. Si le port de pont est connecté à des ponts en dehors du centre du réseau, il peut être empêché de devenir un port de pont pour le CIST (Common Internal Spanning Tree) ou une MSTI.
Page 381 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, on définit Spanning Tree pour ethernet0/1. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 spanning-tree enabled localhost(config-interface-ethernet0/1-spanning-tree)# commit Commit complete. localhost(config-interface-ethernet0/1-spanning-tree)# end localhost# show running-config interface ethernet0/1 spanning-tree | detail interface ethernet0/1 spanning-tree enabled...
Page 382 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, les coûts du port de pont ethernet0/1 sont paramétrés à 1000. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 spanning-tree cost 1000 localhost(config-interface-ethernet0/1-spanning-tree)# commit Commit complete. localhost(config-interface-ethernet0/1-spanning-tree)# end localhost# show running-config interface ethernet0/1 spanning-tree cost interface ethernet0/1 spanning-tree...
Page 383 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, la priorité du port de pont ethernet0/1 est paramétrée à 240. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 spanning-tree port-priority 240 localhost(config-interface-ethernet0/1-spanning-tree)# commit Commit complete. localhost(config-interface-ethernet0/1-spanning-tree)# end localhost# show running-config interface ethernet0/1 spanning-tree port- priority interface ethernet0/1...
Page 384 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Opéra‐ Instruction Commande tion Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de pont } spanning-tree edge-port Exemple Dans l'exemple suivant, on définit ethernet0/1 explicitement comme port d'extrémité. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 spanning-tree edge-port enable...
Page 385 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Pour sélectionner le type de lien d'un port de pont, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Sélectionnez le type de lien du port de pont interface { Port de pont } sélectionné.
Page 386 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 10.1.3.6 Limitation du rôle d'un port de pont Pour que les ponts situés en dehors du centre du réseau n'affectent pas la topologie Spanning Tree, un administrateur peut empêcher les ports de pont connectés à ces ponts de devenir des ports de pont pour CIST (Common Internal Spanning Tree) ou une MSTI (Multiple Spanning Tree Instance).
Page 387 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) L'administrateur peut appliquer cette restriction aux ports de pont si, par exemple : • ces ports sont connectés à des appareils sur lesquels l'administrateur n'a aucun contrôle. • le paramètre de l'état de fonctionnement des adresses MAC des réseaux locaux connectés change fréquemment.
Page 388 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 10.1.3.8 Activation de Enhanced Passive Listening Compatibility (EPLC) EPLC est désactivé par défaut pour tous les ports de pont. Activez EPLC sur les deux ports de couplage (R)STP. Pour activer EPLC pour un port de pont, procédez comme suit : Opéra‐...
Page 389 4. Activez l'interopérabilité IEEE 802.1w. Cette fonction permet d'éliminer les problèmes de temps de rétablissement qui peuvent survenir lorsque d'autres appareils non-Siemens fonctionnent dans le Spanning Tree avec une version RSTP qui n'est compatible qu'avec la norme IEEE 802.1w. Pour plus d'informations, voir "Activation de l'interopérabilité IEEE 802.1w (Page 393)".
Page 390 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show switch spanning-tree erstp max-network-diameter Exemple Dans l'exemple suivant, le diamètre de réseau maximal est paramétré en fonction du RSTP standard, soit à la valeur du délai de vieillissement maximal. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree erstp max-network-diameter max-age-...
Page 391 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Pour configurer le timeout de protection BPDU, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Configurez le timeout de protection BPDU. switch spanning-tree erstp bpdu- guard-timeout [ { 1 - 86400 } | Options disponibles : until-reset | do-not-shutdown ] •...
Page 392 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 10.1.4.3 Sélection du basculement rapide du pont racine (Fast Root Failover) Grâce au basculement rapide du pont racine (Fast Root Failover), le temps de rétablissement du réseau en cas de panne d'un pont racine devient déterministe. IMPORTANT Risque de configuration - Risque de dégradation des performances du réseau Cette fonction est idéale, surtout dans les réseaux maillés.
Page 393 IEEE 802.w. Ce mode contient des améliorations pour RSTP qui éliminent les problèmes d'interopérabilité avec des appareils non-Siemens. Remarque L'interopérabilité IEEE 802.1w est activée par défaut. Pour activer l'interopérabilité IEEE 802.1w, procédez comme suit : Opéra‐...
Page 394 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, l'interopérabilité IEEE 802.1w est activée. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree erstp ieeedot1w-interoperability localhost(config-switch-spanning-tree)# commit Commit complete. localhost(config-switch-spanning-tree)# end localhost# show switch spanning-tree erstp ieeedot1w-interoperability switch spanning-tree erstp ieeedot1w-interoperability exit...
Page 395 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, le nombre maximal de sauts configurés est de 10. Si une BPDU transite par plus de 10 ponts, elle est rejetée par la onzième. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree mstp max-hops 10 localhost(config-switch-spanning-tree)# commit Commit complete.
Page 396 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 10.1.5.3 Configurez la version de la région Il faut affecter une version à chaque pont d'une région MST. En règle générale, tous les ponts d'une région MST (reconnaissables à l'ID racine régional) possèdent la même version. Toutefois, il est également possible que les ponts d'une région MST possèdent des versions différentes, ce qui entraîne la création de sous-régions.
Page 397 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) 10.1.6 Configuration d'instances Multiple Spanning Tree (MSTI) Pour configurer une instance Multiple Spanning Tree (MSTI), procédez comme suit : Remarque Seule MST 0 est créée implicitement et n'est pas modifiable par l'utilisateur. Toutes les autres MSTI doivent être créées explicitement.
Page 398 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, on crée une MSTI avec un ID de 2. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree mstp mst 2 localhost(config-mst-2)# commit Commit complete. localhost(config-mst-2)# end localhost# show switch spanning-tree mstp mst mstp mst 2 bridge-status unknown...
Page 399 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, la priorité pont de MST 2 paramétrée est 4096. localhost# config Entering configuration mode terminal localhost(config)# switch spanning-tree mstp mst 2 bridge 4096 localhost(config-mstp)# commit Commit complete. localhost(config-mstp)# end localhost# show switch spanning-tree mstp mst 2 bridge spanning-tree mstp...
Page 400 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, le VLAN 10 est affecté à la MSTI 2. localhost# config Entering configuration mode terminal localhost(config)# switch vlan 10 msti 2 localhost(config-switch-vlan-10)# commit Commit complete. localhost(config-switch-vlan-10)# end localhost# show running-config switch vlan 10 msti switch vlan 10 msti 2...
Page 401 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, la priorité de ethernet0/1 est paramétrée à MSTI 1. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 spanning-tree mst 1 port-priority localhost(config-mst-1)# commit Commit complete. localhost(config-mst-1)# end localhost# show running-config interface ethernet0/1 spanning-tree mst 1 port-priority interface ethernet0/1 spanning-tree...
Page 402 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple Dans l'exemple suivant, le coût ethernet0/1 vers MSTI 1 est paramétré à 30 000. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 spanning-tree mst 1 cost 30000 localhost(config-mst-1)# commit Commit complete. localhost(config-mst-1)# end localhost# show running-config interface ethernet0/1 spanning-tree mst 1 cost interface ethernet0/1...
Page 403 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple L'exemple suivant affiche l'état et les statistiques du service Spanning Tree. localhost# show switch spanning-tree spanning-tree bridge-status designated-bridge bridge-id 32768/D4:F5:27:5A:1B:B0 root-id 0/94:B8:C5:12:E7:00 root-port ethernet0/3 root-cost 220000 learned-hello-time learned-forward-delay learned-max-age total-topology-changes 5436 time-since-last-tc 56m20.47s mstp regional-root-id 32768/D4:F5:27:5A:1B:B0 mstp regional-root-cost 0...
Page 404 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Paramètres Description learned-max-age Délai de vieillissement que l'appareil a appris de son pont ra‐ cine. Le pont racine définit le délai de vieillissement maximal de tous les ponts désignés. total-topology-change Nombre de changements de topologie détectés par l'appareil depuis la suppression des statistiques.
Page 405 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple L'exemple suivant affiche les états et les statistiques du service Spanning Tree pour ethernet0/1 : localhost# show interface ethernet0/1 spanning-tree spanning-tree state forwarding role root oper-cost 200000 rx-rst 318970 tx-rst designated-bridge-id 28672/00:0A:DC:2D:BB:00 oper-edge false Exemple L'exemple suivant affiche les états et les statistiques du service Spanning Tree pour...
Page 406 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Description Les informations suivantes peuvent être affichées : Paramètres Description state État du port de pont. Valeurs possibles : • disabled - STP est désactivé pour le port de pont. • blocking - Le port de pont bloque le trafic STP. •...
Page 407 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Paramètres Description designated-bridge-id ID de pont désigné pour le port de pont. L'ID de pont désigné est l'ID du pont auquel un port de pont est relié. L'ID du pont est une combinaison de la priorité du pont désigné...
Page 408 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple L'exemple suivant illustre les états et statistiques de MST 2 : localhost# show switch spanning-tree mstp mst 2 spanning-tree mstp mst 2 bridge-status designated-bridge bridge-id 32768/00:01:02:03:04:05 root-id 32768/00:01:02:03:04:05 root-port ethernet0/1 root-cost 10000 total-topology-changes 55 exit exit exit...
Page 409 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Paramètres Description root-id ID racine de la MSTI. L'ID racine d'une MSTI est une combinaison de la priorité du pont et de l'adresse MAC de l'appareil. L'ID racine n'est attribuée à une MSTI que si celle-ci a été af‐ fectée à...
Page 410 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple L'exemple suivant illustre les états et statistiques de MST 2 sur ethernet0/1 : localhost# show interface ethernet0/1 spanning-tree mst 2 state spanning-tree mstp mst 2 state forwarding role designated oper-cost 10000 designated-bridge-id 32768/00:01:02:03:04:05 exit exit exit...
Page 411 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Description Les informations suivantes peuvent être affichées : Paramètres Description state État de la MSTI. Valeurs possibles : • disabled - STP est désactivé sur le port. • blocking - Le port bloque le trafic de données. •...
Page 412 Redondance de réseaux 10.1 Spanning Tree Protocol (STP) Exemple localhost# switch spanning-tree clear-statistics Are you sure you want to clear all spanning tree statistics? [no,yes] yes localhost# 10.1.8 Exemples de configuration Les exemples suivants montrent comment configurer un Spanning Tree. 10.1.8.1 Configuration MSTP de base Dans cet exemple, deux appareils (A et B) reçoivent du trafic multicast de sources séparées et transmettent les deux flux de données aux appareils de leur segment de LAN commun.
Page 413 Redondance de réseaux 10.2 Détection de boucles de réseau 9. Spécifiez comme nom de la région MSTP sinecos. Pour plus d'informations, voir "Ajout du nom d'une région. (Page 395)". 10.Spécifiez comme Version de la région MSTP 1. Pour plus d'informations, voir "Configurez la version de la région (Page 396)". 11.Affectez le VLAN 10 à...
Page 414 Redondance de réseaux 10.2 Détection de boucles de réseau Les boucles de réseau sont des erreurs de conception d'un réseau. Elles se produisent lorsque deux ports de pont du même appareil sont interconnectés ou lorsqu'il existe au moins deux connexions actives entre deux appareils qui ne sont pas gérées par un protocole (Spanning Tree p.
Page 415 Redondance de réseaux 10.2 Détection de boucles de réseau 10.2.1.1 Modes de port Lorsque la détection de boucle est activée, vous pouvez configurer les modes suivants pour les ports de pont : • Mode sending Le port de pont envoie des PDU et retransmet des PDU. Pour détecter une boucle de réseau, un appareil doit lui-même envoyer des PDU.
Page 416 Redondance de réseaux 10.2 Détection de boucles de réseau 10.2.1.2 Types de boucles de réseau La détection de boucles distingue les types de boucles suivants : • Boucle de réseau locale Si un appareil reçoit à nouveau une PDU envoyée sur un autre port de pont, il existe une boucle locale.
Page 417 Redondance de réseaux 10.2 Détection de boucles de réseau 10.2.2 Configuration de la détection de boucles de réseau Remarque Utilisez cette fonction en particulier dans les segments de réseau dans lesquels aucun Spanning Tree n'est configuré et dans lesquels les abonnés du réseau ne transmettent pas les PDU de pont Spanning Tree.
Page 418 Redondance de réseaux 10.2 Détection de boucles de réseau 9. Activez la détection de boucles de réseau. Pour plus d'informations, voir "Activation de la détection de boucles de réseau (Page 427)". 10.[Facultatif] Réinitialiser manuellement un port de pont après avoir supprimé une boucle sur le réseau.
Page 419 Redondance de réseaux 10.2 Détection de boucles de réseau no enabled exit exit localhost# show ethernetip device-level-ring ring-port1 ring-port1 ethernet0/6 ring-port1-status localhost# show ethernetip device-level-ring ring-port2 ring-port2 ethernet0/7 ring-port2-status 10.2.2.2 Configuration de ports de pont pour la détection de boucles de réseau Tenez compte lors de la configuration des ports de pont de la structure du réseau.
Page 420 Redondance de réseaux 10.2 Détection de boucles de réseau ring-port1-status localhost# show ethernetip device-level-ring ring-port2 ring-port2 ethernet0/7 ring-port2-status localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 loop-detection tx-state sending localhost(config-interface-ethernet0/1-loop-detection)# commit Commit complete. localhost(config-interface-ethernet0/1-loop-detection)# end localhost# show running-config interface ethernet0/1 loop-detection tx-state interface ethernet0/1 loop detection...
Page 421 Redondance de réseaux 10.2 Détection de boucles de réseau Entering configuration mode terminal localhost(config)# interface ethernet0/1 loop-detection tx-interval 1.5s localhost(config-interface-ethernet0/1-loop-detection)# commit Commit complete. localhost(config-interface-ethernet0/1-loop-detection)# end localhost# show running-config interface ethernet0/1 loop-detection tx-interval interface ethernet0/1 loop detection tx-interval 1.5s exit exit 10.2.2.4 Définition de la valeur limite de détection d'une boucle de réseau Pour détecter une boucle de réseau, un port de pont doit recevoir un nombre défini de PDU consécutives qu'il a lui-même envoyées.
Page 422 Redondance de réseaux 10.2 Détection de boucles de réseau Exemple Dans cet exemple, on configure pour ethernet0/1 la détection d'une boucle de réseau dès qu'il reçoit une PDU qu'il a lui-même envoyée. localhost# config Entering configuration mode terminal localhost(config)# interface ethernet0/1 loop-detection detect- threshold 1 localhost(config-interface-ethernet0/1-loop-detection)# commit Commit complete.
Page 423 Redondance de réseaux 10.2 Détection de boucles de réseau Pour configurer les effets sur le port du pont sur lequel une boucle de réseau local a été détectée, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurer les effets d'une boucle de réseau interface { Port de pont } loop-...
Page 424 Redondance de réseaux 10.2 Détection de boucles de réseau localhost# show running-config interface ethernet0/1 loop-detection reaction-local interface ethernet0/1 loop detection reaction-local no-reaction exit exit 10.2.2.6 Configuration de la réaction à une boucle de réseau distante Dès qu'un port de pont reçoit la première PDU qu'il a lui-même envoyée, une boucle de réseau distante est détectée.
Page 425 Redondance de réseaux 10.2 Détection de boucles de réseau Opé‐ Instruction Commande ration Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de pont } loop-detection reaction-remote Exemple Dans cet exemple, on configure pour ethernet0/1 qu'une boucle de réseau distante n'a pas d'effet sur le port de pont.
Page 426 Redondance de réseaux 10.2 Détection de boucles de réseau Opé‐ Instruction Commande ration Configurez la durée pendant laquelle le port de interface { Port de pont } loop- pont souhaité reste désactivé après la détec‐ detection reaction-timeout { 0s - tion d'une boucle de réseau. Une fois la tem‐ 86400s } porisation écoulée, le port de pont est réactivé.
Page 427 Redondance de réseaux 10.2 Détection de boucles de réseau loop detection reaction-timeout 2h exit exit 10.2.2.8 Activation du mode VLAN Activez le mode VLAN pour prendre en compte la configuration VLAN des ports de pont lors du traitement des PDU. Si le mode VLAN est activé, une seule boucle est détectée lorsque l'appareil reçoit sa propre PDU, envoyée et reçue sur le même VLAN.
Page 428 Redondance de réseaux 10.2 Détection de boucles de réseau Pour activer la détection de boucle de réseau, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Activez la détection de boucles de réseau pour switch loop-detection enabled tous les ports de pont.
Page 429 Redondance de réseaux 10.2 Détection de boucles de réseau 10.2.3 Surveillance de la détection de boucles de réseau Ce paragraphe décrit comment surveiller la détection de boucles 10.2.3.1 Affichage de l'état de la détection de boucles Pour afficher l'état de la détection de boucles, exécutez la commande suivante en mode de fonctionnement : show interface { Port de pont } loop-detection Exemple...
Page 430 Redondance de réseaux 10.3 Device Level Ring 10.3 Device Level Ring Device Level Ring (DLR) est une procédure redondante de couche 2 pour EtherNet/IP. Elle permet de réaliser des topologies en anneau avec EtherNet/IP. En cas d'interruption de la chaîne de communication, la communication est maintenue via un chemin redondant.
Page 431 Redondance de réseaux 10.3 Device Level Ring 10.3.1.1 Superviseur de l'anneau DLR fait la distinction entre les superviseurs actifs et les superviseurs d'anneau de secours : • Superviseur d'anneau actif Un superviseur d'anneau actif assure les fonctions suivantes : – il gère le réseau DLR –...
Page 432 Redondance de réseaux 10.3 Device Level Ring 10.3.1.2 Nœud d'anneau Les nœuds de réseau sans propriétés de superviseur sont classés comme suit : • Nœuds d'anneau basés sur des balises Un nœud d'anneau basé sur des balises assure les fonctions suivantes : – Il traite les trames de balises pour suivre l'état du réseau DLR –...
Page 433 Redondance de réseaux 10.3 Device Level Ring Remarque En raison des intervalles d'émission différents, les réseaux DLR avec des nœuds d'anneau basés sur les annonces ont des temps de rétablissement plus longs que ceux avec des nœuds d'anneau basés sur les balises. Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 434 Redondance de réseaux 10.3 Device Level Ring 10.3.1.4 Réseau DLR DLR distingue les états suivants : • État normal Le réseau DLR est à l'état normal lorsque le superviseur d'anneau actif a bloqué un de ses ports DLR. Dans cet état, le superviseur d'anneau actif envoie des trames de balises et d'annonces (également via le port DLR bloqué) afin de surveiller l'état du réseau DLR.
Page 435 Redondance de réseaux 10.3 Device Level Ring ① Superviseur d'anneau actif ② Nœud d'anneau ③ Trames de balises ④ Trames d'annonces Figure 10-12 Réseau DLR à l'état d'erreur 10.3.2 Configuration du DLR Pour configurer le DLR, procédez comme suit : 1. Activez EtherNet/IP. Pour plus d'informations, voir "Activation d'EtherNet/IP (Page 501)".
Page 436 Redondance de réseaux 10.3 Device Level Ring 10.3.2.1 Sélection du VLAN DLR Pour sélectionner le VLAN sur lequel des trames DLR sont émises, procédez comme suit : Opé‐ Instruction Commande ration Veuillez vous assurer que le VLAN voulu a été show switch vlan { ID de VLAN } configuré...
Page 437 Redondance de réseaux 10.3 Device Level Ring Avant de sélectionner les ports DLR, vérifiez les paramètres suivants et, si nécessaire, modifiez la configuration : Instruction Commande Assurez-vous que les deux ports que vous souhai‐ show interface { Port de tez utiliser comme ports DLR sont configurés com‐ pont } vlan type me ports de jonction.
Page 438 Redondance de réseaux 10.3 Device Level Ring localhost# show interface ethernet0/7 vlan type vlan type trunk localhost# show switch vlan 10 untagged-ports untagged-ports [ ethernet0/1 ethernet0/2 ethernet0/3 ethernet0/4 ethernet0/5 ethernet0/8 ] localhost# show interface ethernet0/6 spanning-tree state state disabled localhost# show interface ethernet0/7 spanning-tree state state disabled localhost# show running-config switch mrp enabled switch...
Page 439 Redondance de réseaux 10.3 Device Level Ring Opé‐ Instruction Commande ration Contrôlez la configuration. show running-config ethernetip device-level-ring ring-port1 show running-config ethernetip device-level-ring ring-port2 Exemple Dans cet exemple, ethernet0/6 et ethernet0/7 sont sélectionnés comme ports DLR. localhost# config Entering configuration mode terminal localhost(config)# ethernetip device-level-ring ring-port1 ethernet0/6 localhost(config-ethernetip-device-level-ring)# ring-port2...
Page 440 Redondance de réseaux 10.3 Device Level Ring Exemple Dans cet exemple, DLR est activé. localhost# config Entering configuration mode terminal localhost(config)# ethernetip device-level-ring enabled localhost(config-ethernetip-device-level-ring)# commit Commit complete. localhost(config-ethernetip-device-level-ring)# end localhost# show running-config ethernetip device-level-ring enabled ethernetip device-level-ring enabled exit exit 10.3.3 Surveillance de DLR Pour surveiller le réseau DLR, exécutez la commande suivante en mode de fonctionnement :...
Page 441 Redondance de réseaux 10.3 Device Level Ring Paramètres Description ring-topology Affiche la topologie courante du réseau DLR. Valeurs possibles : • linear - La topologie linear signifie qu'un nœud de l'anneau n'est pas connecté au superviseur d'anneau actif et ne reçoit pas de trames du superviseur. L'appareil se trouve encore ou à...
Page 442 Redondance de réseaux 10.3 Device Level Ring 10.3.4 Exemples de configuration Vous trouverez ci-après des exemples de mise en œuvre du DLR. 10.3.4.1 Utilisation du DLR dans le VLAN 0 Comme les trames balisées avec un ID de VLAN 0 sont traitées séparément, il est possible de faire fonctionner un anneau au-delà...
Page 443 Redondance de réseaux 10.4 Media Redundancy Protocol localhost(config)# interface ethernet0/6 vlan pvid 7 localhost(config-interface-ethernet0/6-vlan)# top localhost(config)# interface ethernet0/7 vlan pvid 7 localhost(config-interface-ethernet0/7-vlan)# top localhost(config)# switch vlan 7 vlan-0-tunnel localhost(config)# ethernetip device-level-ring enabled localhost(config-ethernetip-device-level-ring)# commit Commit complete. localhost(config-ethernetip-device-level-ring)# end localhost# show running-config ethernetip device-level-ring vid % No entries found.
Page 444 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.1.1 Rôles MRP Dans une topologie en anneau avec MRP chaque abonné de l'anneau possède l'un des rôles suivants : • Media Redundancy Manager (MRM) Un MRM a les fonctions suivantes : – Il gère un anneau MRP –...
Page 445 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.1.2 Réseau MRP MRP distingue les états suivants : • État normal Un anneau MRP est dans un état normal lorsque le MRM a bloqué le trafic sur l'un de ses ports d'anneau, à l'exception des télégrammes spécifiques au MRP. Ainsi, la structure physique en anneau est à...
Page 446 Redondance de réseaux 10.4 Media Redundancy Protocol – Interruption au niveau de port d'anneau du MRM Si l'interruption concerne directement le port d'anneau actif du MRM, ce port passe à l'état Link down. Le MRM active son port d'anneau, jusque-là bloqué, et donc le chemin de communication alternatif.
Page 447 Redondance de réseaux 10.4 Media Redundancy Protocol – Interruption à un autre endroit de l'anneau MRP Si l'anneau MRP est interrompu à un autre endroit, MRM active son port d'anneau bloqué. Les deux ports d'anneau participent activement au trafic de données et activent ainsi la voie de communication alternative.
Page 448 Redondance de réseaux 10.4 Media Redundancy Protocol du gestionnaire est d'autant plus élevée que sa valeur de priorité est faible. Si des MRA possèdent une valeur de priorité identique, c'est l'adresse MAC qui décide. La priorité du MRA dans le processus de sélection du gestionnaire est d'autant plus élevée que son adresse MAC est faible.
Page 449 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.1.5 Domaine de redondance Un domaine de redondance correspond à un anneau MRP et est représenté par un identificateur unique. Tous les appareils interconnectés au sein d'une topologie en anneau doivent appartenir au même domaine de redondance et posséder un même identificateur. Si un appareil est membre de plusieurs anneaux MRP, les télégrammes MRP sont délimités par les différents domaines de redondance.
Page 450 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.1.8 Configuration MRP via un automate PROFINET Vous pouvez configurer MRP directement sur l'appareil, mais aussi également sur un outil de configuration (p. ex. TIA Portal). Si vous réalisez la configuration MRP avec un outil de configuration, celle-ci sera chargée par un automate PROFINET sur les appareils connectés.
Page 451 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.2 Configuration de MRP Remarque S'il existe une connexion à un automate PROFINET, vous ne pouvez pas modifier la configuration MRP. Remarque Si vous utilisez MRP, veuillez vous assurer que l'appareil est exploité dans une zone de réseau sécurisée.
Page 452 Redondance de réseaux 10.4 Media Redundancy Protocol Les commandes du tableau ci-après permettent d'afficher et de contrôler la configuration courante. Les liens donnent accès à des informations supplémentaires et aux commandes permettant d'adapter la configuration en fonction des conditions requises pour MRP. Avant de configurer MRP, vérifiez les paramètres suivants et, si nécessaire, modifiez la configuration : Instruction...
Page 453 Redondance de réseaux 10.4 Media Redundancy Protocol Instruction Commande Veuillez vous assurer que les ports que vous sou‐ show interface { Port de pont } vlan haitez utiliser comme ports d'anneau n'acceptent acceptable-frame pas seulement des trames d'entrée VLAN balisées. Configurations compatibles : •...
Page 454 Redondance de réseaux 10.4 Media Redundancy Protocol switch loop-detection no enabled exit exit localhost# show running-config interface ethernet0/3 port- security enabled interface ethernet0/3 port-security no enabled exit exit localhost# show running-config interface ethernet0/4 port- security enabled interface ethernet0/4 port-security no enabled exit exit localhost# show running-config switch traffic-mirroring session 1...
Page 455 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.2.2 Configuration d'une instance MRP Pour configurer une instance MRP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez une instance MRP. switch mrp ring-id { 1 } Définissez le domaine de redondance. domain-name [ default-mrpdomain | mrpdomain-1 | mrpdomain-2 | Options disponibles :...
Page 456 Redondance de réseaux 10.4 Media Redundancy Protocol localhost# config Entering configuration mode terminal localhost(config)# switch mrp ring-id 1 localhost(config-ring-id-1)# domain-name default-mrpdomain localhost(config-ring-id-1)# mode mrp-auto-manager localhost(config-ring-id-1)# ring-port1 ethernet0/3 localhost(config-ring-id-1)# ring-port2 ethernet0/4 localhost(config-ring-id-1)# commit Commit complete. localhost(config-ring-id-1)# end localhost# show running-config switch mrp ring-id % The following list contains 1 entry.
Page 457 Redondance de réseaux 10.4 Media Redundancy Protocol localhost(config)# switch mrp enabled localhost(config-switch-mrp)# commit Commit complete. localhost(config-switch-mrp)# end localhost# show running-config switch mrp enabled switch enabled exit exit Voir aussi Activation de GVRP (Page 564) Activation de GMRP (Page 632) 10.4.2.4 Modification du domaine de redondance Tous les appareils interconnectés au sein d'une topologie en anneau doivent appartenir au même domaine de redondance.
Page 458 Redondance de réseaux 10.4 Media Redundancy Protocol Exemple Dans cet exemple, on active pour un abonné d'anneau le domaine de redondance mrpdomain-1. localhost# config Entering configuration mode terminal localhost(config)# switch mrp ring-id 1 domain-name mrpdomain-1 localhost(config-ring-id-1)# commit Commit complete. localhost(config-ring-id-1)# end localhost# show running-config switch mrp ring-id 1 domain-name switch ring-id...
Page 459 Redondance de réseaux 10.4 Media Redundancy Protocol localhost(config)# switch mrp ring-id 1 mode mrp-client localhost(config-ring-id-1)# commit Commit complete. localhost(config-ring-id-1)# end localhost# show running-config switch mrp ring-id 1 mode switch ring-id 1 mode mrp-client exit exit exit 10.4.2.6 Modification de ports d'anneau IMPORTANT Restrictions •...
Page 460 Redondance de réseaux 10.4 Media Redundancy Protocol localhost# show interface ethernet1/1 vlan pvid vlan pvid 1 localhost# show interface ethernet1/2 vlan pvid vlan pvid 1 localhost# show interface ethernet1/1 spanning-tree state state disabled localhost# show interface ethernet1/2 spanning-tree state state disabled localhost# show running-config ethernetip device-level-ring ring- port1 % No entries found.
Page 461 Redondance de réseaux 10.4 Media Redundancy Protocol localhost# show running-config switch traffic-mirroring session 1 destination switch traffic-mirroring session 1 destination port ethernet0/1 exit exit exit localhost# show interface ethernet1/1 vlan acceptable-frame vlan acceptable-frame admit-all-frames localhost# show interface ethernet1/2 vlan acceptable-frame vlan acceptable-frame admit-all-frames localhost# config Entering configuration mode terminal localhost(config)# switch mrp ring-id 1 ring-port1 ethernet1/1...
Page 462 Redondance de réseaux 10.4 Media Redundancy Protocol 10.4.3.1 Affichage des rôles MRP opérationnels Le rôle MRP configuré d'un appareil et son rôle opérationnel dans un anneau MRP peuvent être différents. Si le rôle MRA est configuré pour un appareil, il peut assurer en mode d'exploitation le rôle opérationnel MRM ou MRC .
Page 463 Redondance de réseaux 10.4 Media Redundancy Protocol show switch mrp ring-id { 1 } ring-port1-state show switch mrp ring-id { 1 } ring-port2-state Exemple localhost# show switch mrp ring-id 1 ring-port1-state ring-port1-state forwarding Description Les informations suivantes s'affichent : Paramètre Description Affiche l'état des ports d'anneau. ring-port1-state ring-port2-state Valeurs possibles :...
Page 464 10.5 Passive Listening Passive Listening permet le couplage redondant de réseaux (R)STP et de topologies MRP en anneau. Le protocole est une solution propriétaire de Siemens. 10.5.1 Ce qu'il faut savoir sur Passive Listening La connexion d'un réseau bureautique fonctionnant à une topologie maillée et RSTP à topologie en anneau d'un réseau d'automatisation est un élément crucial de la communication dans le...
Page 465 Redondance de réseaux 10.5 Passive Listening Pour répondre aux exigences, il faut mettre en œuvre un réseau de données stable, flexible et redondant. Cela est possible grâce à la conception des réseaux de communication avec des chemins de connexion physiques redondants entre les nœuds du réseau. Des protocoles de redondance spéciaux assurent ici une topologie de réseau sans boucle et la détection des interruptions de communication.
Page 466 Redondance de réseaux 10.5 Passive Listening Couplage redondant Passive Listening Les ports de pont pour lesquels aucun (R)STP n'est activé, rejettent les BPDU (R)STP. Comme les BPDU (R)STP ne sont pas retransmises dans l'anneau MRP, les deux dispositifs de couplage ① appartenant au réseau (R)STP ne détectent pas la connexion supplémentaire entre eux.
Page 467 Redondance de réseaux 10.5 Passive Listening ① Appareils de couplage qui appartiennent au réseau (R)STP ② Appareils de couplage qui appartiennent à l'anneau MRP ③ BPDU (R)STP ④ Abonnés de l'anneau avec Passive Listening activé Port (R)STP à l'état Retransmission Port (R)STP à l'état Blocage Figure 10-19 Couplage redondant Passive Listening Command Line Interface (CLI) SINEC OS V2.4...
Page 468 Redondance de réseaux 10.5 Passive Listening 10.5.1.3 Changements de topologie Par défaut, les abonnés de l'anneau n'apprendraient de nouvelles voies de communication (R)STP que lorsqu'ils mettraient automatiquement à jour leur table d'adresses MAC après l'expiration du délai de vieillissement. Pour réduire le temps de commutation, les abonnés de l'anneau avec Passive Listening activé...
Page 469 Redondance de réseaux 10.5 Passive Listening Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config switch passive-listening enabled Exemple Dans cet exemple, Passive Listening est activé. localhost# config Entering configuration mode terminal localhost(config)# no switch spanning-tree enabled localhost(config)# switch passive-listening enabled localhost(config-passive-listening)# commit Commit complete.
Page 470 Redondance de réseaux 10.5 Passive Listening localhost(config-passive-listening)# commit Commit complete. localhost(config-passive-listening)# end localhost# show running-config switch passive-listening bpdu-flood- vlan switch passive-listening bpdu-flood-vlan exit exit 10.5.2.3 Blocage de la retransmission de BPDU (R)STP Par défaut, tous les ports de pont d'un appareil sont inondés par les BPDU (R)STP. Si vous activez cette option pour un port de pont, les BPDU (R)STP reçues ne sont pas retransmises à...
Page 471 Vulnérabilité - risque d'intrusion et/ou d'utilisation abusive Par définition, LLDP n'est pas sûr. Si possible, désactivez LLDP sur les appareils connectés à des réseaux externes. Siemens recommande l'utilisation de LLDP uniquement dans des environnements sécurisés fonctionnant dans un environnement sécurisé.
Page 472 Découverte et gestion de réseau 11.1 LLDP 11.1.1.1 Format TLV Les données LLDP sont constituées d'une série d'attributs codés au format Type Length Value (TLV). Les attributs en format TLV sont constitués comme suit : • Type Type d'attribut Pour plus d'informations sur les types d'attributs, voir "LLDPDU (Page 472)". •...
Page 473 Découverte et gestion de réseau 11.1 LLDP • System Description TLV (Type 6) Une description personnalisée du système, en complément du Chassis ID Ce type peut contenir la valeur "sysDecr" (RFC 3148) • System Capabilities TLV (Type 7) La catégorie d'appareil/les propriétés de l'appareil, p. ex. routeur, pont, téléphone, point d'accès WLAN ou d'un appareil final divers.
Page 474 Découverte et gestion de réseau 11.1 LLDP 4. [Facultatif] Configurez la temporisation des LLDPDU lors de l'initialisation von LLDP sur un port de pont. Pour plus d'informations, voir "Définition de la temporisation de LLDPDU lors de l'initialisation von LLDP sur un port de pont (Page 476)". 5.
Page 475 Découverte et gestion de réseau 11.1 LLDP exit 11.1.2.2 Définition de la TTL dans les LLDPDU sortantes La durée de validité (TTL) définit le temps pendant lequel un appareil voisin stocke l'information LLDP avant de l'effacer. La valeur de la durée de validité est calculée à partir de l'intervalle d'émission tx-interval et d'un multiplicateur.
Page 476 Découverte et gestion de réseau 11.1 LLDP Exemple Dans cet exemple, on configure un intervalle d'émission de 50 secondes. localhost# config Entering configuration mode terminal localhost(config)# lldp tx-interval 50 localhost(config-lldp)# commit Commit complete. localhost(config-lldp)# end localhost# show running-config lldp tx-interval lldp tx-interval 50 exit 11.1.2.4...
Page 477 Découverte et gestion de réseau 11.1 LLDP 11.1.2.5 Définition de la temporisation d'émission de LLDPDU après une modification de la configuration Pour configurer la temporisation d'émission des LLDPDU après une modification de la configuration, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration.
Page 478 LLDP local-system-data Local System Name localhost Local System Description Siemens, SIMATIC NET, SCALANCE .., 6GK5 .., HW: Version x, FW: Version Vx, .. Local Device ID 10:00:00:00:00:00 Local Chassis ID Subtype macAddress ...
Page 479 Découverte et gestion de réseau 11.1 LLDP Paramètres Description Local Chassis ID Subtype Type de données utilisé pour indiquer l'ID de l'appareil Valeurs possibles : • macAddress - L'adresse MAC de l'appareil est utilisée comme ID de l'appareil. • local - Un nom d'appareil PROFINET a été attribué. Le nom de l'appareil PROFINET est utilisé...
Page 480 Découverte et gestion de réseau 11.2 DCP Paramètres Description Remote Capabilities Enabled Propriétés de l'appareil connecté Valeurs possibles : • Bridge • Router • Station • DOCSIS Cable Device (modem câble) • WLAN Access Point • Repeater • Telephone • Other Remote Hold Time Durée au format nYnMnDnhnmns, pendant laquelle les infor‐...
Page 481 Découverte et gestion de réseau 11.2 DCP 11.2.2.1 Configuration des droits d'accès de DCP IMPORTANT Vulnérabilité - risque d'intrusion et/ou d'utilisation abusive Par définition, lDCP n'est pas sûr. Les droits d'accès de DCP dépendent de l'état de l'appareil. • DCP est activé à la livraison et après la restauration des paramètres par défaut. Les paramètres d'appareil peuvent être lus et édités.
Page 482 Découverte et gestion de réseau 11.2 DCP Pour configurer les droits d'accès de DCP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 483 Découverte et gestion de réseau 11.2 DCP Opé‐ Instruction Commande ration Configurez les droits d'accès de DCP. profinet dcp-mode [ off | read- only | read-write | setup ] Options disponibles : • off - DCP est désactivé. Les paramètres d'appareil ne peuvent être ni lus ni édités. Avec ce réglage, l'appareil ne peut pas être utilisé...
Page 484 Découverte et gestion de réseau 11.2 DCP Opé‐ Instruction Commande ration L'appareil se trouve ensuite en état de fonc‐ tionnement sûr. Le changement d'état se fait automatiquement et une seule fois. En mode de fonctionnement sécurisé, les paramètres de l'appareil peuvent unique‐ ment être lus, mais ne peuvent pas être édités.
Page 485 • Sur le site Internet (http://www.profibus.com) de l'association des utilisateurs de PROFIBUS "PROFIBUS & PROFINET International" également compétente pour PROFINET. • Pour plus d'informations, voir le Site web Siemens (http://www.siemens.com/profinet). Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 486 Découverte et gestion de réseau 11.3 PROFINET 11.3.1 Ce qu'il faut savoir sur PROFINET PROFINET, en tant que norme d'automatisation basée sur Ethernet de PROFIBUS International, définit un modèle de communication, d'automatisation et d'ingénierie interconstructeur. PROFINET est particulièrement adapté aux systèmes d'automatisation industriels et aux réseaux de conduite des processus dans lesquels le contrôle des mouvements et la commande précise des appareils et des équipements de test sont importants.
Page 487 Découverte et gestion de réseau 11.3 PROFINET SIMATIC SCALANCE S7-1500 XC-200 SIMATIC ET 200MP S7-300 Constituants PROFINET Description ① Système PROFINET IO ② Contrôleur PROFINET Appareil qui permet d'adresser des appareils PROFINET con‐ nectés. Cela signifie : Le contrôleur PROFINET échange des signaux d'entrée et de sortie avec des appareils de terrain.
Page 488 Découverte et gestion de réseau 11.3 PROFINET 11.3.1.2 Adressage d'appareil Chaque appareil PROFINET est clairement identifiable dans le réseau par son interface PROFINET. Pour cela, chaque interface PROFINET possède : • Une adresse MAC (paramètre par défaut) – Chaque abonné Ethernet en possède une et elle est unique dans le monde entier. –...
Page 489 Découverte et gestion de réseau 11.3 PROFINET Real-Time (RT) Avec la communication RT, les données cycliques sont transmises entre le contrôleur PROFINET et l'appareil PROFINET, mais ne sont pas synchronisées. PROFINET avec RT convient pour : • Les applications à temps critique dans l'automatisation de la production. La transmission des données critiques en termes de temps a lieu à...
Page 490 Découverte et gestion de réseau 11.3 PROFINET 11.3.1.5 Données I&M Les données d'identification et de maintenance (I&M) sont des informations stockées dans un appareil qui vous aident dans les tâches suivantes : • la vérification de la configuration de l'installation, • la recherche de modifications matérielles d'une installation, Les données I&M sont définies dans la norme PROFINET.
Page 491 Découverte et gestion de réseau 11.3 PROFINET Remarque Bien que le paramètre name-of-station soit affiché en mode de configuration, vous ne pouvez pas modifier le nom d'appareil PROFINET sous CLI. Configurez le nom d'appareil PROFINET par ex. via SINEC PNI. 11.3.2.1 Configuration de l'interface TIA L'interface TIA donne accès à...
Page 492 Découverte et gestion de réseau 11.3 PROFINET 11.3.2.2 Configuration du comportement en cas d'erreur PROFINET Pour configurer le comportement d'un appareil PROFINET en cas d'erreur PROFINET, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Pour configurer le comportement d'un appa‐ profinet fault-mode [ latent | reil PROFINET en cas d'erreur PROFINET, procé‐...
Page 493 Are you sure you want to reboot the device? [no,yes] yes login as: admin admin@192.168.16.15's password: ******** Welcome to the SINEC OS Command Line Interface Copyright (c) 2019 Siemens AG admin connected from 192.168.16.1 using ssh on localhost localhost# show profinet oper-status oper-status off 11.3.2.4...
Page 494 Découverte et gestion de réseau 11.3 PROFINET Vous pouvez enregistrer le fichier GSD sur un serveur distant. Remarque Modification du nom dans le fichier GSD Dans le fichier GSD livré avec la version 2.4 de SINEC OS, les noms de certains appareils ont été adaptés.
Page 495 Découverte et gestion de réseau 11.3 PROFINET show profinet oper-status Exemple localhost# show profinet oper-status oper-status off Description Les informations suivantes s'affichent : Paramètres Description oper-status Affiche le mode exécutif PROFINET. Valeurs possibles : • off - Seuls DCP et LLDP sont activés. •...
Page 496 Découverte et gestion de réseau 11.3 PROFINET 11.3.3.4 Affichage des données I&M Seules les données I&M de l'appareil sont affichées. Les données I&M des constituants subordonnés ayant leurs propres numéros d'article ne sont pas affichées (p. ex. les convertisseurs de médias embrochables). Pour afficher les données I&M de l'appareil, exécutez la commande suivante en mode de fonctionnement : show profinet im...
Page 497 Découverte et gestion de réseau 11.4 EtherNet/IP Paramètres Description date Affiche la date d'installation ou de la première mise en service de l'appareil. Vous pouvez configurer la date avec SINEC PNI, p. ex. Affiche des informations complémentaires sur l'appareil. descriptor Vous pouvez configurer ces informations complémentaires avec SINEC PNI, p.
Page 498 Découverte et gestion de réseau 11.4 EtherNet/IP 11.4.1 Ce qu'il faut savoir sur EtherNet/IP EtherNet/IP complète Ethernet par le Common Industrial Protocol (CIP) sur la couche application. Sous EtherNet/IP, les fonctions transmission, liaison, réseau et transport des couches inférieures du modèle OSI sont assurées par Ethernet . 11.4.1.1 Common Industrial Protocol Common Industrial Protocol (CIP) est un protocole d'application de l'automatisation qui prend...
Page 499 L'objet Identity permet d'identifier les périphériques EtherNet/IP et fournit des informations générales sur le périphé‐ rique. Le Vendor ID de Siemens est 1251. Le Device Type est 2Ch (Managed Ethernet Switch). Message Router Object L'objet Message Router retransmet des messages explicites aux objets voulus.
Page 500 Découverte et gestion de réseau 11.4 EtherNet/IP 11.4.1.6 Electronic Data Sheet Une Electronic Data Sheet (EDS) est une fiche technique électronique qui sert de base commune de configuration. Les caractéristiques d'un périphérique EtherNet/IP sont décrites dans une EDS. Elle contient toutes les informations nécessaires à l'intégration des appareils dans un système EtherNet/IP.
Page 501 Découverte et gestion de réseau 11.4 EtherNet/IP Exemple localhost# config Entering configuration mode terminal localhost(config)# ethernetip management-interface vlan4 localhost(config-ethernetip)# commit Commit complete. localhost(config-ethernetip)# end localhost# show running-config ethernetip management-interface ethernetip management-interface vlan4 exit 11.4.2.2 Activation d'EtherNet/IP EtherNet/IP est désactivé par défaut. Pour activer EtherNet/IP, procédez comme suit : Opé‐...
Page 502 Découverte et gestion de réseau 11.5 ARP Enregistrement du fichier EDS Pour enregistrer le fichier EDS de l'appareil sur un serveur distant, procédez comme suit : Opé‐ Instruction Commande ration Enregistrez le fichier EDS. system data-model eds save target { URL } Pour plus d'informations sur l'URL, voir "Spéci‐...
Page 503 Découverte et gestion de réseau 11.5 ARP 11.5.2 Affichage de l'aperçu des tableaux ARP Pour afficher l'aperçu des tableaux ARP de toutes les interfaces VLAN, exécutez la commande suivante en mode de fonctionnement : show interface ipv4 arp Pour afficher le tableau ARP d'une interface spécifique, exécutez la commande suivante en mode de fonctionnement : show interface { Port de pont } ipv4 arp Exemple...
Page 504 Découverte et gestion de réseau 11.6 SNMP Paramètres Description TYPE Méthode d'encapsulation utilisée pour les notifications ARP Valeurs possibles : • arpa – Signifie Advanced Research Projects Agency. Indique que l'interface est connectée à un réseau selon IEEE 802.3. STATE État de l'entrée voisine Valeurs possibles : •...
Page 505 Découverte et gestion de réseau 11.6 SNMP 11.6.1.1 Versions de SNMP SINEC OS prend en charge les versions suivantes de SNMP : • SNMPv1 SNMPv1 propose des types de messages SNMP de base qui permettent de demander ou de modifier les données des constituants du réseau. SNMPv1 dispose de peu de mécanismes de sécurité.
Page 506 être enregistrée par un administrateur dans le cas d'une MIB privée, par exemple. Dans le cas de SINEC OS, les fichiers MIB de l'appareil peuvent être téléchargés. Pour plus d'informations, voir (https://support.industry.siemens.com/cs/de/en/ view/109797643). Command Line Interface (CLI) SINEC OS V2.4...
Page 507 Découverte et gestion de réseau 11.6 SNMP 11.6.1.5 Requêtes et notifications Les gestionnaires SNMP et les agents SNMP peuvent communiquer via des requêtes SNMP (Polling) et des notifications SNMP. • Interrogation Le gestionnaire SNMP demande à intervalles réguliers les paramètres à surveiller d'un agent SNMP.
Page 508 Découverte et gestion de réseau 11.6 SNMP SNMP connaît les types de messages suivants. Type de messa‐ Signification Disponible ge SNMP à partir de Est envoyé par le gestionnaire SNMP à un agent SNMP pour demander un enregistrement. GetNext GetNext est une extension de la requête Get qui demande la valeur de l'OID suivant dans la MIB.
Page 509 Découverte et gestion de réseau 11.6 SNMP Exemple L'OID 1.3.6.1.2.1.1.1 est le chemin vers l'objet sysDescr. 11.6.1.9 Objet MIB sysName L'objet MIB sysName correspond au nom d'appareil. Il utilise la même source de données que le nom d'hôte. Les deux éléments se distinguent uniquement par son paramétrage par défaut et après la restauration des paramètres par défaut ou la suppression.
Page 510 Découverte et gestion de réseau 11.6 SNMP Pour limiter un accès non autorisé, vous pouvez configurer en option les paramètres suivants pour une SNMP Community : • Contexte Le contexte est transmis avec la Community String par une requête SNMP. Par défaut, une chaîne de caractères vide est définie pour le contexte.
Page 511 Découverte et gestion de réseau 11.6 SNMP Si vous configurez un mot de passe pour un utilisateur, vous ne pouvez pas le rééditer. Vous pouvez utiliser la commande show pour afficher uniquement la clé localisée. 11.6.1.14 View-Based Access Control Model (VACM) pour l'attribution de droits d'accès View-Based Access Control Model (VACM) attribue des droits d'accès aux groupes SNMP.
Page 512 Découverte et gestion de réseau 11.6 SNMP • Mode d'accès On distingue les types d'accès suivants : – Lire (Get) – Écrire (Set) – Avertir (Trap) • SNMP View Les SNMP Views peuvent être des valeurs individuelles ou des chemins complets de la MIB qu'une requête SNMP avec les droits d'accès correspondants peut consulter ou modifier.
Page 513 Découverte et gestion de réseau 11.6 SNMP localhost# show running-config system management-services snmp community system management-services snmp community Sinec-Community text-name Sinec security-name Sinec-Sec exit exit exit exit La SNMP Community est liée au groupe SNMP ReadWrite. localhost# show running-config system management-services snmp vacm group ReadWrite system management-services...
Page 514 Découverte et gestion de réseau 11.6 SNMP Lors d'une requête SNMPv2, un accès en écriture write-view est donné à la View restricted. 11.6.2 Configuration de SNMP Pour configurer SNMP, procédez comme suit : 1. Configurez l'agent SNMP. Pour plus d'informations, voir "Configuration de l'agent SNMP (Page 514)". 2.
Page 515 Découverte et gestion de réseau 11.6 SNMP Pour configurer la version de SNMP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Définissez les versions de SNMP que l'agent system management-services snmp SNMP prend en charge version [ v1 | v2c | v3 ] Vous pouvez activer plusieurs versions de SNMP dans une commande ou les désactiver en utilisant la forme no de la commande.
Page 516 Découverte et gestion de réseau 11.6 SNMP management-services snmp version v3 exit exit exit 11.6.3.2 Configuration d'un nœud d'extrémité de serveur pour SNMP Configurez l'adresse IP locale et le port, via lesquels un nœud d'extrémité de serveur traite des requêtes SNMP. IMPORTANT Risque de configuration - Risque de coupure de la liaison Si l'appareil obtient son IP dynamiquement par DHCP, tenez compte de ce qui suit :...
Page 517 Découverte et gestion de réseau 11.6 SNMP Pour configurer un nœud d'extrémité de serveur, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez pour un nœud d'extrémité de ser‐ system management-services snmp veur l'adresse IP locale et le port. endpoint default udp ipv4 { Adresse IP } port [ 161, 4096 - Adresse IP par défaut : 0.0.0.0...
Page 518 Découverte et gestion de réseau 11.6 SNMP Pour activer un nœud d'extrémité de serveur pour SNMP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Activez le nœud d'extrémité de serveur pour system management-services snmp SNMP. endpoint default enabled Validez la modification.
Page 519 Découverte et gestion de réseau 11.6 SNMP Pour activer l'agent SNMP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Activez l'agent SNMP. system management-services snmp enabled Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services snmp enabled Exemple...
Page 520 Découverte et gestion de réseau 11.6 SNMP Pour configurer une SNMP Community, procédez comme suit : 1. Définissez une SNMP Community. Pour plus d'informations, voir "Définition d'une SNMP Community (Page 520)". 2. [Facultatif] Définissez le contexte dans lequel une SNMP Community peut accéder aux données de la MIB.
Page 521 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration Attribuez un nom à la SNMP Community. [ text-name | binary-name ] { Nom } Le nom de la Community correspond à la Com‐ munity String qu'un utilisateur indique lors d'une requête SNMP via SNMPv1 et v2c.
Page 522 Découverte et gestion de réseau 11.6 SNMP exit exit exit 11.6.4.2 Définition du contexte dans lequel une SNMP Community peut accéder aux données de la MIB. Le contexte est utilisé avec un groupe pour restreindre l'accès à certaines zones de la MIB. Par défaut, une chaîne de caractères vide est définie pour le contexte d'une SNMP Community.
Page 523 Découverte et gestion de réseau 11.6 SNMP 11.6.4.3 Liez une SNMP Community à une cible SNMP. Dans une cible SNMP, une adresse IP ou une plage IP est définie en configurant une longueur de préfixe. En associant une SNMP Community à une cible SNMP, l'adresse IP ou la plage d'adresses IP à...
Page 524 Découverte et gestion de réseau 11.6 SNMP exit 11.6.5 Configuration d'un utilisateur SNMP Pour configurer un utilisateur SNMP, procédez comme suit : 1. Définissez un utilisateur SNMP. Pour plus d'informations, voir "Création d'un utilisateur SNMP (Page 524)". 2. [Facultatif] Définissez un mot de passe d'authentification pour un utilisateur SNMP ou spécifiez une clé...
Page 525 Découverte et gestion de réseau 11.6 SNMP localhost# show running-config system management-services snmp usm local user Userv3 system management-services snmp local user Userv3 exit exit exit exit exit 11.6.5.2 Définition d'un mot de passe d'authentification pour un utilisateur SNMP Lorsque vous configurez un mot de passe d'authentification pour un utilisateur SNMP, vous pouvez également configurer pour celui-ci le niveau de sécurité...
Page 526 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services snmp usm La clé localisée s'affiche à la place du mot de local user { Nom } auth passe configuré.
Page 527 Découverte et gestion de réseau 11.6 SNMP 11.6.5.3 Spécifier une clé localisée pour l'authentification Pour spécifier une clé localisée pour l'authentification d'un utilisateur SNMP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Choisissez un algorithme et indiquez la clé lo‐ system management-services snmp calisée d'un utilisateur SNMP pour l'authentifi‐...
Page 528 Découverte et gestion de réseau 11.6 SNMP exit exit exit exit 11.6.5.4 Définition d'un mot de passe de cryptage pour un utilisateur SNMP Lorsque vous configurez un mot de passe de cryptage pour un utilisateur SNMP, vous pouvez également configurer le niveau de sécurité correspondant pour celui-ci. SINEC OS prend en charte une authentification par algorithme DES ou AES.
Page 529 Découverte et gestion de réseau 11.6 SNMP (<string, min: 8 chars, max: 255 chars>): ********** localhost(config-user-Userv3)# commit Commit complete. localhost(config-user-Userv3)# end localhost# show running-config system management-services snmp usm local user Userv3 priv system management-services snmp local user Userv3 priv des localized-key "$8$GYSdllNlnQ2..." exit exit exit...
Page 530 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services snmp usm local user { Nom } auth Exemple localhost# config Entering configuration mode terminal localhost(config)# system management-services snmp usm local user Userv3 auth md5 localized-key $8$tk2ukDr53pMp+...
Page 531 Découverte et gestion de réseau 11.6 SNMP 11.6.6.1 Définition d'une SNMP View Une SNMP View définit quelles parties de la MIB sont accessibles. Les SNMP Views suivantes sont configurées par défaut : Nom de View Type de View include restricted include 1.3.6.1.6.3.18.1.1.1.*.112.117.98.108.105.99 exclude 1.3.6.1.6.3.18.1 Remarque...
Page 532 Découverte et gestion de réseau 11.6 SNMP Entering configuration mode terminal localhost(config)# system management-services snmp vacm view readview localhost(config-view-readview)# include 1.3.6.1.2.1.1.5 localhost(config-view-readview)# commit Commit complete. localhost(config-view-readview)# end localhost# show running-config system management-services snmp vacm view readview system management-services snmp vacm view readview include [ 1.3.6.1.2.1.1.5 ] exit exit...
Page 533 Découverte et gestion de réseau 11.6 SNMP 11.6.6.2 Définition d'un groupe SNMP avec des droits d'accès à des zones de la MIB (Views). Un groupe SNMP permet de définir les informations qu'un membre du groupe doit fournir lors d'une requête SNMP pour pouvoir accéder à une partie de la MIB (View). Les groupes SNMP suivants sont paramétrés par défaut : Nom de groupe Contexte...
Page 534 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration Définissez les droits d'un groupe SNMP. Les access { Contexte } [ any | usm | droits d'accès se composent du contexte, du v1 | v2c ] [ auth-no-priv | auth- modèle de sécurité...
Page 535 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration [Facultatif] Définissez avec quelle précision le context-match [ exact | prefix ] contexte transmis doit correspondre au con‐ texte configuré. Options disponibles : • exact - Le contexte transmis par le ges‐ tionnaire SNMP doit correspondre exacte‐...
Page 536 Découverte et gestion de réseau 11.6 SNMP exit exit 11.6.6.3 Associer un nom de sécurité à un groupe SNMP Un groupe SNMP permet de relier les SNMPv1/v2c Communities ou les utilisateurs SNMPv3 aux SNMP Views. Assurez-vous qu'au moins une SNMP Community ou un utilisateur SNMP est configuré.
Page 537 Découverte et gestion de réseau 11.6 SNMP localhost(config)# system management-services snmp vacm group GroupWv3 member Userv3 localhost(config-member-Userv3)# security-model usm localhost(config-member-Userv3)# commit Commit complete. localhost(config-member-Userv3)# end localhost# show running-config system management-services snmp vacm group GroupWv3 member system management-services snmp vacm group GroupWv3 member Userv3 security-model [ usm ] exit...
Page 538 Découverte et gestion de réseau 11.6 SNMP L'entrée suivante est configurée par défaut : Paramètres de cible SNMP Modèle de sécurité Nom de sécurité SNMPv1Param trap Pour configurer les paramètres des cibles SNMPv1 et SNMPv2c, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration.
Page 539 Découverte et gestion de réseau 11.6 SNMP exit 11.6.7.2 Configuration de paramètres de cible SNMPv3 Les paramètres de la cible SNMP sont utilisés pour définir plus précisément une cible SNMP. Vous pouvez utiliser des paramètres de cible SNMP pour une ou plusieurs cibles SNMP. Pour configurer des paramètres de cible SNMPv3, procédez comme suit : Opé‐...
Page 540 Découverte et gestion de réseau 11.6 SNMP localhost(config-snmp-target-params-SNMPv3Param)# usm user-name Userv3 security-level auth-priv localhost(config-snmp-target-params-SNMPv3Param)# commit Commit complete. localhost(config-snmp-target-params-SNMPv3Param)# end localhost# show running-config system management-services snmp target-params SNMPv3Param system management-services snmp target-params SNMPv3Param usm user-name Userv3 usm security-level auth-priv exit exit exit exit 11.6.7.3 Définition d'une cible SNMP...
Page 541 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration Définissez l'adresse IP et la longueur du préfixe udp ipv4 { Adresse IP } prefix- de la cible length { 0 - 32 } Si vous ne spécifiez pas de longueur de préfixe, l'appareil utilise la valeur 32 pour les notifica‐...
Page 542 Découverte et gestion de réseau 11.6 SNMP exit 11.6.7.4 Modification du port de réception de notifications SNMP Pour modifier le port sur lequel l'agent SNMP envoie les notifications SNMP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Modifiez le port sur lequel l'agent SNMP envoie system management-services snmp...
Page 543 Découverte et gestion de réseau 11.6 SNMP 11.6.8 Configuration d'une notification SNMP Une notification peut p. ex. être envoyée lors des évènements suivants : • Démarrage à froid ou à chaud – Après un redémarrage de l'appareil provoqué par le débranchement puis rebranchement de l'alimentation électrique –...
Page 544 Découverte et gestion de réseau 11.6 SNMP Opé‐ Instruction Commande ration Spécifiez une balise de cible pour la notifica‐ tag { Balise } tion SNMP. Validez les modifications. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config system management-services snmp notify { Nom } Exemple localhost# config...
Page 545 Contrôle et classification du trafic de données Ce chapitre décrit les fonctions disponibles pour le contrôle et la classification du trafic de données. Utilisez ces sous-systèmes pour contrôler le trafic vers les fonctions de réseau connectées. De plus, des outils d'analyse et de caractérisation du trafic sont disponibles. 12.1 Limitation de la vitesse de transmission SINEC OS prend en charge la limitation de vitesse de transmission sur certaines interfaces...
Page 546 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission 12.1.2 Configuration de la limitation de la vitesse de transmission Pour limiter la vitesse de transmission d'un port de pont pour le trafic sortant ou entrant, procédez comme suit pour le port de pont sélectionné et la direction du trafic de données : 1.
Page 547 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission Exemple L'exemple suivant illustre les capacités ingress de ethernet0/1 : localhost# show interface ethernet0/1 ethernet rate-control ingress capabilities rate-control ingress capabilities traffic-type-capabilitiy all,broadcast,multicast,unknown-unicast,mcast-and-unknown-ucast,bcast-and- unknown ucast,bcast-and-mcast,bcast-and-mcast-and-uknown-ucast rate-control ingress capabilities rate-type-capability kbps rate-control ingress capabilities kbps-rate-min 64 rate-control ingress capabilities kbps-rate-max 256000 Description...
Page 548 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission 12.1.2.2 Sélection du type de trames à limiter Pour limiter un seul type de trafic spécifique (entrant ou sortant) sur un port de pont, procédez comme suit : Opéra‐...
Page 549 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission Opéra‐ Instruction Commande tion Pour le port de pont sélectionné et la direc‐ interface { Port de pont } tion du trafic, sélectionnez le type de trafic de ethernet rate-control [ ingress données à...
Page 550 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config interface { Port de pont } ethernet rate- control [ ingress | egress ] traffic-type Exemple Dans l'exemple suivant, la limitation de la vitesse de transmission s'applique uniquement au...
Page 551 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission Opéra‐ Instruction Commande tion Sélectionnez la vitesse de transmission à con‐ interface { Port de pont } trôler en kilobits par seconde (kbit/s) pour le ethernet rate-control [ ingress port de pont sélectionné...
Page 552 Contrôle et classification du trafic de données 12.1 Limitation de la vitesse de transmission Opéra‐ Instruction Commande tion Passez en mode de configuration. config Activez la limitation de la vitesse de transmis‐ interface { Port de pont } sion pour le port de pont sélectionné et la ethernet rate-control [ ingress direction du trafic de données.
Page 553 Contrôle et classification du trafic de données 12.2 VLAN Pour limiter la vitesse de transmission du trafic de données vers un serveur, procédez comme suit : 1. Définissez une vitesse de transmission de 100 kbit/s pour le trafic sortant vers ethernet0/1. Pour plus d'informations, voir "Sélection de la vitesse de transmission (Page 550)". 2.
Page 554 Contrôle et classification du trafic de données 12.2 VLAN VLAN 5 VLAN 1 VLAN 2 VLAN 3 VLAN 4 "Control Room" "Video" "Voice" "Controller" "Miscellaneous" Camera VoIP Switch Camera VoIP Switch Switch Camera VoIP Switch PROFINET/Industrial Ethernet (Twisted Pair) PROFINET/Industrial Ethernet (Fiber Optic) Figure 12-2 Séparation du trafic de données par plusieurs VLAN 12.2.1.1...
Page 555 Contrôle et classification du trafic de données 12.2 VLAN SINEC OS est compatible VLAN et répond ainsi aux règles définies par la norme IEEE 802.1Q : • Les identifiants VLAN (VID) valides doivent se situer dans la plage de 1 à 4094. Les VID avec une valeur de 0 ou 4095 sont réservés.
Page 556 Contrôle et classification du trafic de données 12.2 VLAN Tag Control Information (TCI) La champ Tag Control Information (TCI) définit : • Priority Code Point (PCP) Un sous-champ de 3 bits qui indique la classe de service (CoS) IEEE 802.1p associée à la trame.
Page 557 Contrôle et classification du trafic de données 12.2 VLAN Valeur Description Pas d'ID de VLAN. La trame ne contient que des informations de priorité (trame balisée avec une priorité). 1 – Les ID de VLAN dans cette plage sont valides. 4094 4095 Cet ID de VLAN est réservé.
Page 558 Contrôle et classification du trafic de données 12.2 VLAN 12.2.1.6 Filtre d'entrée (ingress) Le filtre d'entrée est une fonction qui peut être activée par port. Elle évalue chaque trame (ingress) entrante avant qu'elle n'entre dans le réseau afin de s'assurer qu'elle provient de la source attendue.
Page 559 Contrôle et classification du trafic de données 12.2 VLAN Règles pour le trafic de données sortant (egress) • Les trames retransmises à une interface d'accès sont rejetées si elles sont affectées à un VLAN autre que le VLAN natif de l'interface egress. •...
Page 560 Contrôle et classification du trafic de données 12.2 VLAN périphérie apprennent alors les VLAN communiqués et les communiquent au commutateur central. PROFINET/Industrial Ethernet (Twisted Pair) Figure 12-5 Exemple d'une application GVRP Dans cette configuration, il n'est pas nécessaire de configurer des VLAN statiques pour le commutateur central et les commutateurs de périphérie.
Page 561 Contrôle et classification du trafic de données 12.2 VLAN Pour passer outre ce comportement, il est possible d'activer le mode tunnel VLAN 0 pour un VLAN. Les ports de pont qui sont membres de VLAN avec le mode de tunnel VLAN 0 activé traitent alors séparément les trames prioritaires qui sont balisées avec un ID de VLAN de 0.
Page 562 Contrôle et classification du trafic de données 12.2 VLAN Avantages • Séparation du trafic de données en domaines Les VLAN sont le plus souvent utilisés pour leur capacité à restreindre les flux de trafic entre les groupes de périphériques. Le trafic de broadcast inutile peut être limité au VLAN qui en a besoin.
Page 563 Contrôle et classification du trafic de données 12.2 VLAN 12.2.2 Configuration de VLAN Pour configurer et affecter un VLAN, procédez comme suit : 1. Ajoutez des VLAN statiques et/ou activez GVRP. Pour plus d'informations, voir "Ajout ou édition d'un VLAN statique (Page 563)" ou "Activation de GVRP (Page 564)".
Page 564 Contrôle et classification du trafic de données 12.2 VLAN Opéra‐ Instruction Commande tion Validez les modifications. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config switch vlan { 1 - 4094 } Exemple Dans l'exemple ci-après, le nom subst10 est affecté au VLAN 10. localhost# config localhost(config)# switch vlan 10 localhost(config-vlan-10)# name subst10...
Page 565 Contrôle et classification du trafic de données 12.2 VLAN Traffic classes weighting strict Max supported vlan 12.2.2.3 Activation du mode de tunnel VLAN 0 En mode tunnel VLAN 0, tous les ports de pont appartenant à un VLAN donné peuvent transmettre sans modification les trames priorisées balisées avec un ID de VLAN de 0. Cela peut être nécessaire pour certaines fonctions, comme PROFINET, afin de garantir que la valeur de priorité...
Page 566 Contrôle et classification du trafic de données 12.2 VLAN 12.2.3 Configuration de paramètres VLAN pour des ports de pont Pour configurer les paramètres VLAN pour un port de pont, procédez comme suit : 1. Configurez le port du pont comme interface d'accès ou interface de jonction. Pour plus d'informations, voir "Sélection du type d'affiliation du port (Page 566)".
Page 567 Contrôle et classification du trafic de données 12.2 VLAN Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show interface { Port de pont } vlan type Exemple Dans l'exemple ci-après, ethernet0/1 est converti en port de jonction. localhost# config localhost(config)# interface ethernet0/1 vlan type trunk localhost(config-vlan)# commit...
Page 568 Contrôle et classification du trafic de données 12.2 VLAN Exemple Dans l'exemple suivant, on définit pour ethernet0/1 la valeur 10. localhost# config localhost(config)# interface ethernet0/1 vlan pvid 10 localhost(config-vlan)# commit Commit complete. localhost(config-vlan)# end localhost# show interface ethernet0/1 vlan pvid vlan pvid 10 12.2.3.3 Sélection des types de trames acceptés Les VLAN affectés à...
Page 569 Contrôle et classification du trafic de données 12.2 VLAN Exemple Dans l'exemple ci-après, ethernet0/1 est paramétré pour accepter uniquement des trames balisées par le VLAN. localhost# config localhost(config)# interface ethernet0/1 vlan acceptable-frame admit-only- VLAN-tagged-frames localhost(config-vlan)# commit Commit complete. localhost(config-vlan)# end localhost# show interface ethernet0/1 vlan acceptable-frame vlan acceptable-frame admit-only-VLAN-tagged-frames 12.2.3.4 Sélection du mode GVRP...
Page 570 Contrôle et classification du trafic de données 12.2 VLAN Exemple Dans l'exemple ci-après, le mode GVRP paramétré pour ethernet0/1 est declare-and- register. localhost# config localhost(config)# interface ethernet0/1 vlan trunk gvrp-mode declare-and- register localhost(config-vlan)# commit Commit complete. localhost(config-vlan)# end localhost# show interface ethernet0/1 vlan gvrp-mode vlan-gvrp-mode declare-and-register 12.2.3.5 Activation du balisage PVID pour le trafic de données sortant...
Page 571 Contrôle et classification du trafic de données 12.2 VLAN 12.2.3.6 Activation du filtre ingress Par défaut, le filtre ingress est désactivé pour tous les ports du pont. Pour activer le filtre Ingress pour un port de pont, procédez comme suit : Remarque Activez le filtre ingress si vous utilisez des listes de VLAN interdits.
Page 572 Contrôle et classification du trafic de données 12.2 VLAN Remarque Activez le filtre ingress si vous utilisez des listes de VLAN interdits. Les listes de VLAN interdits empêchent simplement un port de pont de rejoindre des VLAN définis. Elles n'empêchent pas qu'une trame d'un VLAN figurant dans la liste des VLAN interdits soit transmise à...
Page 573 Contrôle et classification du trafic de données 12.2 VLAN 12.2.4.1 Affichage des VLAN appris dynamiquement Pour afficher des informations sur les VLAN appris dynamiquement, vous pouvez exécuter différentes commandes en mode de fonctionnement. Commande Description Affiche tous les VLAN appris dynamiquement. show switch dynamic-vlan show switch dynamic-vlan egress-ports Affiche les ports egress de chaque VLAN appris dy‐...
Page 574 Contrôle et classification du trafic de données 12.3 Classes de trafic Exemple L'exemple ci-après affiche les ports egress non balisés d'un VLAN spécifiique appris dynamiquement : localhost# show switch dynamic-vlan 11 Dynamic-vlan 11 Untagged ports Egress ports [ ethernet0/1 ethernet0/2 ethernet0/3 ethernet0/4 ethernet0/5 ethernet0/6 ethernet0/7 ethernet0/8 ] Exemple L'exemple ci-après affiche les ports egress d'un VLAN spécifique appris dynamiquement :...
Page 575 Contrôle et classification du trafic de données 12.3 Classes de trafic Ce paragraphe décrit comment effectuer la classification du trafic de données à l'aide des classes de trafic. 12.3.1 Ce qu'il faut savoir sur les classes de trafic Les classes de trafic sont une forme de classification du trafic dans laquelle les trames entrantes sont mises en file d'attente en fonction de leur priorité.
Page 576 Contrôle et classification du trafic de données 12.3 Classes de trafic 12.3.1.1 Files d'attente de classes de trafic Le trafic de données peut être affecté au maximum à huit files d'attente de classes de trafic (0 à 7). Sur la base de la norme IEEE 802.1Q, les priorités suivantes doivent être affectées aux files d'attente et elles peuvent être utilisées pour les types de trafic suivants : Priorité...
Page 577 Contrôle et classification du trafic de données 12.3 Classes de trafic 12.3.1.3 Affectation par défaut Par défaut, les trames entrantes sont affectées aux files d'attente des classes de trafic en fonction de leur marqueur PCP ou DSCP, comme suit : DSCP File d'attente 0 - 7 8 - 15 16 - 23...
Page 578 Contrôle et classification du trafic de données 12.3 Classes de trafic 12.3.1.4 Priorisation de paquets de trames entrantes. Les paragraphes suivants expliquent comment les trames entrantes sont priorisées et retransmises : MAC address is Use configured To the traffic assigned to a traffic traffic class for class queues of class...
Page 579 Contrôle et classification du trafic de données 12.3 Classes de trafic 12.3.1.5 Régénération des priorités Les paragraphes suivants expliquent comment la priorité affectée à une trame entrante est régénérée à la sortie : To the traffic Trust mode is Ingress Use default class queues of untrust or dscp frame...
Page 580 Contrôle et classification du trafic de données 12.3 Classes de trafic 3. Si le port Bridge est une interface ingress, définissez le mode de confiance. Pour plus d'informations, voir "Configuration du mode de confiance (Page 584)". 4. [Facultatif] Pour les trames 802.1Q de couche 2 balisées uniquement, utilisez le changement de priorité...
Page 581 Contrôle et classification du trafic de données 12.3 Classes de trafic 12.3.2.2 Affectation d'une classe de trafic à une valeur PCP Certaines trames 802.1Q de couche 2 balisées contiennent une valeur de Priority Code Point (PCP) dans leur en-tête de balise 802.1Q. SINEC OS affecte chaque valeur d'une file d'attente spécifique à...
Page 582 Contrôle et classification du trafic de données 12.3 Classes de trafic Exemple Dans l'exemple ci-après, ethernet0/1 est configuré de sorte que chaque trame à priorité 2 reçue est affectée à la classe de trafic 3. localhost# config localhost(config)# interface ethernet0/1 traffic-classes priority-tc-map ingress-priority 2 traffic-class 3 localhost(config-available-traffic-class-3)# commit Commit complete.
Page 583 Contrôle et classification du trafic de données 12.3 Classes de trafic Pour configurer un port de pont de manière à ce qu'une valeur DSCP spécifique soit associée à une file d'attente spécifique d'une classe de trafic, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration.
Page 584 Contrôle et classification du trafic de données 12.3 Classes de trafic localhost# show running-config interface ethernet0/1 traffic-classes dscp- tc-map | tab TRAFFIC DSCP CLASS --------------- exit 12.3.2.4 Configuration du mode de confiance Le mode de confiance détermine si un port de pont utilise la valeur PCP (Priority Code Point) et/ou la valeur DSCP (Differentiated Services Code Point) pour donner la priorité...
Page 585 Contrôle et classification du trafic de données 12.3 Classes de trafic Pour configurer le mode de confiance pour un port de pont ingress, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Configurez le mode de confiance pour le port interface { Port de pont } de pont sélectionné.
Page 586 Contrôle et classification du trafic de données 12.3 Classes de trafic Exemple Dans l'exemple ci-après, le mode de confiance paramétré pour ethernet0/1 est dscp-pcp. localhost# config localhost(config)# interface ethernet0/1 traffic-classes trust-mode dscp- localhost(config-interface-ethernet0/1)# commit Commit complete. localhost(config-interface-ethernet0/1)# end localhost# show running-config interface ethernet0/1 traffic-classes trust- mode interface ethernet0/1 traffic-classes trust-mode dscp-pcp...
Page 587 Contrôle et classification du trafic de données 12.3 Classes de trafic Exemple Dans l'exemple ci-après, ethernet0/1 est configuré pour affecter la priorité egress 3 aux trames de priorité ingress 2. localhost# config localhost(config)# interface ethernet0/1 traffic-classes priority- regeneration-map ingress-priority 2 egress-priority 3 localhost(config-interface-ethernet0/1)# commit Commit complete.
Page 588 Contrôle et classification du trafic de données 12.3 Classes de trafic 12.3.3 Exemples de configuration Les exemples de configuration suivants montrent différentes procédures pour éviter la perte de trames de haute priorité. Chaque exemple est basé sur un scénario unique dans lequel une série de capteurs sur une ligne de production envoient des messages à...
Page 589 Contrôle et classification du trafic de données 12.3 Classes de trafic Méthode 2 : Priorisation de trames avec une valeur de priorité spécifique Sous SINEC OS, seules les trames ayant des valeurs PCP ou DSCP ou les deux sont priorisées. 1. Définissez l'une des valeurs suivantes pour chaque port de pont connecté aux capteurs pour le mode de confiance : Option Description...
Page 590 Contrôle et classification du trafic de données 12.3 Classes de trafic Méthode 2 : Affectation aux trames entrantes de la priorité par défaut de l'interface Sous SINEC OS, une priorité par défaut élevée est affectée à l'interface qui reçoit les trames. Toute trame à laquelle une priorité n'est pas affectée en raison de son contenu est automatiquement transférée vers la file d'attente correspondante dès son arrivée.
Page 591 Réglages de la date/heure Ce chapitre décrit comment configurer les services d'horloge pour la saisie des temps et la synchronisation de l'heure. Cela comprend le réglage manuel ou automatique de l'heure et de la date du système à l'aide d'un service tel que NTP. Il est important de régler correctement la date/heure et de vérifier que l'heure est synchronisée sur tous les appareils pour une bonne gestion et pour le dépannage du réseau.
Page 592 Réglages de la date/heure 13.1 Réglage manuel de la date/heure Pour configurer manuellement la date et l'heure du système, procédez comme suit : Opé‐ Instruction Commande ration Configurez la date et l'heure système. system clock set-current- datetime date { YYYY-MM-DD } time Options disponibles : { HH:MM:SS } •...
Page 593 Réglages de la date/heure 13.2 Décalage horaire et heure d'été 13.2 Décalage horaire et heure d'été Remarque Si vous configurez un décalage horaire alors que l'heure système est déjà définie, il se peut que l'heure système affichée change. Pour éviter cela, configurez d'abord le décalage horaire. Si vous ne configurez pas de décalage horaire, l'heure système de l'appareil correspond à...
Page 594 Réglages de la date/heure 13.2 Décalage horaire et heure d'été Opé‐ Instruction Commande ration Quittez le mode de configuration. Contrôlez la configuration. show running-config system clock timezone-name Exemple localhost# config Entering configuration mode terminal localhost(config)# system clock timezone-name Europe/Paris localhost(config-system-clock)# commit Commit complete.
Page 595 Réglages de la date/heure 13.2 Décalage horaire et heure d'été exit exit 13.2.3 Configuration d'une date de passage à l'heure d'été/hiver Configuration d'une date de passage à l'heure d'été/hiver Ce paramétrage convient pour les régions où le passage à l'heure d'été/hiver ne s'effectue pas selon une règle. Le passage à l'heure d'été/hiver assure le paramétrage correct de la date/heure système du fuseau horaire local.
Page 596 Réglages de la date/heure 13.2 Décalage horaire et heure d'été exit 13.2.4 Configuration d'une règle de passage à l'heure d'été/hiver Définissez une règle de passage à l'heure d'été/hiver. Ce paramétrage convient pour les régions où l'heure d'été débute ou s'achève toujours un jour précis de la semaine. Le passage à l'heure d'été/hiver assure le paramétrage correct de la date/heure système du fuseau horaire local.
Page 597 Réglages de la date/heure 13.2 Décalage horaire et heure d'été Exemple localhost# config Entering configuration mode terminal localhost(config)# system clock summer-time recurring start 3 6 3 02:00 localhost(config-summer-time)# recurring end 3 6 10 02:00 localhost(config-summer-time)# commit Commit complete. localhost(config-summer-time)# end localhost# show running-config system clock summer-time recurring system clock summer-time...
Page 598 Réglages de la date/heure 13.3 NTP exit exit 13.3 Ce chapitre décrit la configuration du Network Time Protocol (NTP) 13.3.1 Ce qu'il faut savoir sur Network Time Protocol NTP est un protocole de synchronisation horaire hiérarchique entre les serveurs NTP et les clients NTP d'un réseau.
Page 599 Réglages de la date/heure 13.3 NTP 13.3.1.1 Numéro de strate Un réseau NTP obtient ses informations horaires à partir d'une source horaire faisant autorité, comme les horloges atomiques/radio, les récepteurs GPS ou les services horaires par modem. Ces informations horaires sont ensuite transmises des serveurs aux clients via NTP. Le nombre de sauts entre un client et la source temporelle déterminante est indiqué...
Page 600 Réglages de la date/heure 13.3 NTP • NTP Multicast Server • Horloge logicielle locale 13.3.1.3 Client NTP Un client NTP envoie des requêtes d'heure à intervalles réguliers et synchronise ainsi activement son heure système. Pour cela, le client NTP compense le retard dû au temps de transmission par des conversions.
Page 601 Réglages de la date/heure 13.3 NTP Pour configurer l'appareil comme client NTP, procédez comme suit : 1. [Facultatif] Pour ajuster le décalage de l'heure système par rapport à l'UTC, vous disposez des options suivantes : – Configurez le fuseau horaire local. – Configurez le décalage horaire et le passage à l'heure d'été/hiver. Pour plus d'informations, voir "Décalage horaire et heure d'été...
Page 602 Réglages de la date/heure 13.3 NTP enabled exit exit exit 13.3.2.2 Configuration d'un serveur NTP Aucun serveur NTP n'est configuré par défaut. Pour définir un serveur NTPl, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez l’adresse IP du serveur NTP. system time-sync ntp unicast- configuration ipv4 { Adresse IP } Par défaut, un serveur NTP nouvellement con‐...
Page 603 Réglages de la date/heure 13.3 NTP 13.3.2.3 Activation d'un serveur NTP Un serveur NTP nouvellement configuré est par défaut automatiquement activé. Pour activer un serveur NTP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Activez le service NTP. system time-sync ntp unicast- configuration ipv4 { Adresse IP } enabled...
Page 604 Réglages de la date/heure 13.3 NTP 13.3.2.4 Modification de la version NTP Pour modifier la version de NTP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Modifiez la version utilisée de NTP. system time-sync ntp unicast- configuration ipv4 { Adresse IP } Ne modifiez la version de NTP que si une ver‐...
Page 605 Réglages de la date/heure 13.3 NTP 13.3.2.5 Configuration de l'intervalle d'interrogation NTP Pour configurer l'intervalle d'interrogation d'un serveur NTP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration. config Configurez la plus petite valeur de l'intervalle system time-sync ntp unicast- d'interrogation en secondes comme puissance configuration ipv4 { Adresse IP } de 2.
Page 606 Réglages de la date/heure 13.3 NTP system time-sync unicast-configuration ipv4 192.168.16.100 maxpoll 12 exit exit exit exit 13.3.2.6 Activer iBurst iBurst (initial Burst) augmente le nombre de trames par intervalle d'interrogation lorsque le serveur NTP n'est pas accessible, en le faisant passer d'une trame par défaut à huit trames. Cela permet d'accélérer la synchronisation lors de la première connexion.
Page 607 Réglages de la date/heure 13.3 NTP exit exit exit 13.3.2.7 Activer Burst Burst augmente le nombre de trames par intervalle d'interrogation lorsque le serveur NTP est accessible. iBurst, contrairement à Burst, augmente le nombre de trames par intervalle d'interrogation lorsque le serveur NTP n'est pas accessible. Grâce à...
Page 608 Réglages de la date/heure 13.3 NTP exit exit exit exit 13.3.3 Configuration de l'authentification NTP Pour configurer l'authentification NTP, procédez comme suit : 1. Configurez une clé d'authentification. Pour plus d'informations, voir "Configuration d'une clé d'authentification (Page 608)". 2. Configurez l'appareil comme client NTP. Pour plus d'informations, voir "Configuration d'un client NTP (Page 600)".
Page 609 Réglages de la date/heure 13.3 NTP Opé‐ Instruction Commande ration Configurez la clé symétrique d'authentifica‐ key { clé } tion. Les caractères autorisés dépendent de la mé‐ thode d'authentification. Conditions pour MD5 : • Elle doit compter de 1 à 40 caractères •...
Page 610 Réglages de la date/heure 13.3 NTP exit exit exit 13.3.3.2 Utiliser une clé d'authentification Pour pouvoir utiliser une clé d'authentification, vous devez auparavant configurer une clé d'authentification. Pour lier une clé d'authentification à un serveur SNMP, procédez comme suit : Opé‐ Instruction Commande ration Passez en mode de configuration.
Page 611 Réglages de la date/heure 13.3 NTP 13.3.4 Surveillance de NTP Ce paragraphe décrit les différentes manières d'afficher l'état de NTP et de surveiller les connexions NTP. 13.3.4.1 Affichage de la configuration NTP Pour afficher la configuration NTP de l'appareil, exécutez la commande suivante en mode de fonctionnement : show running-config system time-sync ntp | details Exemple...
Page 612 Réglages de la date/heure 13.3 NTP Description Les informations suivantes s'affichent : Paramètres Description enabled Indique si NTP est activé. Affiche le numéro d'une clé d'authentification NTP. key-id algorithm Affiche la méthode d'authentification. Affiche la clé symétrique d'authentification. Indique si la clé d'authentification est marquée comme digne de con‐ trusted fiance.
Page 613 Réglages de la date/heure 13.3 NTP Description Les informations suivantes s'affichent : Paramètres Description clock-state Indique si l'appareil est synchronisé ou non par NTP avec une source de temps. Valeurs possibles : • synchronized - L'appareil est synchronisé par NTP avec une source de temps. •...
Page 614 Réglages de la date/heure 13.3 NTP Paramètres Description reference-time Heure système à laquelle l'heure de l'appareil a été actualisée pour la dernière fois Si aucune synchronisation n'a encore eu lieu, la valeur est 0. Affiche des informations détaillées sur l'état de l'heure système syn‐ sync-state chronisée.
Page 615 Réglages de la date/heure 13.4 SIMATIC Time Paramètres Description reach Accessibilité de la source de temps Affiche l'état des huit derniers paquets NTP sous forme de nombre octal. Le nombre octal en notation binaire indique si un paquet de la réponse a été reçu ou non de la source de temps.
Page 616 ISO et atteint une précision de +/- 10 ms. Pour plus d'informations, voir "Synchronisation d'horloge - Synchronisation d'horloge dans un environnement d'automatisation (https://support.industry.siemens.com/cs/ww/en/ view/86535497)". Pour les commutateurs du bus de terrain PROFINET, la synchronisation via le procédé SIMATIC s'impose, car la CPU supporte ce procédé...
Page 617 Réglages de la date/heure 13.5 PTP 13.5 Le Precision Time Protocol (PTP) est une méthode standard de synchronisation des horloges de réseau via Ethernet. SINEC OS prend en charge la version 2 de la norme PTP définie dans la norme IEEE 1588-2008, également appelée PTPv2. Il est destiné aux applications qui nécessitent une précision de synchronisation supérieure à...
Page 618 Réglages de la date/heure 13.5 PTP Les types de messages suivants sont envoyés et reçus par PTP : Types de Classe Description messages Sync Évènement Utilisé par les Boundary Clocks et Ordinary Clocks pour la communication d'informations horaires entre les maîtres et les esclaves. Les esclaves Follow_Up Général utilisent ces informations pour déterminer le délai de propagation et...
Page 619 Réglages de la date/heure 13.5 PTP Profil PTP par défaut (default-p2p-profile) Le default-p2p-profile comprend les caractéristiques suivantes : Caractéristique Standard Modèle de synchronisation Comme défini par IEEE 1588-2008 Choix de l'horloge Comme défini par IEEE 1588-2008 Décision état du port Comme défini par IEEE 1588-2008 Débits de paquets Paquets de synchronisation/ 1 par seconde (s)
Page 620 Réglages de la date/heure 13.5 PTP • Champ Priorité 2 Une autre valeur de 8 bits définie par l'utilisateur, comme le champ Priorité 1. Son but est d'identifier l'horloge primaire et l'horloge de secours en présence de maîtres redondants. • ID du port source Un identifiant unique, typiquement l'adresse MAC de l'appareil.
Page 621 Réglages de la date/heure 13.5 PTP ① Transparent Clock ② Horloge voisine Figure 13-3 Échange de messages de la Transparent Clock (One-Step) Une fois que tous les horodatages nécessaires ont été saisis, la Peer-to-Peer Transparent Clock calcule le Peer Mean Path Delay à l'aide de la formule suivante : Temporisation = [ (t4 - t1) - (t3 - t2) ] / 2 Pour plus d'informations sur le calcul du Peer Mean Path Delay des divers ports de pont, voir "Affichage de la temporisation du chemin "Peer Mean Path Delay"...
Page 622 Réglages de la date/heure 13.5 PTP Opéra‐ Description Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config system time- sync ptp domain-number Exemple localhost# config localhost(config)# system time-sync ptp domain-number 1 localhost(config-ptp)# commit Commit complete. localhost(config-ptp)# end localhost# show running-config system time-sync ptp domain-number system time-sync domain-number 1...
Page 623 Réglages de la date/heure 13.5 PTP Exemple Dans l'exemple suivant, PTP est activé pour le port de pont ethernet0/1. localhost# config localhost(config)# interface ethernet0/1 ptp enabled localhost(config-interface-ethernet0/1-ptp)# commit Commit complete. localhost(config-interface-ethernet0/1-ptp)# end localhost# show running-config interface ethernet0/1 ptp enabled interface ethernet0/1 enabled exit exit...
Page 624 Réglages de la date/heure 13.5 PTP Exemple localhost# config localhost(config)# system time-sync ptp enabled localhost(config-ptp)# commit Commit complete. localhost(config-ptp)# end localhost# show running-config system time-sync ptp enabled system time-sync enabled exit exit exit 13.5.3 Surveillance de PTP Ce paragraphe décrit les diverses options de consultation des informations sur le service PTP. 13.5.3.1 Affichage de la temporisation du chemin "Peer Mean Path Delay"...
Page 625 Réglages de la date/heure 13.5 PTP Exemple L'exemple suivant montre le Peer Mean Path Delay déterminé pour tous les ports de pont compatibles PTP : localhost# show interface ptp peer-mean-path-delay % The following list contains 35 entries. interface ethernet0/1 peer-mean-path-delay 0 interface ethernet0/2 peer-mean-path-delay 0 interface ethernet0/3 peer-mean-path-delay 0...
Page 626 Réglages de la date/heure 13.5 PTP Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 627 Filtrage multicast Ce chapitre décrit les fonctions liées au filtrage multicast. Vous utilisez le filtrage multicast pour contrôler le trafic multicast par le biais des appartenances à des groupes multicast. 14.1 Groupes multicast statiques Ce paragraphe décrit comment définir des entrées statiques pour des groupes multicast connus. 14.1.1 Configuration de groupes multicast statiques Pour configurer des groupes multicast statiques, procédez comme suit :...
Page 628 Filtrage multicast 14.1 Groupes multicast statiques Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config switch multicast-filtering static { ID de VLAN } Exemple Dans l'exemple suivant, un groupe multicast statique avec l'adresse MAC 01:4E:15:00:00:01 est ajouté au VLAN 1. localhost# config localhost(config)# switch multicast-filtering static 1 01:4E:15:00:00:01 localhost(config-static-1/01:4E:15:00:00:01)# commit...
Page 629 Filtrage multicast 14.1 Groupes multicast statiques Exemple localhost# config localhost(config)# switch multicast-filtering static 1 01:4E:15:00:00:01 traffic-class 7 localhost(config-static-1/01:4E:15:00:00:01)# commit Commit complete. localhost(config-static-1/01:4E:15:00:00:01)# end localhost# show running-config switch multicast-filtering static 1 01:4E:15:00:00:01 traffic-class switch multicast-filtering static 1 01:4E:15:00:00:01 traffic-class 7 exit exit exit 14.1.1.3 Affectation d'un port de retransmission à...
Page 630 Filtrage multicast 14.2 GMRP Exemple localhost# config localhost(config)# switch multicast-filtering static 1 01:4E:15:00:00:01 forwarding-port-map ethernet0/1 localhost(config-forwarding-port-map-ethernet0/1)# commit Commit complete. localhost(config-forwarding-port-map-ethernet0/1)# end localhost# show running-config switch multicast-filtering static 1 01:4E:15:00:00:01 forwarding-port-map switch multicast-filtering static 1 01:4E:15:00:00:01 forwarding-port-map ethernet0/1 exit exit exit 14.2 GMRP GARP Multicast Registration Protocol (GMRP) est une forme de filtrage multicast pour le pruning du trafic multicast de couche 2.
Page 631 Filtrage multicast 14.2 GMRP 14.2.1.1 Rejoindre/quitter des groupes multicast avec GMRP Les paragraphes suivants décrivent comment GMRP gère les adhésions des groupes multicast. • Adhérer à un groupe multicast Lorsque des stations terminales souhaitent rejoindre un groupe multicast, elles envoient un message GMRP Join.
Page 632 Filtrage multicast 14.2 GMRP 14.2.2 Configuration d GMRP Pour configurer GMRP, procédez comme suit : • Activez GMRP globalement. Pour plus d'informations, voir "Activation de GMRP (Page 632)". • Définissez le mode GMRP pour des ports de pont sélectionnés. Le mode GMRP détermine la manière dont les divers ports de pont traitent les messages GMRP.
Page 633 Filtrage multicast 14.2 GMRP exit exit exit 14.2.2.2 Sélection du mode de surveillance GMRP par port de pont Un mode GMRP peut être défini pour chaque interface. Ce mode détermine la manière dont les messages GMRP de type join et leave sont traités. Pour configurer la manière dont une interface de port de pont traite les messages GMRP, procédez comme suit : Opéra‐...
Page 634 Filtrage multicast 14.2 GMRP 14.2.2.3 Configuration d'une temporisation avant de quitter un groupe multicast Lorsque SINEC OS reçoit un message Leave ou Leave-All pour un hôte appartenant à un groupe multicast, l'hôte est retiré du ou des groupes multicast spécifiés. Le délai entre la réception du message et la suppression de l'hôte peut être retardé.
Page 635 Filtrage multicast 14.2 GMRP 14.2.2.4 Activation de l'inondation en cas de modification de la topologie Si des changements de topologie STP se produisent ou si des changements de liens se produisent sans qu'un TCN ne soit déclenché, SINEC OS inonde temporairement toutes les interfaces contrôlées par GMRP.
Page 636 Filtrage multicast 14.2 GMRP 14.2.3.1 Configuration de l'adhésion à des groupes multicast via GMRP Cet exemple de configuration montre comment un réseau d'hôtes et de commutateurs peut rejoindre dynamiquement deux groupes multicast avec GMRP. Généralités Dans ce scénario, l'appareil SINEC OS fait office d'intermédiaire entre deux sources de trafic multicast et deux hôtes qui souhaitent recevoir des flux multicast de l'une des sources.
Page 637 Filtrage multicast 14.3 IGMP Snooping Résultat Lorsque tous les appareils sont connectés et configurés, les hôtes H1 et H2 peuvent établir leur appartenance au groupe multicast comme suit : 1. À la place de H1, le commutateur D communique au réseau son appartenance au groupe multicast 1 via l'interface D1.
Page 638 Filtrage multicast 14.3 IGMP Snooping IGMP d'un routeur multicast et de ses clients, IGMP snooping détermine quelles interfaces sont connectées à des hôtes compatibles IGMP. Le trafic multicast est alors uniquement dirigé vers ces hôtes et n'inonde pas l'ensemble du VLAN. Remarque SINEC OS prend en charge les versions 2 et 3 d'IGMP Snooping.
Page 639 Filtrage multicast 14.3 IGMP Snooping 14.3.1.3 IGMP Snooping Querier Sous IGMP, le routeur multicast avec l'adresse IP la plus basse est choisi comme routeur maître ou Querier (requérant). Le requérant est chargé de demander régulièrement aux hôtes des messages de rapport IGMP afin de déterminer quels hôtes souhaitent recevoir du trafic IP multicast.
Page 640 Filtrage multicast 14.3 IGMP Snooping 14.3.2 Configuration d'IGMP Snooping Pour configurer IGMP Snooping, procédez comme suit : 1. Activez IGMP Snooping globalement Pour plus d'informations, voir "Activation d'IGMP Snooping (Page 640)". 2. Sélectionnez la version d'IGMP. Celle-ci détermine quels types de messages IGMP l'appareil est en mesure d'émettre et de recevoir.
Page 641 Filtrage multicast 14.3 IGMP Snooping Commit complete. localhost(config-igmp-snooping)# end localhost# show running-config switch multicast-filtering igmp- snooping switch multicast-filtering igmp-snooping enabled send-query exit exit exit 14.3.2.2 Sélection de la version d'IGMP La version d'IGMP détermine le type de messages IGMP qui peuvent être envoyés et reçus par le pont.
Page 642 Filtrage multicast 14.3 IGMP Snooping switch multicast-filtering igmp-snooping version 2 exit exit exit 14.3.2.3 Sélection du mode IGMP IGMP Snooping peut être configuré pour fonctionner en mode actif ou en mode passif en activant ou désactivant le requérant IGMP. • Si le requérant IGMP est activé, IGMP Snooping se trouve en mode actif. •...
Page 643 Filtrage multicast 14.3 IGMP Snooping Exemple Dans l'exemple ci-après, le mode actif est activé. localhost# config localhost(config)# switch multicast-filtering igmp-snooping send-query localhost(config-igmp-snooping)# commit Commit complete. localhost(config-igmp-snooping)# end localhost# show running-config switch multicast-filtering igmp-snooping send-query switch multicast-filtering igmp-snooping send-query exit exit exit 14.3.2.4 Configuration de l'intervalle d'interrogation IGMP L'intervalle d'interrogation IGMP détermine la fréquence de transmission des requêtes IGMP.
Page 644 Filtrage multicast 14.3 IGMP Snooping localhost(config)# switch multicast-filtering igmp-snooping query- interval 3m20s localhost(config-igmp-snooping)# commit Commit complete. localhost(config-igmp-snooping)# end localhost# show running-config switch multicast-filtering igmp- snooping query-interval switch multicast-filtering igmp-snooping query-interval 3m20s exit exit exit 14.3.2.5 Activation de l'inondation en cas de modification de la topologie Si des changements de topologie STP se produisent ou si des changements de liens se produisent sans qu'un TCN ne soit déclenché, SINEC OS inonde temporairement toutes les interfaces affectées aux VLAN où...
Page 645 Filtrage multicast 14.3 IGMP Snooping Exemple localhost# config localhost(config)# switch multicast-filtering igmp-snooping topology- change-flooding localhost(config-igmp-snooping)# commit Commit complete. localhost(config-igmp-snooping)# end localhost# show running-config switch multicast-filtering igmp-snooping topology-change-flooding switch multicast-filtering igmp-snooping topology-change-flooding exit exit exit 14.3.2.6 Activation d'IGMP Snooping par VLAN Pour activer IGMP Snooping sur un VLAN statique, procédez comme suit : Remarque IGMP Snooping est désactivé...
Page 646 Filtrage multicast 14.3 IGMP Snooping exit 14.3.3 Configuration de la retransmission des routeurs multicast Pour configurer la retransmission des routeurs multicast, procédez comme suit : 1. Activez la retransmission des routeurs multicast. Pour plus d'informations, voir "Activation de la retransmission de routeurs multicast (Page 646)".
Page 647 Filtrage multicast 14.3 IGMP Snooping exit exit 14.3.3.2 Configuration d'une interface de routeur multicast Les interfaces de routeur multicast établissent une connexion statique à un routeur multicast. Pour configurer une interface de routeur multicast, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration.
Page 648 Filtrage multicast 14.3 IGMP Snooping 14.3.4 Surveillance d'IGMP Snooping Ce paragraphe décrit les différentes méthodes de surveillance de l'état des groupes multicast appris à l'aide de la fonction IGMP Snooping. 14.3.4.1 Affichage du nombre de groupes multicast appris Pour afficher le nombre total de groupes multicast appris dynamiquement par IGMP Snooping, exécutez la commande suivante en mode de fonctionnement : show switch multicast-filtering igmp-snooping entries-count Exemple...
Page 649 Filtrage multicast 14.3 IGMP Snooping Paramètres Description mac-address Adresse MAC de destination du trafic de données qui est re‐ transmis pour le groupe multicast. up-time Le temps écoulé en secondes (s) depuis l'apprentissage d'un groupe multicast. Une liste des ports de pont qui ont reçu les messages IGMP joined-ports Join du groupe multicast.
Page 650 Filtrage multicast 14.3 IGMP Snooping Exemple L'exemple suivant affiche les adresses MAC d'un port de pont spécifique et d'un ID de VLAN spécifique. localhost# show switch multicast-filtering igmp-snooping group-summary ethernet0/6 1 mac-address | tab PORT ADDRESS MAC ADDRESS ------------------------------------------------------ ethernet0/6 225.0.2.2 01-00-5E-00-02-02 Exemple L'exemple suivant affiche les adresses MAC d'un port de pont spécifique, d'un ID de VLAN...
Page 651 Filtrage multicast 14.3 IGMP Snooping Exemple L'exemple ci-après affiche le dernier rapport adressé à un port de pont spécifique. localhost# show switch multicast-filtering igmp-snooping group-summary ethernet0/6 last-reporter PORT ADDRESS LAST REPORTER -------------------------------------------------- ethernet0/6 225.0.2.2 192.168.0.203 225.0.3.3 192.168.0.204 Exemple L'exemple ci-après affiche le dernier rapport adressé à un port de pont spécifique et à un ID de VLAN spécifique.
Page 652 Filtrage multicast 14.3 IGMP Snooping Exemple L'exemple suivant affiche les ports communs d'un port de pont spécifique. localhost# show switch multicast-filtering igmp-snooping group-summary ethernet0/6 joined-ports PORT ADDRESS JOINED PORTS ---------------------------------------------------- ethernet0/6 225.0.2.2 [ ethernet0/6 ] 225.0.3.3 [ ethernet0/6 ] Exemple L'exemple suivant affiche les ports communs d'un port de pont spécifique et d'un ID de VLAN spécifique.
Page 653 Filtrage multicast 14.3 IGMP Snooping Exemple Dans l'exemple suivant, les ports de routeur multicast sont affichés pour tous les ports de pont. localhost# show switch multicast-filtering igmp-snooping group-summary mrouter-ports PORT ADDRESS MROUTER PORTS ---------------------------------------------------- ethernet0/6 225.0.2.2 [ ethernet0/1 ] 225.0.3.3 [ ethernet0/1 ] ethernet0/7 239.255.255.250 [ ethernet0/1 ]...
Page 654 Filtrage multicast 14.4 Base de données de filtrage multicast Exemple Dans l'exemple suivant, le temps de fonctionnement est affiché pour tous les ports du pont. localhost# show switch multicast-filtering igmp-snooping group-summary up-time PORT ADDRESS TIME ----------------------------------------- ethernet0/6 225.0.2.2 225.0.3.3 ethernet0/7 239.255.255.250 Exemple Dans l'exemple suivant, le temps de fonctionnement est affiché...
Page 655 Filtrage multicast 14.4 Base de données de filtrage multicast 14.4.1 Affichage de la base de données de filtrage multicast Pour afficher la base de données du filtrage multicast, exécutez la commande suivante en mode de fonctionnement : show switch multicast-filtering filtering-database Exemple localhost# show switch multicast-filtering filtering-database | notab filtering-database entry 1 01:4E:15:00:00:01...
Page 656 Filtrage multicast 14.4 Base de données de filtrage multicast Paramètres Description PORT Port(s) de retransmission sortant(s) affecté(s) à l'adresse MAC. État courant du port de retransmission STATE Valeurs possibles : • statically-configured – L'adresse MAC statique a été ajoutée par un utilisateur. •...
Page 657 Filtrage multicast 14.4 Base de données de filtrage multicast Exemple localhost# show switch multicast-filtering filtering-database entry 1 01:4E:15:00:00:01 port-map | tab PORT STATE ------------------------------------------ ethernet0/1 statically-configured ethernet0/2 statically-configured- dynamically learned Description Les informations suivantes sont affichées pour chaque entrée : Paramètres Description PORT Port de retransmission Indique comment le port de retransmission a été...
Page 658 Filtrage multicast 14.4 Base de données de filtrage multicast Description Les informations suivantes s'affichent : Paramètres Description state Indique comment le port de retransmission a été ajouté pour le VLAN et l'adresse MAC sélectionnés. Valeurs possibles : • statically-configured – Le port de retransmission a été...
Page 659 Diagnostic Ce chapitre décrit les outils de diagnostic disponibles et les protocoles associés. Il s'agit notamment des alarmes, des journaux, des utilitaires réseau, des analyses de trafic, etc. 15.1 État du système Ce paragraphe décrit comment surveiller l'état du système, y compris le temps de fonctionnement, le dernier redémarrage, etc.
Page 660 Diagnostic 15.2 Utilitaires réseau 15.2.1.1 Ce qu'il faut savoir sur Ping Pour vérifier l'accessibilité d'un hôte, Ping envoie une requête Echo-Request à l'adresse IP de l'hôte via ICMP (Internet Control Message Protocol) et attend sa réponse Echo-Reply. La réponse de l'hôte indique le délai entre l'envoi de la requête et la réception de la réponse. Ce délai est appelé...
Page 661 Diagnostic 15.2 Utilitaires réseau Pour obtenir une adresse IP via un hôte, procédez comme suit : Opé‐ Instruction Commande ration Entrez l'adresse IP ou le FQDN de l'hôte auquel ping { Adresse IP | Nom d'hôte } vous voulez envoyer un ping. •...
Page 662 Diagnostic 15.2 Utilitaires réseau Opé‐ Instruction Commande ration Configurez la durée en secondes pendant la‐ timeout { 1 - 1000 } quelle l'appareil attend la première réponse de l'hôte de destination. Ce paramètre "timeout" est subordonné au paramètre "attempts". Si l'appareil reçoit une réponse, il envoie le nombre de requêtes ping défini dans le para‐...
Page 663 Diagnostic 15.2 Utilitaires réseau 15.2.2.1 Ce qu'il faut savoir sur Traceroute Traceroute envoie les premiers paquets IP avec une valeur TTL de 1. Le routeur qui reçoit le paquet IP diminue la valeur TTL de 1 jusqu'à la valeur 0 et rejette le paquet. Il répond par le message ICMP "Dépassement de temps"...
Page 664 Diagnostic 15.3 Journal système Opé‐ Instruction Commande ration [Facultatif] Définissez l'adresse IP indiquée source { Adresse IP } dans le paquet comme source. Par défaut : L'adresse IP de l'interface IP sor‐ tante [Optional] Définissez la durée en secondes qui timeout { 1 - 3600 } s'écoule avant que l'appareil n'arrête une re‐...
Page 665 Diagnostic 15.3 Journal système 15.3.1 Ce qu'il faut savoir sur la journalisation système Le journal système (Syslog) enregistre tous les messages d'évènements générés par les différents constituants du système sous SINEC OS. Le journal système est affiché par un journal d'incidents. Le journal d'incidents affiche les entrées les plus récentes du journal système, 1000 au maximum.
Page 666 Diagnostic 15.3 Journal système 15.3.1.2 Niveaux de gravité Chaque message d'évènement du journal système est associé à l'un des niveaux de gravité standard suivants : Gravité de Valeur Description l'évènement Emergency Indique une erreur grave qui empêche la poursuite du fonctionnement de l'appareil. Alert Indique une erreur nécessitant une attention immédiate.
Page 667 Diagnostic 15.3 Journal système Filtre du journal d'incidents Dans le journal d'incidents, les messages d'évènements peuvent être filtrés à l'aide d'une règle de filtrage. Cette règle spécifie un niveau de gravité et indique au système s'il doit afficher uniquement les messages de ce niveau de gravité ou les messages de ce niveau de gravité...
Page 668 Diagnostic 15.3 Journal système 15.3.2.1 Paramétrage du format de l'horodatage Pour définir le format de l'horodatage des entrées du journal système, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Définissez le format de l'horodatage. system logging actions syslog- format timestamp-format [ date | Options disponibles : fulldate | isodate ]...
Page 669 Diagnostic 15.3 Journal système 15.3.2.2 Filtrage du journal d'incidents Par défaut, le journal affiche tous les évènements répertoriés dans le Syslog. Toutefois, le journal d'incidents peut également être configuré de manière à n'afficher que les messages d'évènements présentant un niveau de gravité spécifique. Remarque Un seul filtre peut être défini pour le journal d'incidents à...
Page 670 Diagnostic 15.3 Journal système Opéra‐ Instruction Commande tion Choisissez d'afficher uniquement l'évène‐ advanced-compare compare ment sélectionné ou d'afficher l'évènement [ equals | equals-or-higher ] sélectionné et les évènements d'un niveau de gravité plus élevé. Options disponibles : • equals - Seuls les messages d'évène‐ ments correspondant au niveau de gravi‐...
Page 671 Diagnostic 15.3 Journal système 15.3.3 Configuration de la journalisation système distante Pour transmettre des évènements du journal système à un serveur Syslog distant, procédez comme suit : 1. Ajoutez un profil pour un serveur Syslog distant. Vous pouvez définir jusqu'à cinq serveurs. Pour plus d'informations, voir "Ajout d'un profil pour un serveur Syslog distant.
Page 672 Diagnostic 15.3 Journal système Opéra‐ Instruction Commande tion Pour les connexions TLS, choisissez une clé tls client-identity certificate asymétrique et un certificat client pour l'au‐ keystore-reference asymmetric- thentification auprès du serveur Syslog dis‐ key { Clé } certificate tant. { Certificat } Passez au niveau Top Pour les connexions TLS, choisissez un certi‐...
Page 673 Diagnostic 15.3 Journal système Exemple L'exemple suivant définit une connexion TLS à un serveur Syslog distant (rlog) sur le port 6514, par laquelle seuls les messages du protocole auth ayant un niveau de gravité critical ou supérieur sont reçus. localhost# config localhost(config)# system logging actions remote destination rlog localhost(config-destination-rlog)# facility-filter facility-list auth critical...
Page 674 Diagnostic 15.3 Journal système de messages d'évènement sera ignorée si la règle suivante exclut la même liste de messages d'évènement. Remarque Il faut au moins une règle de filtrage par serveur Syslog distant. Une règle de filtrage ne peut pas être supprimée si elle est la seule règle définie pour le serveur Syslog distant.
Page 675 Diagnostic 15.3 Journal système Pour définir une règle de filtrage qui contrôle quels messages d'évènement sont transmis à un serveur Syslog distant spécifique, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Choisissez les messages d'évènement à sélec‐ system logging actions remote tionner en fonction du composant associé...
Page 676 Diagnostic 15.3 Journal système Opéra‐ Instruction Commande tion Spécifiez si seul l'évènement sélectionné sera advanced-compare compare transmis ou si l'évènement sélectionné et les [ equals | equals-or-higher ] évènements d'un niveau de gravité plus élevé seront transmis. Options disponibles : • equals - Seuls les messages d'évène‐ ments correspondant au niveau de gravi‐...
Page 677 Diagnostic 15.3 Journal système Exemple Seuls les messages d'évènements appartenant au composant syslog et ayant un niveau de gravité error ou supérieur sont transmis. Les messages d'évènements dont le niveau de gravité est inférieur à error ne sont pas transmis. localhost# config localhost(config)# system logging actions remote destination rsys1 facility- filter facility-list syslog error localhost(config-facility-list-syslog/error)# advanced compare equals-or-...
Page 678 Diagnostic 15.3 Journal système Exemple localhost# show system logging logbook | notab system logging logbook log-list time 2021-01-03T02:49:15-00:00 host localhost uptime 5D16h24m42s program dmfd severity info message INFO: User 'admin' logged system logging logbook log-list time 2021-01-03T02:49:24-00:00 host localhost uptime 5D16h24m42s program dmfd severity info...
Page 679 Diagnostic 15.3 Journal système message INFO: User 'admin' logged system logging logbook log-list time 2021-01-03T02:49:24-00:00 host localhost uptime 182964 program dmfd severity info message INFO: User 'admin' logged in via cli from 192.168.11.200:65217 with ssh using local authentication localhost# system logging logbook clear localhost# show system logging logbook % No entries found.
Page 680 Diagnostic 15.3 Journal système 15.3.5 Exemples de configuration Vous trouverez ci-dessous des exemples d'utilisation du journal système. 15.3.5.1 Filtrage du journal d'incidents Dans l'exemple suivant, le journal d'incidents est configuré pour n'afficher que les évènements de gravité error. Les autres évènements sont filtrés. localhost# config localhost(config)# system logging actions logbook severity error advanced-compare compare equals...
Page 681 Diagnostic 15.4 Gestion des évènements localhost(config)# system logging actions remote destination rsys1 facility-filter facility-list syslog error advanced-compare compare equals localhost(config)# commit Commit complete. localhost(config)# end Ignorer une règle par l'action "block" Si vous souhaitez bloquer temporairement les messages saisis par une règle définie dans l'exemple précédent afin d'observer les résultats, définissez pour le paramètre action la règle block.
Page 682 Diagnostic 15.4 Gestion des évènements 15.4.1.1 Niveaux de gravité Chaque évènement et chaque alarme est associé à l'un des niveaux de gravité suivants : Gravité de Valeur Description l'évènement/ l'alarme Emergency Signale une erreur critique qui empêche la poursuite du fonctionne‐ ment de l'appareil. Alert Indique une erreur nécessitant une attention immédiate.
Page 683 Diagnostic 15.4 Gestion des évènements Évènements de la gestion du châssis Les évènements suivants se rapportent à la configuration matérielle de l'appareil. Ressource ID d'évènement Niveau de gravité standard chassis-mgmt Bad-power-supply Alert chassis-mgmt Module-presence* Warning chassis-mgmt Module-state* Warning * Aucune alarme affectée. Évènements de la gestion de l'appareil Les évènements suivants se rapportent à...
Page 684 Diagnostic 15.4 Gestion des évènements Ressource ID d'évènement Niveau de gravité standard switch-mgmt New-stp-root Notice switch-mgmt Received-looped-back-bpdu Alert switch-mgmt Stp-topology-change Notice switch-mgmt Unresolved-speed Error Évènements de journalisation Les évènements suivants se rapportent aux identifiants de connexion à l'appareil. Ressource ID d'évènement Niveau de gravité...
Page 685 Diagnostic 15.4 Gestion des évènements Messages d'alarme statiques et dynamiques Certains évènements ont un message d'alarme statique et un message d'alarme dynamique : • Les messages d'alarme statiques sont des messages fixes qui s'affichent dans la liste des alarmes. Ces messages sont également inclus dans tous les e-mails envoyés. •...
Page 686 Diagnostic 15.4 Gestion des évènements Évènement associé Lié à un état Niveau Message d'alarme Description Solution recom‐ de gravité mandée Connection Notice Message statique Une connexion, ou Notification Aucune Application Relation mesure nécessaire. Aucun (AR), a été établie. Messages dynami‐ ques "PROFINET connec‐...
Page 687 Aucun médias SFP et des médias SFP agréés Messages dynami‐ modules LPE. par Siemens et com‐ ques patibles avec votre Pour les convertis‐ "Unknown SFP modu‐ appareil. seurs de médias SFP, le on interface { Inter‐...
Page 688 Diagnostic 15.4 Gestion des évènements Alarmes dans la gestion des appareils Évènement associé Lié à un état Niveau Message d'alarme Description Solution recom‐ de gravité mandée Authentication-failure Warning Message statique Un utilisateur ou un Informez l'utilisateur service a utilisé des ou mettez à jour le "A user failed to login données d'authentifi‐...
Page 689 Diagnostic 15.4 Gestion des évènements Évènement associé Lié à un état Niveau Message d'alarme Description Solution recom‐ de gravité mandée Vlan-linkDown/linkUp Info Message statique Le VLAN indiqué est Notification Aucune en service ou en pan‐ mesure nécessaire. "VLAN interface up/ down." Message dynami‐...
Page 690 Veuillez contacter le abled commandée par alar‐ service après-vente "FLD disabled or ena‐ me est désactivée sur Siemens. bled on a port." le port indiqué. Message dynami‐ "Bouncing link [ was ] detected [ on port { Numéro de port } ] [, disabling FLD ]."...
Page 691 Diagnostic 15.4 Gestion des évènements Évènement associé Lié à un état Niveau Message d'alarme Description Solution recom‐ de gravité mandée Loop-detection Alert Message statique Une boucle locale ou Contrôlez votre ré‐ une boucle distante a seau pour détecter "Loop Detected on a été...
Page 692 Message statique Impossible de déter‐ Veuillez contacter le miner les caractéristi‐ service après-vente "Unresolved speed ques de vitesse du Siemens. detected or disappea‐ port indiqué. red on a port." Message dynami‐ "[ Was ] [ Unable | unable ] to obtain speed information from port { Numéro...
Page 693 Diagnostic 15.4 Gestion des évènements Évènement associé Lié à un état Niveau Message d'alarme Description Solution recom‐ de gravité mandée Gvrp-cannot-learn-mo‐ Alert Message statique L'appareil a atteint le Vous pouvez soit sup‐ re-vlans nombre maximal de primer les VLAN sta‐ Aucun VLAN pris en charge.
Page 694 Diagnostic 15.4 Gestion des évènements Alarmes de journalisation Évènement associé Lié à un état Niveau Message d'alarme Description Solution recom‐ de gravité mandée Expired-certificate Error Message statique Le certificat d'une Remplacez le certifi‐ session TLS a expiré. cat de la session TLS "The TLS certificate is spécifiée.
Page 695 Diagnostic 15.4 Gestion des évènements 5. [Facultatif] Activez l'événement pour qu'il envoie via SMTP des notifications par e-mail à des destinataires sélectionnés. Pour plus d'informations, voir "Activation d'un évènement pour l'émission d'une notification par e-mail (Page 698)". 6. [Facultatif] Activez l'événement pour qu'il déclenche des notifications SNMP. Pour plus d'informations, voir "Activation d'un évènement pour l'émission d'une notification SNMP (Page 699)".
Page 696 Diagnostic 15.4 Gestion des évènements Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config system events event-config event { Ressource } { ID d'évènement } alarm Exemple Dans l'exemple suivant, on active des alarmes pour l'évènement Bouncing-link. localhost# config localhost(config)# system events event-config event switch-mgmt Bouncing- link alarm...
Page 697 Diagnostic 15.4 Gestion des évènements Opéra‐ Instruction Commande tion Passez en mode de configuration. config Définissez le niveau de gravité de l'évène‐ system events event-config event ment sélectionné. { Ressource } { ID d'évènement } severity [ emergency | alert | Options disponibles : critical | error | warning | •...
Page 698 Diagnostic 15.4 Gestion des évènements 15.4.2.3 Activation d'un évènement pour l'émission d'une notification par e-mail Les évènements peuvent être configurés de manière à envoyer un e-mail aux utilisateurs lorsque l'évènement se produit. L'e-mail contient des informations permettant d'identifier l'appareil, un horodatage et des détails sur l'évènement. Remarque Les notifications par e-mail sont envoyées via le protocole SMTP (Simple Mail Transfer Protocol).
Page 699 Diagnostic 15.4 Gestion des évènements exit 15.4.2.4 Activation d'un évènement pour l'émission d'une notification SNMP Pour activer un évènement afin de déclencher une notification SNMP, procédez comme suit : Remarque Pour qu'un évènement déclenche une notification SNMP, il faut au préalable configurer et activer SNMP.
Page 700 Diagnostic 15.4 Gestion des évènements 15.4.2.5 Activation d'un évènement pour l'activation du contact de signalisation Le contact de signalisation sur l'appareil peut être automatiquement activé (ouvert) lorsqu'une alarme est générée. Par défaut, ce comportement est désactivé pour certains évènements. Remarque Condition Les évènements doivent être configurés de manière à...
Page 701 Diagnostic 15.4 Gestion des évènements Exemple Dans l'exemple suivant, l'évènement Bouncing-link est activé pour qu'il active le contact de signalisation lorsque l'évènement se produit. localhost# config localhost(config)# system events event-config event switch-mgmt Bouncing- link signaling-contact localhost(config-event-switch-mgmt/Bouncing-link)# commit Commit complete. localhost(config-event-switch-mgmt/Bouncing-link)# end localhost# show running-config system events event-config event switch-mgmt Bouncing-link signaling-contact system...
Page 702 Diagnostic 15.4 Gestion des évènements Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config system events event-config event { Ressource } { ID d'évènement } Exemple Dans l'exemple suivant, l'évènement Bouncing-link est activé pour qu'il active la LED d'alarme lorsque l'évènement se produit.
Page 703 Diagnostic 15.4 Gestion des évènements Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config system events event-config event { Ressource } { ID d'évènement } auto-clear Exemple Dans l'exemple suivant, l'alarme générée par l'évènement Bouncing-link est automatiquement supprimée de la liste des alarmes lorsque l'état d'erreur qui l'a causée a été...
Page 704 Diagnostic 15.4 Gestion des évènements Exemple Dans l'exemple suivant, vous activez l'évènement Bouncing-link . localhost# config localhost(config)# system events event-config event switch-mgmt Bouncing- link enabled localhost(config-event-switch-mgmt/Bouncing-link)# commit Commit complete. localhost(config-event-switch-mgmt/Bouncing-link)# end localhost# show running-config system events event-config event switch-mgmt Bouncing-link enabled system events event-config...
Page 705 Diagnostic 15.4 Gestion des évènements severity info date-time "Fri Jun 11 22:36:12 2021" user-actions clear-or-ack actuators-status none Exemple L'exemple suivant permet d'afficher les alarmes actives dans l'ordre chronologique inverse. localhost# show system events alarm-time-order alarm-time-order date-time "Fri Jun 11 22:52:59 2021" resource device-mgmt event-id...
Page 706 Diagnostic 15.4 Gestion des évènements Paramètres Description user-actions Action requise de l'utilisateur. Valeurs possibles : • clear-or-ack – Une alarme doit être supprimée ou ac‐ quittée. • resolve-or-ack – Attendez que l'erreur se résolve d'el‐ le-même ou acquittez l'alarme. actuators-status État des actionneurs comme le contact de signalisation ou la LED d'alarme.
Page 707 Diagnostic 15.5 SMTP Exemple Dans l'exemple ci-après, l'alarme non liée à l'état Bouncing-link est supprimée. localhost# system events alarm-list alarm switch-mgmt Bouncing-link "Bouncing link detected or disappeared on a port" clear Are you sure you want to clear the system alarm? [no,yes] yes 15.5 SMTP Les évènements peuvent être configurés de manière à...
Page 708 Diagnostic 15.5 SMTP 15.5.1.1 Échange entre client SMTP et serveur SMTP Lorsqu'un évènement se produit et que l'alarme associée est configurée pour envoyer une notification par e-mail, le client SMTP sur l'appareil initie une connexion TCP avec un serveur SMTP distant. Ensuite, l'échange suivant a lieu entre le client et le serveur SMTP : ①...
Page 709 Diagnostic 15.5 SMTP Date: { Date } A new event is raised on device { Nom d'appareil } (located at { Localisation }) with the following details: Resource: { Ressource } Event ID: { ID d'évènement } Severity: { Niveau de gravité } Time: { Date et heure } Serial number: { Numéro de série } Message: { Message d'alarme }...
Page 710 Diagnostic 15.5 SMTP Pour ajouter une adresse e-mail à la liste des destinataires, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Ajoutez une adresse mail à la liste des desti‐ system smtp recipients nataires. { Adresse } Validez la modification.
Page 711 Diagnostic 15.5 SMTP Opéra‐ Instruction Commande tion Passez en mode de configuration. config Activez le service SMTP. system smtp enabled Validez la modification. commit Quittez le mode de configuration. Contrôlez la configuration. show running-config system smtp enabled Exemple localhost# config localhost(config)# system smtp enabled localhost(config-system-smtp)# commit Commit complete.
Page 712 Diagnostic 15.5 SMTP Opéra‐ Instruction Commande tion Quittez le mode de configuration. Contrôlez la configuration. show running-config system smtp account e-mail-address Exemple localhost# config localhost(config)# system smtp account email-address alerts@company.com localhost(config-smtp-account)# commit Commit complete. localhost(config-smtp-account)# end localhost# show running-config system smtp account email-address system smtp account...
Page 713 Diagnostic 15.5 SMTP Exemple localhost# config localhost(config)# system smtp account description "System alerts" localhost(config-smtp-account)# commit Commit complete. localhost(config-smtp-account)# end localhost# show running-config system smtp account description system smtp account description "System alerts" exit exit exit 15.5.4 Configuration d'un serveur SMTP Pour configurer les paramètres du serveur SMTP, procédez comme suit : Remarque Ne définissez pas plus d'un serveur SMTP.
Page 714 Diagnostic 15.5 SMTP 15.5.4.1 Configuration du profil du serveur SMTP Pour configurer le profil du serveur SMTP utilisé pour distribuer les notifications par e-mail, procédez comme suit : Opéra‐ Instruction Commande tion Passez en mode de configuration. config Saisissez le nom d'hôte ou l'adresse IP du ser‐ Adresse IPv4 veur SMPT.
Page 715 Diagnostic 15.5 SMTP 15.5.4.2 Configuration de la temporisation des réponses SMTP Lorsque le client SMTP initie la connexion TCP au serveur SMTP, il envoie un message HELLO. Le serveur SMTP dispose d'un délai limité pour répondre avant que le client ne considère le serveur comme inaccessible.
Page 716 Diagnostic 15.5 SMTP 15.5.5 Configuration de l'authentification SMTP Toutes les communications entre le client SMTP et le serveur peuvent être authentifiées. Un compte d'utilisateur est nécessaire pour ce faire sur le serveur SMTP. Remarque Le mot de passe est envoyé en texte clair au serveur SMTP. Veuillez vous assurer que le serveur SMTP est configuré...
Page 717 Diagnostic 15.5 SMTP Opéra‐ Instruction Commande tion Entrez le mot de passe correspondant au nom password { Mot de passe } d'utilisateur. password Le mot de passe est affiché en texte clair s'il (<AES encyrpted string>): { Mot est saisi directement après le de passe } paramètre password.
Page 718 Diagnostic 15.5 SMTP 15.5.5.2 Activation de l'authentification SMTP Pour activer l'authentification de l'utilisateur SMTP, procédez comme suit : Remarque L'authentification de l'utilisateur SMTP est désactivée par défaut. Opéra‐ Instruction Commande tion Passez en mode de configuration. config Activez l'authentification SMTP. system smtp account authentication enabled Validez la modification.
Page 719 Diagnostic 15.5 SMTP Exemple localhost# show system smtp status status enabled true status recipients "emmanuel.goldstein@company.com; winston.smith@company.com" status account email-address alerts@company.com status account authentication-enabled true status account server port 25 status account server timeout 30 15.5.7 Exemples de configuration Vous trouverez ci-après des exemples de mise en œuvre de SMTP. 15.5.7.1 Configuration de SMTP pour l'envoi de notifications d'évènements Cet exemple montre comment configurer l'appareil pour qu'il envoie des notifications par e-mail...
Page 720 Diagnostic 15.6 Réplication de trafic de données 6. Définissez les destinataires d'e-mail. Pour plus d'informations, voir "Ajout des destinataires d'e-mail (Page 709)". 7. Activez le service SMTP. Pour plus d'informations, voir "Activation de SMTP (Page 710)". 8. Configurez une ou plusieurs alarmes pour envoyer une notification par e-mail via SMTP. Pour plus d'informations, voir "Activation d'un évènement pour l'émission d'une notification par e-mail (Page 698)".
Page 721 Diagnostic 15.6 Réplication de trafic de données 15.6.1.2 Sources et destinations pour la réplication du trafic de données Pour la réplication du trafic, il faut définir une ou plusieurs sources de trafic et une destination de la réplication. Sources du trafic de données Une source de trafic peut être un port de pont et/ou un VLAN.
Page 722 Diagnostic 15.6 Réplication de trafic de données 15.6.2 Configuration de la réplication de trafic de données Pour configurer la réplication du trafic, procédez comme suit : 1. Définissez une ou plusieurs sources de trafic à surveiller. Une source de trafic peut être un port de pont avec une direction de trafic spécifique (c'est-à- dire entrant, sortant ou les deux) ou un VLAN.
Page 723 Diagnostic 15.6 Réplication de trafic de données Exemple Dans l'exemple suivant, la session 1 est configurée pour répliquer uniquement le trafic reçu du port de pont ethernet0/3. localhost# config Entering configuration mode terminal localhost(config)# switch traffic-mirroring session 1 source ports ethernet0/3 localhost(config-ports-ethernet0/3)# direction ingress localhost(config-ports-ethernet0/3)# commit Commit complete.
Page 724 Diagnostic 15.6 Réplication de trafic de données 15.6.2.2 Configuration d'une destination de réplication Le trafic répliqué peut être retransmis à un port de pont ou vers une adresse IP. IMPORTANT Risque de configuration - Risque de coupure de la liaison Les ports de pont utilisés pour la gestion de l'appareil ne doivent pas être choisis comme destination du trafic répliqué.
Page 725 Diagnostic 15.6 Réplication de trafic de données Exemple Dans l'exemple suivant, la session 1 est configurée pour transmettre le trafic de données répliqué à ethernet0/2. localhost# config Entering configuration mode terminal localhost(config)# switch traffic-mirroring session 1 destination ports ethernet0/2 localhost(config-ports-ethernet0/2)# commit Commit complete.
Page 726 Diagnostic 15.6 Réplication de trafic de données 15.6.2.3 Activation de la réplication du trafic de données La réplication du trafic de données est désactivée par défaut. IMPORTANT Risque de configuration - Risque de coupure de la liaison Lorsqu'un port de pont est configuré comme destination pour la réplication du trafic de données, il est automatiquement retiré...
Page 727 Diagnostic 15.6 Réplication de trafic de données 15.6.3.1 Configuration d'une réplication du trafic de données dans un réseau de couche 2 Dans cet exemple, le trafic reçu sur le port de pont ethernet0/1 du commutateur A est répliqué et transmis au commutateur C, qui est connecté à un analyseur/renifleur de paquets. Le trafic de données répliqué...
Page 728 Diagnostic 15.7 Diagnostic de câbles Pour configurer l'appareil, procédez comme suit : 1. Paramétrez comme port de pont source ethernet0/1. Pour plus d'informations, voir "Sélectionnez une source de trafic de données (Page 722)". 2. Paramétrez comme destination l'adresse IP 172.30.141.141. Pour plus d'informations, voir "Configuration d'une destination de réplication (Page 724)". 3.
Page 729 Diagnostic 15.7 Diagnostic de câbles Opéra‐ Instruction Commande tion Lancez le test de diagnostic des câbles avec le Port de pont unique port du pont à tester. interface { Port de pont } cabletest start Vous pouvez également lancer le test avec tous les ports du pont.
Page 730 Diagnostic 15.7 Diagnostic de câbles Exemple : localhost# show interface ethernet* cabletest interface ethernet0/1 cabletest state stopped interface ethernet0/2 cabletest state stopped interface ethernet0/3 cabletest state stopped cabletest result passed cabletest result-pair12 good cabletest distance-pair12 26 cabletest result-pair36 short cabletest distance-pair36 17 cabletest result-pair45 open cabletest distance-pair45 9 cabletest result-pair78 good...
Page 731 Diagnostic 15.7 Diagnostic de câbles Interprétation des résultats des tests Les informations suivantes sont affichées pour chaque port de pont : Résultat Description state État courant du test de diagnostic de câble. Valeurs possibles : • stopped - Le test est maintenant terminé. •...
Page 732 Diagnostic 15.7 Diagnostic de câbles Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...
Page 733 Si l'appareil effectue sans arrêt des redémarrages, vous disposez des options suivantes : • Veuillez contacter le service après-vente Siemens. Un technicien de service Siemens peut charger les informations de débogage de l'appareil et analyser l'erreur. Pour plus d'informations, voir "Service après-vente (Page 26)".
Page 734 Dépannage 16.2 L'appareil s'éteint pendant le démarrage Solution Si le scénario décrit survient, procédez comme suit : 1. Retirez le CLP. 2. Redémarrez l’appareil. Les options suivantes sont disponibles : – Reconnectez l'appareil à l'alimentation. L'appareil démarre et active le firmware de sauvegarde. –...
Page 735 Dépannage 16.4 L'appareil n'est pas joignable via CLI ou Web UI (Chargement d'un fichier de firmware via TFTP) 16.3 L'appareil modifie le mode d'un port de pont (utilisation de DLR en relation avec la détection de boucle) Si vous utilisez Device Level Ring (DLR) en relation avec la détection de boucles (Loop Detection) et que des erreurs surviennent des erreurs après un changement de firmware ou le chargement d'un fichier de configuration, contrôlez la configuration.
Page 736 Dépannage 16.6 Le passage de MRP à Spanning Tree provoque des tempêtes de trafic de données 6. Attribuez à l'appareil une adresse IP via DHCP ou avec SINEC PNI. 7. Ouvrez, sur le PC client une invite de commande Windows : 8. Dans l'invite de commande Windows, passez dans le répertoire dans lequel se trouve le fichier de firmware puis exécutez la commande suivante : tftp -i <...
Page 737 Dépannage 16.6 Le passage de MRP à Spanning Tree provoque des tempêtes de trafic de données Exemple L'exemple suivant illustre un scénario possible pouvant conduire à des tempêtes de trafic de données : 1. Vous avez configuré le MRP pour plusieurs appareils et vous les avez connectés dans une topologie en anneau.
Page 738 Dépannage 16.6 Le passage de MRP à Spanning Tree provoque des tempêtes de trafic de données Command Line Interface (CLI) SINEC OS V2.4 Manuel de configuration, 10/2023, C79000-G8977-C498-07...

Siemens SIMATIC NET SINEC OS V2.4 Manuel De Configuration

Liens rapides

Manuels Connexes pour Siemens SIMATIC NET SINEC OS V2.4

Sommaire des Matières pour Siemens SIMATIC NET SINEC OS V2.4